Farm de servidores de federação usando WID
A topologia padrão para o AD FS (Serviços de Federação do Active Directory) é um Farm de servidores de federação, usando o Banco de Dados Interno do Windows (WID), que consiste em até cinco servidores de federação que hospedam o Serviço de Federação da sua organização. Nesta topologia, o AD FS usa o WID como o armazenamento para o banco de dados de configuração do AD FS para todos os servidores de federação ingressados nesse Farm. O farm replica e mantém os dados do Serviço de Federação no banco de dados de configuração em cada servidor no farm.
O ato de criar o primeiro servidor de federação em um farm também cria um novo Serviço de Federação. Quando você usa o WID para o banco de dados de configuração do AD FS, o primeiro servidor de federação criado no farm é conhecido como o servidor de federação primário. Isso significa que este computador é configurado com uma cópia de leitura/gravação do banco de dados de configuração do AD FS.
Todos os outros serviços de federação configurados para este Farm são conhecidos como servidores de federação secundários, porque eles devem replicar qualquer alteração feita no servidor de federação primário para suas cópias somente leitura do banco de dados de configuração do AD FS que eles armazenam localmente.
Observação
Recomendamos o uso de pelo menos dois servidores de federação em uma configuração com balanceamento de carga.
Considerações de implantação
Esta seção descreve várias considerações sobre o público-alvo, os benefícios e as limitações que estão associadas a essa topologia de implantação.
Quem deve usar esta topologia?
Organizações com 100 ou menos relações de confiança configuradas que precisam fornecer aos usuários internos (conectados a computadores fisicamente conectados à rede corporativa) o acesso de SSO (logon único) a aplicativos ou serviços federados
Organizações que desejam fornecer aos usuários internos o acesso de SSO ao Microsoft Online Services ou Microsoft Office 365
Organizações menores que exigem serviços redundantes e escalonáveis
Observação
As organizações com bancos de dados maiores devem considerar o uso da topologia de implantação Farm de servidores de federação com o SQL Server, descrita mais adiante nesta seção. As organizações com usuários que fazem logon de fora da rede devem considerar o uso da topologia Farm de servidores de federação com o WID e o proxies ou Farm de servidores de federação com o SQL Server.
Quais são os benefícios de usar essa topologia?
Fornece acesso de SSO a usuários internos
Redundância de dados e serviço de federação (cada servidor de federação replica alterações em outros servidores de federação no mesmo Farm)
O Farm pode ser escalado horizontalmente adicionando até cinco servidores de federação
O WID está incluído no Windows, portanto, não é necessário comprar o SQL Server
Quais são as limitações do uso dessa topologia?
Um Farm do WID tem um limite de 30 servidores de federação. Para mais informações, consulte Considerações de topologia de implantação do AD FS.
Um Farm do WID não dá suporte à detecção de reprodução de token nem à resolução de artefatos (parte do protocolo SAML, Security Assertion Markup Language).
Recomendações de posicionamento do servidor e layout de rede
Quando você estiver pronto para começar a implantar essa topologia na rede, deverá planejar a colocação de todos os servidores de federação na rede corporativa por trás de um host NLB (Balanceamento de Carga de Rede) que pode ser configurado para um cluster NLB com um nome DNS (Sistema de Nomes de Domínio) de cluster dedicado e endereço IP do cluster.
Observação
Esse nome DNS do cluster deve corresponder ao nome do Serviço de Federação, por exemplo, fs.fabrikam.com.
O host NLB pode usar as configurações definidas nesse cluster NLB para alocar solicitações de clientes para os servidores de federação individuais. A ilustração a seguir mostra como a empresa fictícia Fabrikam, Inc. configura a primeira fase de sua implantação usando um farm de servidores de federação com dois computadores (fs1 e fs2) com WID e o posicionamento de um servidor DNS e um único host NLB conectado à rede corporativa.
Observação
Se houver uma falha neste host único NLB, os usuários não conseguirão acessar os serviços e aplicativos federados. Adicione mais hosts NLB se seus requisitos comerciais não permitirem a existência de um único ponto de falha.
Para obter mais informações sobre como configurar seu ambiente de rede para uso com servidores de federação, consulte Requisitos de resolução de nomes em para servidores de federação na Guia de design do AD FS.