Planificar la implementación de AD FS
Se aplica a: Azure, Office 365, Power BI, Windows Intune
El primer paso en la planeación de una implementación de AD FS para un servicio en la nube de Microsoft consiste en seleccionar la topología de implementación adecuada a las necesidades de inicio de sesión único de tu organización. AD FS requiere que utilices la característica Windows Internal Database (WID) o una base de datos de SQL Server para almacenar los datos de configuración de AD FS utilizados por el servicio de federación.
La topología recomendada de AD FS para la mayoría de los clientes de servicios en la nube de Microsoft es el uso de la granja de servidores de federación con la topología de servidores proxy y WID que se indica a continuación. También hay una opción avanzada para crear una granja de servidores de federación con proxies SQL Server, que se mencionará más adelante en esta sección.
Además, en esta sección se facilita una tabla para determinar el número de servidores de AD FS que se deben implementar en tu organización, así como información sobre la adición de servidores de federación para aumentar el rendimiento.
Topología recomendada: Granja de servidores de federación con WID y proxies
Opción avanzada: Granja de servidores de federación con SQL Server y servidores proxy
Tabla de estimación: Determinar el número de servidores de AD FS que se implementarán en tu organización
Adición de servidores de federación para aumentar el rendimiento
Topología recomendada: Granja de servidores de federación con WID y proxies
La topología predeterminada para un servicio en la nube de Microsoft es una granja de servidores de federación de AD FS que consta de varios servidores que hospedan el servicio de federación de tu organización. En esta topología, AD FS utiliza WID como base de datos de configuración de AD FS para todos los servidores de federación que se unen a esa granja. La granja replica y mantiene los datos del Servicio de federación en la base de datos de configuración de todos los servidores de la granja.
Al crear el primer servidor de federación en una granja, se crea también un nuevo servicio de federación. Cuando se usa WID como base de datos de configuración de AD FS, el primer servidor de federación que se crea en la granja se denomina servidor de federación principal. Esto significa que el equipo se configurará con una copia de lectura/escritura de la base de datos de configuración de AD FS.
Todos los demás servidores de federación configurados para esta granja se denominan servidores de federación secundarios, ya que deben replicar todos los cambios que se realizan en el servidor de federación principal en sus copias de solo lectura de la base de datos de configuración de AD FS que almacenan de forma local.
Nota
Se recomienda utilizar al menos dos servidores de federación en una configuración con equilibrio de carga.
La configuración de esta topología básica de granja de servidores de federación es la primera fase de tu implementación de AD FS. La segunda fase consiste en determinar cómo proporcionar la funcionalidad de control de acceso de los usuarios externos mediante la implementación de:
Proxies de aplicación web, si utilizas AD FS en Windows Server 2012 R2
Servidores proxy de federación, si utilizas AD FS 2.0 o AD FS en Windows Server 2012
Fase 1: Implementar tu granja de servidores de federación
Cuando estés preparado para iniciar la implementación de tu granja, deberás planear la ubicación de todos los servidores de federación de tu red corporativa detrás de un host de equilibrio de carga de red (NLB) que puede configurarse para un clúster NLB con un nombre DNS del clúster y una dirección IP del clúster dedicados.
Importante
Este nombre DNS del clúster debe coincidir con el nombre del servicio de federación (por ejemplo, fs.fabrikam.com) y poder enrutarse en Internet para la instancia de AD FS que implementes. Si el nombre no coincide, la solicitud de autenticación no se enrutará al servidor DNS ni al servidor de federación correctos.
El host NLB puede utilizar la configuración definida en este clúster NLB para asignar las solicitudes de clientes a servidores de federación individuales. El diagrama siguiente ilustra la forma en que Fabrikam, Inc. puede configurar la primera fase de su implementación con una granja de servidores de federación de dos equipos (fs1 y fs2) con WID y la ubicación de un servidor DNS y un único host NLB conectado por cable a la red corporativa.
.gif "Granja de servidores de federación con WID")
Nota
Si se produce un error en este único host NLB, los usuarios no podrán tener acceso a el servicio en la nube. Agrega hosts NLB adicionales si tus necesidades empresariales no permiten tener un único punto de error.
Fase 2: Implementar los proxies
En general, los servidores proxy se utilizan para redirigir las solicitudes de autenticación de clientes que provienen de fuera de la red corporativa a la granja de servidores de federación, es decir, para configurar el acceso de extranet.
Importante
Según la versión de AD FS que quieras utilizar, puedes implementar proxies de aplicación web (en AD FS en Windows Server 2012 R2) o servidores proxy de federación (en AD FS 2.0 y AD FS en Windows Server 2012). Para conocer las definiciones y las descripciones de las funciones de un proxy de aplicación web y un servidor proxy de federación, consulta Revisar la terminología de AD FS.
