Farm de servidores de federação do AD FS herdado usando WID
A topologia padrão do AD FS (Serviços de Federação do Active Directory) é um farm de servidores de federação, usando o WID (Banco de Dados Interno do Windows). Nesta topologia, o AD FS usa o WID como o armazenamento para o banco de dados de configuração do AD FS para todos os servidores de federação ingressados nesse farm. O farm replica e mantém os dados do Serviço de Federação no banco de dados de configuração em cada servidor no farm. O AD FS no Windows Server 2012 R2 permite que organizações com 100 ou menos objetos de confiança de terceira parte confiável configurem farms de servidores de federação usando o WID com até 30 servidores.
O ato de criar o primeiro servidor de federação em um farm também cria um novo Serviço de Federação. Quando você usa o WID para o banco de dados de configuração do AD FS, o primeiro servidor de federação criado no farm é conhecido como o servidor de federação primário. Isso significa que este computador é configurado com uma cópia de leitura/gravação do banco de dados de configuração do AD FS.
Todos os outros serviços de federação configurados para este farm são conhecidos como servidores de federação secundários, porque eles devem replicar qualquer alteração feita no servidor de federação primário para suas cópias somente leitura do banco de dados de configuração do AD FS que eles armazenam localmente.
Importante
Recomendamos o uso de pelo menos dois servidores de federação em uma configuração com balanceamento de carga.
Considerações de implantação
Esta seção descreve várias considerações sobre o público-alvo, os benefícios e as limitações que estão associadas a essa topologia de implantação.
Quem deve usar esta topologia?
Organizações com 100 ou menos relações de confiança configuradas que precisam fornecer aos usuários internos (conectados a computadores fisicamente conectados à rede corporativa) o acesso de SSO (logon único) a aplicativos ou serviços federados
Organizações que desejam fornecer aos usuários internos o acesso de SSO ao Microsoft Online Services ou Microsoft Office 365
Organizações menores que exigem serviços redundantes e escalonáveis
Observação
As organizações com bancos de dados maiores devem considerar o uso da topologia de implantação Farm de servidores de federação usando o SQL Server. As organizações com usuários que fazem logon de fora da rede devem considerar o uso da topologia Farm de servidores de federação usando WID e proxies ou Farm de servidores de federação usando o SQL Server.
Quais são os benefícios de usar essa topologia?
Fornece acesso de SSO a usuários internos
Redundância de dados e serviço de federação (cada servidor de federação replica alterações em outros servidores de federação no mesmo farm)
O WID está incluído no Windows; portanto, não é necessário comprar o SQL Server
Quais são as limitações de usar essa topologia?
Um farm WID terá um limite de 30 servidores de federação se você tiver 100 ou menos objetos de confiança de terceira parte confiável.
Um farm WID não dá suporte à detecção de reprodução de token nem à resolução de artefatos (parte do protocolo SAML, Security Assertion Markup Language).
A tabela a seguir fornece um resumo para usar um farm WID. Use-o para planejar sua implementação.
1 a 100 relações de confiança de RP | Mais de 100 relações de confiança de RP |
---|---|
1 a 30 nós do AD FS: Suporte ao WID | 1 a 30 nós do AD FS: Sem suporte para uso do WID – O SQL é exigido |
Mais de 30 Nós do AD FS: Sem suporte para uso do WID – O SQL é exigido | Mais de 30 Nós do AD FS: Sem suporte para uso do WID – O SQL é exigido |
Recomendações de posicionamento do servidor e layout de rede
Quando você estiver pronto para começar a implantar essa topologia na rede, deverá planejar a colocação de todos os servidores de federação na rede corporativa por trás de um host NLB (Balanceamento de Carga de Rede) que pode ser configurado para um cluster NLB com um nome DNS (Sistema de Nomes de Domínio) de cluster dedicado e endereço IP do cluster.
Observação
Esse nome DNS do cluster deve corresponder ao nome do Serviço de Federação, por exemplo, fs.fabrikam.com.
O host NLB pode usar as configurações definidas nesse cluster NLB para alocar solicitações de clientes para os servidores de federação individuais. A ilustração a seguir mostra como a empresa fictícia Fabrikam, Inc. configura a primeira fase de sua implantação usando um farm de servidores de federação com dois computadores (fs1 e fs2) com WID e o posicionamento de um servidor DNS e um único host NLB conectado à rede corporativa.
Observação
Se houver uma falha neste host único NLB, os usuários não conseguirão acessar os serviços e aplicativos federados. Adicione mais hosts NLB se seus requisitos comerciais não permitirem a existência de um único ponto de falha.
Para obter mais informações sobre como configurar seu ambiente de rede para uso com servidores de federação, consulte a seção Requisitos de resolução de nomes em Requisitos do AD FS.
Consulte Também
Planejar sua topologia de implantação do AD FSGuia de design do AD FS no Windows Server 2012 R2