Pianificare la topologia di distribuzione di AD FS
Il primo passaggio della pianificazione di una distribuzione di Active Directory Federation Services (AD FS) consiste nel determinare la topologia di distribuzione corretta per soddisfare le esigenze dell'organizzazione.
Prima di leggere questo articolo, vedere in che modo i dati di AD FS vengono archiviati e replicati in altri server federativi in una server farm federativa e assicurarsi di comprendere lo scopo e i metodi di replica che è possibile usare per i dati sottostanti archiviati nel database di configurazione di AD FS.
È possibile archiviare i dati di configurazione di AD FS in due tipi di database: Database interno di Windows (WID) e Microsoft SQL Server. Per altre informazioni, vedere Ruolo del database di configurazione di AD FS. Esaminare i diversi vantaggi e le limitazioni associati all'uso di WID o di SQL Server come database di configurazione di AD FS, oltre ai vari scenari di applicazioni supportati, quindi fare la propria scelta.
Importante
Per implementare la ridondanza di base, il bilanciamento del carico e l'opzione per la scalabilità del Servizio federativo (se necessario), è consigliabile distribuire almeno due server federativi per server farm federativa, indipendentemente dal tipo di database che si userà.
Determinazione del tipo di database di configurazione di ADFS da usare
AD FS usa un database per archiviare la configurazione e, in alcuni casi, i dati transazionali relativi al Servizio federativo. Per selezionare la funzionalità Database interno di Windows incorporata oppure Microsoft SQL Server 2008 o versione successiva per archiviare i dati nel Servizio federativo, è possibile usare il software AD FS.
I due tipi di database sono relativamente equivalenti per la maggior parte degli scopi. Esistono tuttavia alcune differenze che è utile conoscere prima di iniziare a leggere altre informazioni sulle diverse topologie di distribuzione che si possono usare con AD FS. Nella tabella seguente sono descritte le differenze tra le funzionalità supportate in Database interno di Windows e nel database SQL Server.
| Descrizione | Funzionalità di | Supportata in Database interno di Windows | Supportata in SQL Server |
|---|---|---|---|
| Funzionalità di AD FS | Distribuzione in una server farm federativa | Sì. Se si ha un massimo di 100 trust della relying party, una farm WID ha un limite di 30 server federativi. Una farm WID non supporta il rilevamento riproduzione token e la risoluzione artefatto, che fanno parte del protocollo SAML (Security Assertion Markup Language). |
Sì. Non esiste un limite imposto per il numero di server federativi che si possono distribuire in una singola farm. |
| Funzionalità di AD FS | Risoluzione artefatto SAML Nota: questa funzionalità non è richiesta per scenari Microsoft Online Services, Microsoft Office 365, Microsoft Exchange o Microsoft Office SharePoint. |
No | Sì |
| Funzionalità di AD FS | Rilevamento riproduzione token SAML/WS-Federation | No | Sì |
| Funzionalità di database | Ridondanza del database di base con la replica pull in cui uno o più server che ospitano una copia di sola lettura del database richiedono le modifiche effettuate su un server di origine che ospita una copia di lettura/scrittura del database | Sì | No |
| Funzionalità di database | Ridondanza del database con soluzioni a disponibilità elevata, ad esempio clustering di failover o mirroring (solo a livello del database) Nota: tutte le topologie di distribuzione di AD FS supportano il clustering a livello del servizio AD FS. | No | Sì |
Considerazioni su SQL Server
Se si sceglie SQL Server come database di configurazione per la distribuzione di ADFS, è consigliabile tenere presenti i seguenti aspetti.
Funzionalità SAML e relativo effetto sulle dimensioni e la crescita del database. Quando è abilitata la funzionalità risoluzione artefatto SAML o rilevamento riproduzione token SAML, ADFS archivia le informazioni nel database di configurazione di SQL Server per ogni token di ADFS rilasciato. La crescita del database SQL Server a seguito di questa attività non è considerata significativa e dipende dal periodo di rilevamento riproduzione token configurato. Ogni record artefatto ha una dimensione di circa 30 kilobyte (KB).
Numero di server richiesti per la distribuzione. Si dovrà aggiungere almeno un altro server (al numero totale di server richiesti per la distribuzione dell'infrastruttura di AD FS) che fungerà da host dedicato dell'istanza di SQL Server. Se si prevede di usare clustering di failover o mirroring per garantire la tolleranza di errore e la scalabilità per il database di configurazione di SQL Server, sono necessari almeno due server SQL.
Possibile impatto del tipo di database di configurazione scelto sulle risorse hardware
L'impatto sulle risorse hardware di un server federativo distribuito in una farm con Database interno di Windows rispetto a un server federativo distribuito in una farm con il database SQL Server non è significativo. È comunque importante considerare che quando si usa Database interno di Windows per la farm, ogni server federativo deve archiviare, gestire e mantenere le modifiche della replica per la copia locale del database di configurazione di ADFS, continuando contemporaneamente a eseguire le normali operazioni richieste dal Servizio federativo.
Diversamente, i server federativi distribuiti in una farm che usa il database SQL Server non includono necessariamente un'istanza locale dal database di configurazione di ADFS. Potrebbero quindi avere esigenze leggermente inferiori in termini di risorse hardware.
Dove posizionare un server federativo
Come procedura di sicurezza ottimale, posizionare i server federativi di AD FS dietro un firewall e connetterli alla rete aziendale per impedirne l'esposizione su Internet. Questo aspetto è importante perché i server federativi hanno autorizzazioni complete per concedere i token di sicurezza. Di conseguenza, dovranno avere la stessa protezione di un controller di dominio. In caso di violazione di un server federativo, un utente malintenzionato ha la possibilità di rilasciare token di accesso completo a tutte le applicazioni Web e ai server federativi che sono protetti da AD FS.
Nota
Come procedura di sicurezza consigliata, evitare che i server federativi siano direttamente accessibili su Internet. È consigliabile assegnare ai server federativi l'accesso diretto a Internet solo quando si configura un ambiente di lab di test oppure quando l'organizzazione non è dotata di una rete perimetrale.
Per le reti aziendali tipiche, viene stabilito un firewall sulla intranet tra la rete aziendale e la rete perimetrale e spesso viene stabilito un firewall con connessione Internet tra la rete perimetrale e Internet. In questo caso il server federativo risiede all'interno della rete aziendale e non è direttamente accessibile dai client Internet.
Nota
I computer client connessi alla rete aziendale possono comunicare direttamente con il server federativo con l'Autenticazione integrata di Windows.
Posizionare un proxy server federativo nella rete perimetrale prima di configurare i server del firewall da usare con AD FS.
Topologie di distribuzione supportate
Gli articoli seguenti descrivono le diverse topologie di distribuzione che è possibile usare con AD FS. Vengono descritti anche i vantaggi e le limitazioni di ogni topologia di distribuzione, in modo che si possa scegliere quella più appropriata per le esigenze aziendali specifiche.