Para un cliente de un servicio en la nube de Microsoft, es necesario implementar servidores proxy en la infraestructura de AD FS existente a fin de habilitar los escenarios de usuario siguientes:
Equipo de trabajo, movilidad: Los usuarios que han iniciado sesión en equipos unidos a dominio con sus credenciales corporativas, pero que no se han conectado a la red corporativa (por ejemplo, un equipo de trabajo en casa o en un hotel), pueden tener acceso a el servicio en la nube.
Equipo doméstico o público: Cuando el usuario utiliza un equipo que no está unido al dominio corporativo, debe iniciar sesión con las credenciales corporativas para tener acceso a el servicio en la nube.
Smartphone: En un smartphone, para tener acceso a el servicio en la nube, como Microsoft Exchange Online, con Microsoft Exchange ActiveSync, el usuario debe iniciar sesión con las credenciales corporativas.
Microsoft Outlook u otros clientes de correo electrónico: El usuario debe iniciar sesión con sus credenciales corporativas para tener acceso a su correo electrónico de Office 365 si utiliza Outlook o un cliente de correo electrónico que no forme parte de Office; por ejemplo, un cliente IMAP o POP.
Para admitir estos escenarios de usuario, esta segunda fase se integrará en la Fase 1 de implementación explicada anteriormente mediante la adición de dos servidores proxy de aplicación web y dos servidores proxy de federación, el acceso a un servidor DNS en la red perimetral y el acceso a un segundo host NLB en la red perimetral.
El segundo host NLB debe configurarse con un clúster NLB que use una dirección IP del clúster a la que se pueda tener acceso desde Internet, y debe utilizar la misma configuración de nombre DNS del clúster que el clúster NLB anterior configurado en la red corporativa durante la Fase 1 (fs.fabrikam.com). Los servidores proxy de aplicación web o los servidores proxy de federación también se configurarán con direcciones IP a las que se pueda tener acceso desde Internet.
El siguiente diagrama muestra la implementación existente de la Fase 1 y cómo Fabrikam, Inc. puede proporcionar acceso a un servidor DNS perimetral, agregar un segundo host NLB con el mismo nombre DNS del clúster (fs.fabrikam.com) y agregar dos servidores proxy de federación (fsp1 y fsp2) a la red perimetral.
El siguiente diagrama muestra la implementación existente de la Fase 1 y cómo Fabrikam, Inc. puede proporcionar acceso a un servidor DNS perimetral, agregar un segundo host NLB con el mismo nombre DNS del clúster (fs.fabrikam.com) y agregar dos servidores proxy de aplicación web (fsp1 y fsp2) a la red perimetral.
.gif "ADFSProxyDeploymentSSO")
Nota
- Puede utilizar soluciones de proxy inverso HTTP de otros fabricantes para publicar AD FS en la extranet. Para obtener más información sobre cómo hacerlo, consulta Configuración de las opciones avanzadas de AD FS 2.0.
- Todas las comunicaciones de AD FS que pasan por el firewall se basan en HTTPS.
- Puedes crear reglas de notificaciones personalizadas en AD FS que limitarán el acceso de sus usuarios a el servicio en la nube según la ubicación física del equipo cliente o el dispositivo cliente a través del cual el usuario solicita acceso. Para obtener más información sobre cómo crear estas reglas, consulta Limiting Access to Office 365 Services Based on Client Location (Limitar el acceso a los servicios de Office 365 según la ubicación del cliente).
Opción avanzada: Granja de servidores de federación con SQL Server y servidores proxy
Esta es una opción avanzada de topología de implementación de AD FS que utiliza proxies de aplicación web o servidores proxy de federación y una configuración de SQL Server para permitir que todos los servidores de federación de la granja lean y escriban en una base de datos SQL Server común. El uso de una base de datos SQL Server como base de datos de configuración de AD FS ofrece las ventajas siguientes con respecto a WID:
Características de alta disponibilidad de SQL Server que pueden utilizar los administradores.
Mejoras de rendimiento adicionales, incluida la capacidad de escalar más de cinco servidores de federación (WID se limita a cinco servidores de federación por granja).
Equilibrio de carga geográfico para contribuir a los aumentos en el tráfico elevado basado en la ubicación.
Nota
Dado que esta topología es una opción avanzada de implementación de AD FS, en este artículo no se abordan los detalles de cómo funciona esta topología ni cómo implementarla.
Para obtener más información sobre esta opción de topología, consulta Configuración de las opciones avanzadas de AD FS 2.0.
Tabla de estimación: Determinar el número de servidores de AD FS que se implementarán en tu organización
Puedes usar la siguiente tabla como ayuda para estimar el número mínimo de servidores de federación de AD FS y servidores proxy de aplicación web o servidores proxy de federación que deberás ubicar en una granja de servidores de federación configurada con WID en toda la infraestructura de tu red corporativa, en función del número de usuarios que necesiten el acceso de inicio de sesión único, incluido el acceso remoto, a el servicio en la nube.
