Où placer un serveur de fédération
La méthode de sécurité conseillée consiste à placer les serveurs de fédération des services ADFS derrière un pare-feu et à les connecter à votre réseau d'entreprise pour empêcher l'exposition depuis Internet. Cela est important, car les serveurs de fédération ont toute autorité pour octroyer des jetons de sécurité. Par conséquent, ils doivent avoir le même niveau de protection qu’un contrôleur de domaine. Si un serveur de fédération est compromis, un utilisateur malveillant a la possibilité d’émettre des jetons d’accès complet à toutes les applications web et à tous les serveurs de fédération qui sont protégés par Services AD FS dans toutes les organisations partenaires de ressource.
Notes
Pour une sécurité optimale, veillez à ce que vos serveurs de fédération ne soient pas directement accessibles sur Internet. N’autorisez vos serveurs de fédération à accéder directement à Internet que lorsque vous configurez un environnement de test ou que votre organisation ne dispose pas d’un réseau de périmètre.
Pour les réseaux d'entreprise types, un pare-feu avec accès par intranet est établi entre le réseau de l'entreprise et le réseau de périmètre, et un pare-feu avec accès par Internet est souvent établi entre le réseau de périmètre et Internet. Dans cette situation, le serveur de fédération réside à l’intérieur du réseau de l’entreprise et n’est pas directement accessible par les clients Internet.
Notes
Les ordinateurs clients qui sont connectés au réseau de l’entreprise peuvent communiquer directement avec le serveur de fédération via l’authentification intégrée Windows.
Un serveur proxy de fédération doit être placé dans le réseau de périmètre avant de configurer vos serveurs pare-feu pour une utilisation avec AD FS. Pour plus d’informations, consultez l’article Where to Place a Federation Server Proxy (Où placer un serveur proxy de fédération).
Configuration de vos serveurs pare-feu pour un serveur de fédération
Pour que les serveurs de fédération puissent communiquer directement avec les serveurs proxy de fédération, le serveur de pare-feu intranet doit être configuré pour autoriser le trafic HTTPS (Secure Hypertext Transfer Protocol) entre le serveur proxy de fédération et le serveur de fédération. Cette opération est nécessaire, car le serveur pare-feu d’intranet doit publier le serveur de fédération via le port 443 afin que le serveur proxy de fédération de réseau de périmètre puisse accéder au serveur de fédération.
En outre, le serveur pare-feu d’intranet (par exemple, un serveur exécutant Internet Security and Acceleration Server) utilise un processus appelé publication de serveur, pour distribuer des demandes du client Internet aux serveurs de fédération d’entreprise appropriés. Cela signifie que vous devez créer manuellement sur le serveur intranet exécutant Internet Security and Acceleration Server, une règle qui publie l’URL du serveur de fédération en cluster, par exemple, http://fs.fabrikam.com.
Pour plus d'informations sur la configuration de la publication de serveur dans un réseau de périmètre, consultez Where to Place a Federation Server Proxy. Pour plus d'informations sur la configuration d’Internet Security and Acceleration Server pour publier un serveur, consultez Create a secure Web publishing rule.