Condividi tramite

Ruolo del database di configurazione di AD FS

Il database di configurazione di ADFS archivia tutti i dati di configurazione che rappresenta una singola istanza di Active Directory Federation Services ADFS (ovvero il servizio federativo). Il database di configurazione di ADFS definisce il set di parametri richiesti dal Servizio federativo per identificare partner, certificati, archivi attributi, attestazioni e diversi dati relativi a queste entità associate. È possibile archiviare questi dati di configurazione in un database Microsoft SQL Server® o Database interno di Windows (WID) funzionalità inclusa in Windows Server 2012 o versione successiva.

Nota

L'intero contenuto del database di configurazione di ADFS può essere archiviato in un'istanza di Database interno di Windows o in un'istanza del database SQL, ma non in entrambi. Ciò significa che non si possono avere alcuni server federativi che usano Database interno di Windows e altri che usano un database SQL Server per la stessa istanza del database di configurazione di ADFS.

È possibile utilizzare le seguenti informazioni in questo argomento insieme al contenuto disponibile Considerazioni sulla topologia di distribuzione ADFS per scoprire i vantaggi e svantaggi della scelta WID o SQL Server per archiviare il database di configurazione di ADFS:

Database interno di Windows utilizza un archivio dati relazionale e non dispone di un'interfaccia utente gestione dell'interfaccia Utente. Gli amministratori possono invece modificare il contenuto del database di configurazione di ADFS con lo snap-in Gestione ADFS, Fsconfig.exe, o i cmdlet di Windows PowerShell™.

Uso di Database interno di Windows per archiviare il database di configurazione di ADFS

È possibile creare il database di configurazione di ADFS utilizza WID come archivio di utilizzando il comando Fsconfig.exe strumento della riga o configurazione guidata Server federativo AD FS. Quando si usa uno di questi strumenti, è possibile scegliere una qualsiasi delle opzioni seguenti per creare la topologia del server federativo. Ognuna di queste opzioni usa Database interno di Windows per archiviare il database di configurazione di ADFS:

  • Creare un server federativo autonomo

  • Creare il primo server federativo in una server farm federativa

  • Aggiungere un server federativo a una server farm federativa

Se si sceglie l'opzione autonoma, Database interno di Windows viene usato per archiviare una singola istanza del database di configurazione di ADFS. Questa istanza non può essere condivisa tra più server federativi. È destinato solo agli ambienti di testing. Per altre informazioni sull'opzione per un server federativo autonomo o su come configurarne uno, vedere Server federativo autonomo che usa Database interno di Windows o Creare un server federativo autonomo.

Se si seleziona il primo server federativo nell'opzione per una server farm federativa, Database interno di Windows viene configurato ai fini della scalabilità per poter aggiungere altri server federativi alla farm in un secondo momento. Per ulteriori informazioni sulla distribuzione di una farm WID o come configurarne uno, vedere Federation Server Farm utilizzando WID o creare il primo Server federativo in una Server Farm federativa

Se si sceglie l'opzione per aggiungere un server federativo, Database interno di Windows viene configurato per replicare al nuovo server federativo le modifiche fatte al database di configurazione a intervalli prestabiliti. Per ulteriori informazioni sull'aggiunta di un server federativo a una farm database interno di Windows, vedere Federation Server Farm utilizzando WID o aggiungere un Server federativo a una Server Farm federativa.

Nota

Quando si distribuisce una server farm federativa tramite WID, alcune funzionalità di ADFS non siano disponibili. Per avere accesso all'intero set di funzionalità quando si configura la server farm, considerare la possibilità di usare invece Microsoft SQL Server per archiviare il database di configurazione di ADFS. Per ulteriori informazioni, vedere Considerazioni sulla topologia di distribuzione ADFS.

Funzionamento di una server farm federativa con Database interno di Windows

In questa sezione sono disponibili concetti importanti che descrivono in che modo la server farm federativa che usa Database interno di Windows replica i dati tra un server federativo primario e i server federativi secondari. .

Server federativo primario

Un server federativo primario è un computer che esegue Windows Server 2012, Windows Server 2012 o versione successiva che è stato configurato nel ruolo server federativo che usa configurazione guidata Server federativo AD FS e che include una copia in lettura/scrittura del database di configurazione di ADFS. Il server federativo primario viene sempre creato quando si utilizza configurazione guidata Server federativo AD ADFS e selezionare l'opzione per creare un nuovo servizio federativo e rendere il computer del primo server federativo nella farm. Tutti gli altri server federativi della farm, detti anche server federativi secondari, devono sincronizzare le modifiche fatte sul server federativo primario in una copia del database di configurazione di ADFS archiviato localmente.