Nota
Todos los equipos que se configuren para el rol de servidor de federación o servidor proxy de federación deben ejecutar el sistema operativo Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012. Todos los equipos que se configuren para ejecutar el servicio de rol de proxy de aplicación web deben ejecutar el sistema operativo Windows Server 2012 R2.
Se recomienda utilizar un servidor de federación para tener en cuenta la redundancia. La tabla siguiente sigue esta recomendación.
| Número de usuarios que acceden a el servicio en la nube | Número mínimo de servidores de la implementación | Recomendación y pasos |
|---|---|---|
Menos de 1000 usuarios |
0 servidores de federación dedicados 0 servidores proxy dedicados 1 servidor NLB dedicado |
Para los servidores de federación, utiliza dos controladores de dominio (DC) de Active Directory existentes y configura ambos para el rol de servidor de federación. Para ello, primero selecciona dos DC existentes y luego:
Para NLB, configura un host NLB existente u obtén un servidor dedicado y, a continuación, instala el rol de servidor NLB en él y configura el servidor NLB. Para los servidores proxy, utiliza dos servidores proxy o web existentes y configura ambos para el rol de servidor proxy de federación o el rol de proxy de aplicación web. Para ello, selecciona dos servidores proxy o web existentes que residan en la extranet y a continuación:
Nota Si no dispones de dos DC y dos servidores web o proxy, o no ejecutan Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2, debes implementar servidores dedicados en su lugar, según se analiza en la siguiente fila de esta tabla. Importante Si ejecutas AD FS 2.0 o AD FS en Windows Server 2012, debes implementar y configurar servidores proxy de federación. Si utilizas AD FS en Windows Server 2012 R2, solo puedes configurar e implementar servidores proxy de aplicación web. En Windows Server 2012 R2, se utiliza un proxy de aplicación web, un nuevo servicio del rol de servidor de acceso remoto, para configurar AD FS para el acceso de extranet. |
De 1000 a 15.000 usuarios |
2 servidores de federación dedicados 2 servidores proxy dedicados |
Para los servidores de federación, obtén dos servidores dedicados y luego:
Para los servidores proxy, obtén dos servidores dedicados que puedas colocar en la extranet:
Importante Si ejecutas AD FS 2.0 o AD FS en Windows Server 2012, debes implementar y configurar servidores proxy de federación. Si utilizas AD FS en Windows Server 2012 R2, solo puedes configurar e implementar servidores proxy de aplicación web. En Windows Server 2012 R2, se utiliza un proxy de aplicación web, un nuevo servicio del rol de servidor de acceso remoto, para configurar AD FS para el acceso de extranet. |
De 15.000 a 60.000 usuarios |
Entre 3 y 5 servidores de federación dedicados Al menos 2 servidores proxy dedicados |
Cada servidor de federación dedicado puede admitir aproximadamente 15.000 usuarios. Por lo tanto, agrega un servidor de federación dedicado adicional a la implementación básica de dos servidores de federación que se describe anteriormente para cada 15.000 usuarios que deban tener acceso a el servicio en la nube, hasta un máximo de cinco servidores de federación en la granja o 60.000 usuarios. Nota Una granja de servidores de federación de AD FS configurada para utilizar WID admite un máximo de cinco servidores de federación. Si necesitas más de cinco servidores de federación, debes configurar una base de datos SQL Server para almacenar la base de datos de configuración de AD FS. Para obtener más información sobre esta opción, consulta Configuración de las opciones avanzadas de AD FS 2.0. |
Las recomendaciones sobre el número mínimo de usuarios por servidor proporcionadas en la tabla anterior se calculan en función del siguiente hardware:
| Hardware | Especificaciones |
|---|---|
Velocidad de CPU |
CPU con procesador dual de cuatro núcleos de 2,27 GHz (8 núcleos) |
RAM |
4 gigabytes (GB) |
Red |
Gigabit |
Adición de servidores de federación para aumentar el rendimiento
Cuando se configuran dos o más servidores de federación en una granja mediante la tecnología NLB, pueden funcionar de forma independiente para contribuir al procesamiento de la carga de las solicitudes de usuario entrantes realizadas al servicio de federación de AD FS, sin necesidad de restar rendimiento general al servicio completo. Por tanto, la adición de más servidores de federación al entorno de producción existente supone poca sobrecarga una vez que has implementado los servidores de federación iniciales de forma estratégica en tu red.
Paso siguiente
Ahora que has planeado la implementación de AD FS, el paso siguiente es Revisión de los requisitos para implementar AD FS.
Vea también
Conceptos
Lista de comprobación: Utilizar AD FS para implementar y administrar el inicio de sesión único