Planejando a capacidade de proxy do servidor de federação
O planejamento de capacidade para proxies de servidor de federação ajuda a estimar:
Os requisitos de hardware apropriados para cada proxy de servidor de federação.
O número de servidores de federação e proxies de servidor de federação a serem colocados em cada organização.
Os proxies do servidor de federação redirecionam tokens de segurança de um servidor de federação protegido na rede corporativa para usuários federados. O objetivo da implantação de um proxy de servidor de federação é permitir que usuários externos se conectem a um servidor de federação. Na verdade, ele não assina tokens nem grava dados no banco de dados de configuração do AD FS. Portanto, os requisitos de hardware para o proxy do servidor de federação geralmente são menores do que os requisitos de hardware para um servidor de federação.
Como cada solicitação para um proxy de servidor de federação resulta em uma solicitação para um servidor de federação ou grupo de servidores de federação, o planeamento de capacidade para servidores de federação e proxies de servidor de federação deve ser executado em paralelo.
Estimar o pico de entradas por segundo para o proxy do servidor de federação requer uma compreensão dos padrões de uso dos usuários federados que entrarão por meio do proxy do servidor de federação. Em muitas implantações, os usuários federados que entram usando o proxy do servidor de federação estão localizados na Internet. Você pode estimar o pico de entradas por segundo examinando os padrões de uso desses usuários federados nos aplicativos Web existentes que serão protegidos pelo AD FS.
Observação
Para implantações de produção, recomendamos um mínimo de dois proxies de servidor de federação para cada instância de exploração de servidores de federação que implantar.
Estimar o número de proxies de servidor de federação necessários para sua organização
Antes de estimar o número de máquinas proxy de servidor de federação do AD FS necessárias, primeiro você precisará determinar o número total de servidores de federação que implantará em sua organização. Para obter mais informações sobre como fazer isso, consulte Planejando a capacidade do servidor de federação.
Depois de decidir o número de servidores de federação, multiplique esse número de servidores pela porcentagem de solicitações de autenticação federada de entrada que você espera que sejam feitas de usuários externos (localizados fora da rede corporativa). O valor deste cálculo fornecerá o número estimado de proxies de servidor de federação que irão gerir as solicitações de autenticação vindas dos seus utilizadores externos.
Por exemplo, se o número de servidores de federação recomendados for 3 e você esperar que o número total de solicitações de autenticação que serão feitas de usuários externos seja de aproximadamente 60% do número total de solicitações de autenticação federada, seu cálculo será igual a 1,8 (3 X .60), que você pode arredondar para 2. Portanto, nesse caso, você precisaria implantar duas máquinas proxy de servidor de federação para acomodar a carga de solicitações de autenticação de usuário externo para os três servidores de federação.
Em testes realizados pela equipe de produto do AD FS, a utilização geral da CPU em cada proxy do servidor de federação foi significativamente menor do que a utilização da CPU observada nos servidores de federação para o mesmo farm. Em um teste, enquanto uma CPU de servidor de federação estava indicando que estava completamente saturada, a CPU de um proxy de servidor de federação que fornece serviços de proxy para esse mesmo farm foi observada em apenas 20% de utilização. Portanto, nossos testes revelaram que a carga na CPU de um proxy de servidor de federação, que usa especificações de hardware semelhantes às discutidas anteriormente nesta seção, poderia razoavelmente lidar com a carga de processamento para aproximadamente três servidores de federação.
No entanto, para fins de tolerância a falhas, recomendamos um mínimo de dois proxies para servidores de federação para cada grupo de servidores de federação implantado.