規劃您的 AD FS 部署拓撲
規劃 Active Directory 同盟服務 (AD FS) 部署的第一個步驟是決定正確的部署拓撲,以符合您組織的需求。
在閱讀本文之前,請先檢閱 AD FS 資料如何儲存並複寫到同盟伺服器陣列中的其他同盟伺服器,並確定您了解儲存在 AD FS 設定資料庫中的基礎資料的目的及可用於該資料的複寫方法。
有兩種資料庫類型您可用來儲存 AD FS 設定資料:Windows 內部資料庫 (WID) 與 Microsoft SQL Server。 如需詳細資訊,請參閱 The Role of the AD FS Configuration Database。 檢閱與使用 WID 或 SQL Server 作為 AD FS 設定資料庫相關的各種優點和限制,以及它們支援的各種應用程式案例,然後做出選擇。
重要
若要實作基本備援、負載平衡,以及調整同盟服務 (如果需要) 的選項,無論您將使用的資料庫類型為何,都建議您針對所有實際執行環境中的每個同盟伺服器陣列至少部署兩部同盟伺服器。
決定要使用的 AD FS 設定資料庫類型
AD FS 會使用資料庫來儲存設定,以及 (在某些情況下) 儲存與 Federation Service 有關的交易資料。 您可以使用 AD FS 軟體來選取內建的 Windows 內部資料庫 (WID) 或是 Microsoft SQL Server 2008 或更新版本,以儲存 Federation Service 中的資料。
對於大多數用途而言,這兩個資料庫類型相對來說是一樣的。 但是,在您開始深入了解可與 AD FS 搭配使用的各種部署拓撲之前,應先注意一些差異。 下表說明 WID 資料庫與 SQL Server 資料庫之間支援之功能的差異。
| 描述 | 功能 | 受到 WID 支援? | 受到 SQL Server 支援? |
|---|---|---|---|
| AD FS 功能 | 同盟伺服器陣列部署 | 是。 如果您有 100 個或更少的信賴憑證者信任,那麼一個 WID 伺服器陣列的同盟伺服器數量限制為 30 部。 WID 伺服器陣列不支援權杖重新執行偵測或成品解析 (安全性聲明標記語言 (SAML) 通訊協定的一部分)。 |
是。 沒有限制您可以在單一伺服陣列中部署的同盟伺服器數目 |
| AD FS 功能 | SAML 成品解析 注意: 這個功能並非 Microsoft Online Services、Microsoft Office 365、Microsoft Exchange 或 Microsoft Office SharePoint 案例的必要功能。 |
No | Yes |
| AD FS 功能 | SAML/WS-同盟權杖重新執行偵測 | No | Yes |
| 資料庫功能 | 使用提取複寫的基本資料庫備援,其中裝載資料庫唯讀複本的一或多台伺服器會要求在裝載資料庫讀取/寫入複本之來源伺服器上所做的變更 | 是 | No |
| 資料庫功能 | 使用高可用性解決方案的資料庫備援,例如容錯移轉叢集或鏡像 (僅在資料庫層) 注意: 所有 AD FS 部署拓撲都支援 AD FS 服務層的叢集。 | No | Yes |
SQL Server 考量
如果您選取 SQL Server 做為 AD FS 部署的設定資料庫,您應該考量下列部署事實。
SAML 功能及其對於資料庫大小與成長的影響。 在啟用 SAML 成品解析或 SAML 權杖重新執行偵測功能時,AD FS 會在 SQL Server 設定資料庫中儲存所簽發之每個 AD FS 權杖的資訊。 因為這個活動而導致的 SQL Server 資料庫成長並不明顯,而且會根據設定之權杖的重新執行保留期間而定。 每個成品記錄的大小約為 30 KB。
部署所需的伺服器數目。 您至少需要額外新增一部伺服器 (至部署 AD FS 基礎結構所需的伺服器總數),作為 SQL Server 執行個體的專用主機。 如果您規劃使用容錯移轉叢集或鏡像來為 SQL Server 設定資料庫提供容錯和延展性,則至少需要兩部 SQL Srver。
您選取設定資料庫類型的方式可能會影響硬體資源
與使用 SQL Server 資料庫在伺服陣列中部署的同盟伺服器相較之下,對使用 WID 在伺服陣列中部署之同盟伺服器上的硬體資源影響並不明顯。 但是,請務必考量當您針對伺服陣列使用 WID 時,該伺服陣列中的每部同盟伺服器都必須儲存、管理及維護其 AD FS 設定資料庫之本機複本的複寫變更,同時還要繼續提供 Federation Service 所需的一般操作。
相較之下,使用 SQL Server 資料庫在伺服陣列中部署的同盟伺服器並不需要包含 AD FS 設定資料庫的本機執行個體。 因此,它們對硬體資源的要求會比較低。
放置同盟伺服器的位置
最安全的做法是將 AD FS 同盟伺服器放在防火牆之前,再將它們連接到公司網路,以避免曝露在網際網路上。 這點很重要,因為同盟伺服器有完整權限可授與安全性權杖。 因此,它們應該像網域控制站一樣受到保護。 如果同盟伺服器遭到入侵,惡意使用者就能夠向所有 Web 應用程式以及受 AD FS 保護的同盟伺服器發出完全存取權杖。
注意
最安全的做法是避免將同盟伺服器直接放在網際網路上任由存取。 只有當您要設定測試實驗室環境,或您的組織沒有周邊網路時,才能考慮讓同盟伺服器可供網際網路直接存取。
對於一般的公司網路而言,公司網路與周邊網路之間會建立內部網路對向防火牆,而周邊網路與網際網路之間通常會建立網際網路對向防火牆。 在此情況下,同盟伺服器位於內部公司網路,無法由網際網路用戶端直接存取。
注意
連線到公司網路的用戶端電腦可以透過 Windows 整合式驗證,直接與同盟伺服器通訊。
在設定防火牆伺服器以與 AD FS 一起使用之前,應該先將同盟伺服器 Proxy 放在周邊網路中。
受支援的部署拓撲
下列文章說明您可以與 AD FS 搭配使用的各種部署拓撲。 其中也會說明與每個部署拓撲相關聯的優點與限制,讓您能夠針對特定的商業需求選取最適當的拓撲。