Quando criar um proxy do Servidor de Federação
A criação de um proxy do servidor de federação em sua organização adiciona camadas de segurança adicionais à implantação do AD FS (Serviços de Federação do Active Directory, AD FS). Considere a implantação de um proxy do servidor de federação na rede de perímetro da organização quando você quiser:
Impedir que computadores cliente externos acessem diretamente os servidores de federação. Ao implantar um proxy do servidor de federação na rede de perímetro, você efetivamente isolar os servidores de federação para que eles possam ser acessados somente por computadores cliente conectados a rede corporativa por meio de proxies do servidor de federação, que atuam em nome dos computadores cliente externos. Os proxies de servidor de federação não têm acesso às chaves privadas usadas para gerar tokens. Para obter mais informações, consulte Onde colocar um Proxy do servidor de Federação.
Fornecer uma maneira conveniente de diferenciar a experiência de entrada de usuários provenientes da Internet em oposição aos usuários originados em sua rede corporativa usando a autenticação integrada do Windows. Um proxy do servidor de federação coleta credenciais ou detalhes de realm inicial de computadores cliente da Internet usando páginas de logon, logout e descoberta de provedor de identidade (homerealmdiscovery.aspx) armazenados no proxy do servidor de federação.
Por outro lado, computadores cliente que vêm da rede corporativa encontram uma experiência diferente, com base na configuração do servidor de federação. O servidor de federação da rede corporativa é geralmente configurado para autenticação integrada do Windows, que fornece uma experiência de entrada perfeita aos usuários na rede corporativa.
A função que um proxy do servidor de federação desempenha em uma organização depende se você coloca o proxy do servidor de federação na organização do parceiro de conta ou na organização do parceiro de recursos. Por exemplo, quando um proxy do servidor de federação é colocado na rede de perímetro do parceiro de conta, sua função é coletar as informações de credenciais do usuário de clientes do navegador. Quando um proxy do servidor de federação é colocado na rede de perímetro do parceiro de recurso, ele retransmite solicitações de token de segurança a um recurso do servidor de federação e gera tokens de segurança organizacionais em resposta aos tokens de segurança que são fornecidos por seus parceiros de conta.
Para obter mais informações, consulte Review the Role of the Federation Server Proxy in the Account Partner e Review the Role of the Federation Server Proxy in the Resource Partner.
Como criar um proxy do servidor de federação
Você pode criar um proxy do servidor de federação usando o Assistente de Configuração do Proxy do Servidor de Federação do AD FS ou a ferramenta de linha de comando Fsconfig.exe. Para obter instruções sobre como fazer isso, consulte Configure a Computer for the Federation Server Proxy Role.
Para obter mais informações sobre como configurar todos os pré-requisitos necessários para implantar um proxy do servidor de federação, consulte Checklist: Setting Up a Federation Server Proxy.