Gdzie umieścić federacyjny serwer proxy
Serwery proxy usług federacyjnych Active Directory Federation Services (AD FS) można umieścić w sieci obwodowej, aby zapewnić warstwę ochrony przed złośliwymi użytkownikami, które mogą pochodzić z Internetu. Federacyjne serwery proxy są idealne dla środowiska sieci obwodowej, ponieważ nie mają dostępu do kluczy prywatnych używanych do tworzenia tokenów. Jednak federacyjne serwery proxy mogą efektywnie kierować przychodzące żądania do serwerów federacyjnych, które są autoryzowane do tworzenia tych tokenów.
Nie jest konieczne umieszczenie federacyjnego serwera proxy w sieci firmowej dla partnera kont lub partnera zasobów, ponieważ komputery klienckie połączone z siecią firmową mogą komunikować się bezpośrednio z serwerem federacyjnym. W tym scenariuszu serwer federacyjny udostępnia również funkcje federacyjnego serwera proxy dla komputerów klienckich pochodzących z sieci firmowej.
Podobnie jak zwykle w przypadku sieci obwodowych, między siecią obwodową a siecią firmową jest ustanawiana zapora intranetowa, a zapora internetowa jest często ustanawiana między siecią obwodową a Internetem. W tym scenariuszu serwer proxy federacji znajduje się między obydwoma zaporami w sieci obwodowej.
Konfigurowanie serwerów zapory dla proxy serwera federacyjnego
Aby proces przekierowywania serwera proxy federacyjnego zakończył się pomyślnie, należy skonfigurować wszystkie serwery zapory tak, aby zezwalały na ruch protokołu HTTPS (Secure Hypertext Transfer Protocol). Użycie protokołu HTTPS jest wymagane, ponieważ serwery zapory muszą publikować serwer proxy federacji na porcie 443. Dzięki temu serwer proxy federacji w sieci obwodowej ma dostęp do serwera federacji w sieci firmowej.
Uwaga
Cała komunikacja z komputerami klienckimi odbywa się również za pośrednictwem protokołu HTTPS.
Ponadto serwer zapory sieciowej skierowany na Internet, taki jak komputer z Serwerem Microsoft Internet Security and Acceleration (ISA), używa procesu znanego jako publikowanie serwera w celu dystrybucji żądań klientów z Internetu do odpowiednich serwerów sieci perymetralnej i firmowej, takich jak serwery proxy serwerów federacyjnych lub serwery federacyjne.
Reguły publikowania serwera określają sposób, w jaki działa publikowanie serwera — zasadniczo filtrując wszystkie żądania przychodzące i wychodzące za pośrednictwem serwera ISA. Reguły publikowania serwera mapują przychodzące żądania klientów na właściwe serwery obsługiwane przez komputer serwera ISA. Aby uzyskać informacje o sposobie konfigurowania serwera ISA do publikowania serwera, zobacz Tworzenie reguły bezpiecznego publikowania w sieci Web (Create a Secure Web Publishing Rule).
W federacyjnym świecie usług AD FS te żądania klienta są zwykle wysyłane do określonego adresu URL, na przykład adresu URL identyfikatora serwera federacyjnego, takiego jak http://fs.fabrikam.com. Ponieważ te żądania klienta pochodzą z Internetu, serwer zapory dostępny z Internetu musi być skonfigurowany do publikowania adresu URL identyfikatora serwera federacyjnego dla każdego serwera proxy serwera federacyjnego wdrożonego w sieci obwodowej.
Konfigurowanie serwera ISA w celu zezwolenia na protokół SSL
Aby ułatwić bezpieczną komunikację z usługami AD FS, należy skonfigurować serwer ISA, aby zezwolić na komunikację protokołu Secure Sockets Layer (SSL) między następującymi elementami:
Serwery federacyjne i federacyjne serwery proxy. Kanał SSL jest wymagany dla wszystkich komunikacji między serwerami federacyjnymi oraz serwerami proxy federacji. W związku z tym należy skonfigurować serwer ISA, aby zezwolić na połączenie SSL między siecią firmową a siecią obwodową.
Komputery klienckie, serwery federacyjne i serwery proxy serwera federacyjnego. Aby komunikacja mogła wystąpić między komputerami klienckimi a serwerami federacyjnym lub między komputerami klienckimi i serwerami proxy serwera federacyjnego, można umieścić komputer z uruchomionym serwerem ISA przed serwerem federacyjnym lub federacyjnym serwerem proxy.
Jeśli organizacja wykonuje uwierzytelnianie klienta SSL na serwerze federacyjnym lub serwerze proxy usługi federacyjnej, podczas umieszczenia komputera z uruchomionym serwerem ISA przed serwerem federacyjnym lub serwerem proxy serwera federacyjnego, serwer musi być skonfigurowany do przekazywania połączenia SSL, ponieważ połączenie SSL musi zakończyć się na serwerze federacyjnym lub serwerze proxy serwera federacyjnego.
Jeśli Twoja organizacja nie wykonuje uwierzytelniania klienta SSL na serwerze federacyjnym lub federacyjnym serwerze proxy, dodatkową opcją jest przerwanie połączenia SSL na komputerze z uruchomionym serwerem ISA, a następnie ponowne ustanowienie połączenia SSL z serwerem federacyjnym lub federacyjnym serwerem proxy.
Uwaga
Serwer federacyjny lub federacyjny serwer proxy wymaga, aby połączenie było zabezpieczone przez protokół SSL w celu ochrony zawartości tokenu zabezpieczającego.
Zobacz też
Przewodnik projektowania AD FS w systemie Windows Server 2012