Server federativi secondari

I server federativi secondari archiviano una copia del database di configurazione di ADFS dal server federativo primario, ma tali copie sono di sola lettura. I server federativi secondari si connettono al server federativo primario nella farm e sincronizzano i dati, eseguendo il polling a intervalli regolari per verificare se i dati sono stati modificati. I server federativi secondari vengono usati per assicurare la tolleranza di errore per il server federativo primario e per il bilanciamento del carico delle richieste di accesso inviate ai diversi siti della rete aziendale.

Sincronizzazione del database di configurazione di ADFS

Considerata l'importanza del ruolo svolto dal database di configurazione di ADFS, è disponibile per tutti i server federativi della rete e fornisce funzionalità di tolleranza di errore e bilanciamento del carico durante l'elaborazione delle richieste (quando vengono usati servizi di bilanciamento del carico). Tuttavia, per fare in modo che i server federativi secondari sfruttino questa funzionalità, è necessario che il database di configurazione di ADFS archiviato nel server federativo primario sia sincronizzato.

Quando si aggiunge un server federativo alla farm, il nuovo computer che diventerà un server federativo secondario si connette al server federativo primario per replicare la copia del database di configurazione di ADFS. Da questo momento, il nuovo server federativo continua a eseguire il pull degli aggiornamenti dal server federativo primario a intervalli regolari, come illustrato nella figura seguente.

AD FS configuration

Ogni server federativo secondario esegue il polling al server federativo primario ogni cinque minuti per rilevare le modifiche. È possibile modificare questo valore predefinito o forzare una sincronizzazione immediata in qualsiasi momento con un cmdlet di Windows PowerShell. Per ulteriori informazioni su come eseguire questa operazione, vedere amministrazione di ADFS con Windows PowerShell.

Anche il processo di sincronizzazione di Database interno di Windows supporta i trasferimenti incrementali per garantire trasferimenti più efficienti delle modifiche intermedie. Il processo di trasferimento incrementale richiede in sostanza meno traffico sulla rete e i trasferimenti sono completati più rapidamente.

Nota

È supportata la migrazione da un database di configurazione di ADFS da Database interno di Windows a un'istanza di SQL Server. Per ulteriori informazioni su come eseguire questa operazione, vedere ADFS: migrazione del Database di configurazione di ADFS a SQL Server sul sito TechNet Wiki.

Come gestire le proprietà di sincronizzazione di AD FS

Questa sezione descrive come visualizzare e modificare le proprietà di sincronizzazione del database di configurazione di AD FS. .

Il cmdlet Get-ADFSSyncProperties ottiene le proprietà di sincronizzazione per il database di configurazione di Active Directory Federation Services (AD FS).

PS C:\> Get-ADFSSyncProperties

Sul server AD FS primario questo cmdlet mostrerà solo che il ruolo è quello del computer primario. Su un membro secondario mostrerà il resto della configurazione, tra cui il nome di dominio completo dell'ultima sincronizzazione dal computer primario, lo stato e l'ora dell'ultima sincronizzazione, la durata del polling, il nomecomputer primario attualmente configurato, la porta del computer primario e il ruolo del computer secondario.

Il cmdlet Set-ADFSSyncProperties modifica la frequenza di sincronizzazione del database di configurazione di Active Directory Federation Services (AD FS). Il cmdlet specifica anche quale server federativo è il server primario nel server farm federativa.

Nota

Se un server federativo primario si arresta in modo anomalo ed è offline, tutti i server federativi secondari continuano a elaborare le richieste normalmente. Tuttavia, nessuna modifica può essere apportata al servizio federativo finché il server federativo primario non ritorna online. È anche possibile usare Windows PowerShell per nominare un server federativo secondario come server federativo primario. Se si nomina un nuovo server primario, i rimanenti server devono essere modificati per riflettere il nuovo server primario. La presenza di due primari in una farm WID influisce sulla stabilità della farm e comporta la possibilità di perdere dati.

Modificare la durata del polling per una farm

PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"

Questo comando modifica la sincronizzazione del database a 3600 secondi. Il comando apporta la modifica al server federativo primario.

Modificare un server da secondario a primario

PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"

Questo comando modifica un server AD FS in una farm WID da secondario a primario.

Modificare un server primario in un server secondario

PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"

Questo comando modifica un server AD FS primario in una farm WID in un server secondario. È necessario specificare il nome di dominio completo del server primario. In caso contrario, non tutti i server AD FS secondari potrebbero sincronizzarsi correttamente. Nota: il server primario deve essere accessibile via HTTP sulla porta 80 dal server secondario.

