Quando creare un proxy server federativo
La creazione di un proxy server federativo nell'organizzazione aggiunge altri livelli di sicurezza alla distribuzione di Active Directory Federation Services (AD FS). È consigliabile distribuire un proxy server federativo nella rete perimetrale dell'organizzazione quando si vuole:
Impedire ai computer client esterni di accedere direttamente ai server federativi. Distribuendo un proxy server federativo nella rete perimetrale, si isolano effettivamente i server federativi in modo che possano essere accessibili solo dai computer client connessi alla rete aziendale tramite proxy server federativi, che agiscono per conto dei computer client esterni. I proxy server federativi non hanno accesso alle chiavi private usate per la generazione dei token. Per altre informazioni, vedere Dove posizionare un Proxy Server federativo.
Offrire un modo pratico per differenziare l'esperienza di accesso per gli utenti provenienti da Internet rispetto agli utenti provenienti dalla rete aziendale tramite l'autenticazione integrata di Windows. Un proxy server federativo raccoglie le credenziali o i dettagli dell'area di autenticazione principale dai computer client Internet usando le pagine di accesso, disconnessione e individuazione del provider di identità (homerealmdiscovery.aspx) archiviate nel proxy del server federativo.
Al contrario, i computer client provenienti dalla rete aziendale riscontrano un'esperienza diversa, in base alla configurazione del server federativo. Il server federativo della rete aziendale è spesso configurato per l'autenticazione integrata di Windows, che offre un'esperienza di accesso semplice per gli utenti nella rete aziendale.
Il ruolo svolto da un proxy server federativo nell'organizzazione dipende dal fatto che si inserisca il proxy server federativo nell'organizzazione partner account o nell'organizzazione partner risorse. Ad esempio, quando un proxy server federativo viene inserito nella rete perimetrale del partner account, il suo ruolo consiste nel raccogliere le informazioni sulle credenziali utente dai client browser. Quando un proxy server federativo viene inserito nella rete perimetrale del partner risorse, inoltra le richieste di token di sicurezza a un server federativo delle risorse e produce token di sicurezza dell'organizzazione in risposta ai token di sicurezza forniti dai partner account.
Per altre informazioni, vedere Review the Role of the Federation Server Proxy in the Account Partner e Review the Role of the Federation Server Proxy in the Resource Partner
Come creare un proxy server federativo
È possibile creare un proxy server federativo usando la Configurazione guidata proxy server federativo AD FS o lo strumento da riga di comando Fsconfig.exe. Per informazioni sulle procedure necessarie, vedere Configure a Computer for the Federation Server Proxy Role.
Per informazioni generali su come configurare tutti i prerequisiti necessari per distribuire un proxy server federativo, vedere Checklist: Setting Up a Federation Server Proxy.