Per altre informazioni, vedere: Set-AdfsSyncProperties

Uso di SQL Server per archiviare il database di configurazione di ADFS

È possibile creare il database di configurazione di ADFS usando una singola istanza del database SQL Server come archivio con lo strumento da riga di comando Fsconfig.exe. L'uso di un database SQL Server come database di configurazione di ADFS offre i seguenti vantaggi rispetto a Database interno di Windows:

  • Consente agli amministratori di sfruttare le funzionalità a disponibilità elevata di SQL Server.

  • Offre un ulteriore miglioramento delle prestazioni in presenza di traffico elevato.

  • Include il supporto delle funzionalità per la risoluzione artefatto SAML e il rilevamento riproduzione token SAML/WS-Federation (descritti di seguito).

Il termine "server federativo primario" non si applica quando il database di configurazione di ADFS è archiviato in un'istanza del database SQL, perché tutti i server federativi possono leggere e scrivere nel database di configurazione di ADFS che usa la stessa istanza in cluster di SQL Server, come illustrato nella figura seguente.

AD FS roles

È possibile utilizzare SQL Server per configurare due o più server di lavorare insieme come un cluster di server per garantire una disponibilità elevata per le richieste client in ingresso del servizio ADFS. La disponibilità elevata offre un'architettura con scalabilità orizzontale in cui è possibile aumentare la capacità dei server aggiungendone altri. I singoli punti di errore sono ridotti grazie al failover del cluster automatico.

Per ottenere la disponibilità elevata, è possibile usare i servizi di failover e bilanciamento del carico di rete offerti dalle tecnologie clustering SQL. Per ulteriori informazioni su come configurare SQL Server per la disponibilità elevata, vedere Panoramica delle soluzioni a disponibilità elevata.

Risoluzione artefatto SAML

La risoluzione artefatto SAML (Security Assertion Markup Language) è un endpoint basato sulla parte il protocollo SAML 2.0 che descrive come relying party può recuperare un token direttamente da un provider di attestazioni. Nella prima fase del processo di risoluzione, un browser client contatta un server federativo di risorsa e fornisce un artefatto. Nella seconda fase i server federativi di risorsa inviano l'artefatto all'URL di un endpoint artefatto SAML ospitato nell'organizzazione di un partner account per risolvere il messaggio dell'artefatto. Nella fase finale il server federativo di account rilascia il token al server federativo per conto del browser client.

Nota

L'amministratore dell'organizzazione di un partner account dovrà assegnare o eseguire il binding di un certificato SSL, che si concatena a un certificato radice di un membro del programma Windows Root Certificate Program, al sito Web federativo passivo in IIS (<ComputerName>\Sites\Default Web Site\adfs\ls) su tutti i server federativi di account nella farm. Questa configurazione è importante per evitare che sui server federativi di risorsa sia necessario aggiungere manualmente il certificato SSL all'archivio certificati Persone attendibili dei computer locali o che non sia possibile risolvere l'artefatto pubblicato nell'organizzazione.

Rilevamento riproduzione token SAML/WS-Federation

Il termine riproduzione token fa riferimento all'atto con cui un client browser in un'organizzazione partner account tenta di inviare lo stesso token ricevuto da un server federativo di account più volte per autenticare un server federativo di risorsa. Questa operazione si verifica quando un utente sceglie il nuovamente pulsante del browser nel tentativo di inviare di nuovo la pagina di autenticazione.

ADFS offre una funzionalità detta rilevamento riproduzione token dal quale più richieste di token utilizzando lo stesso token può essere rilevato e quindi viene eliminato. Quando questa funzionalità è abilitata, il rilevamento riproduzione token protegge l'integrità delle richieste di autenticazione sia nel profilo WS-Federation passivo che nel profilo WebSSO SAML, verificando che lo stesso token non sia mai usato più di una volta. È consigliabile abilitare questa funzionalità nelle situazioni in cui la sicurezza è di importanza cruciale, ad esempio quando si usano chioschi multimediali.

Nell'esempio di chiosco multimediale un utente può disconnettersi da tutti i siti Web e in seguito un utente malintenzionato può provare a usare la cronologia del browser per inviare di nuovo la pagina di autenticazione federativa caricata dall'utente precedente. Questa funzionalità limita il rischio, archiviando informazioni aggiuntive su ogni autenticazione completata correttamente da parte dell'organizzazione di un partner account, in modo da rilevare le successive riproduzioni del token e impedire che più tentativi di autenticazione abbiano esito positivo.