Rôle de la base de données de configuration AD FS

La base de données de configuration AD FS stocke toutes les données de configuration qui représentent une seule instance de services de fédération Active Directory (AD FS) (AD FS) (autrement dit, le service FS (Federation Service)). La base de données de configuration AD FS définit l'ensemble des paramètres qui permettent à un service de fédération d'identifier les partenaires, les certificats, les magasins d'attributs, les revendications et différentes données sur ces entités associées. vous pouvez stocker ces données de configuration dans une ® base de données Microsoft SQL Server ou dans la fonctionnalité de Base de données interne Windows (WID) qui est incluse avec Windows Server 2012 ou une version ultérieure.

Notes

Tout le contenu de la base de données de configuration AD FS peut être stocké soit dans une instance de la base de données interne Windows, soit dans une instance de la base de données SQL, mais pas dans les deux. Cela signifie que vous ne pouvez pas avoir certains serveurs de fédération utilisant la base de données interne Windows et d'autres une base de données SQL Server pour la même instance de la base de données de configuration AD FS.

À partir des informations fournies dans cette rubrique et du contenu de la rubrique Considérations sur la topologie du déploiement d'AD FS, vous pouvez avoir une idée des avantages et des inconvénients de la base de données interne Windows et de SQL Server pour stocker la base de données de configuration AD FS et effectuer votre choix en conséquence :

La base de données interne Windows utilise une base de données relationnelle et ne possède pas sa propre interface utilisateur de gestion. au lieu de cela, les administrateurs peuvent modifier le contenu de la base de données de configuration AD FS à l’aide du composant logiciel enfichable de gestion AD FS, Fsconfig.exe ou des applets de commande Windows PowerShell ™ .

Utilisation de la base de données interne Windows pour stocker la base de données de configuration AD FS

Vous pouvez créer la base de données de configuration AD FS à l’aide de WID comme magasin à l’aide de l’outil de ligne de commande Fsconfig.exe ou de l’Assistant Configuration du serveur de fédération AD FS. Quand vous utilisez l'un de ces outils, vous pouvez choisir l'une des options suivantes pour créer votre topologie de serveur de fédération. Chacune de ces options utilise la base de données interne Windows pour le stockage de la base de données de configuration AD FS :

  • Créer un serveur de fédération autonome

  • Créer le premier serveur de fédération dans une batterie de serveurs de fédération

  • Ajouter un serveur de fédération à une batterie de serveurs de fédération

Si vous choisissez l'option de création d'un serveur de fédération autonome, la base de données interne Windows est utilisée pour stocker une instance unique de la base de données de configuration AD FS. Cette instance ne peut pas être partagée par plusieurs serveurs de fédération. Elle est uniquement destinée aux environnements lab de test. Pour plus d'informations sur l'option de création d'un serveur de fédération autonome ou sur la façon d'en configurer un, consultez Serveur de fédération autonome utilisant la base de données interne Windows ou Créer un serveur de fédération autonome.

Si vous choisissez l'option permettant de sélectionner le premier serveur de fédération dans une batterie de serveurs de fédération, la base de données interne Windows est configurée de manière à ce que la batterie puisse ultérieurement accueillir des serveurs de fédération supplémentaires. Pour plus d'informations sur le déploiement d'une batterie utilisant la base de données interne Windows ou sur la façon d'en configurer une, consultez Batterie de serveurs de fédération utilisant la base de données interne Windows ou Créer le premier serveur de fédération dans une batterie de serveurs de fédération

Si vous choisissez l'option permettant d'ajouter un serveur de fédération, la base de données interne Windows est configurée de manière à pouvoir répliquer les modifications apportées à la base de données de configuration vers le nouveau serveur de fédération à des intervalles définis. Pour plus d'informations sur l'ajout d'un serveur de fédération à une batterie utilisant la base de données interne Windows, consultez Batterie de serveurs de fédération utilisant la base de données interne Windows ou Ajouter un serveur de fédération à une batterie de serveurs de fédération.

Notes

Lorsque vous déployez une batterie de serveurs de Fédération à l’aide de WID, certaines fonctionnalités de AD FS peuvent ne pas être disponibles. Pour avoir accès à toutes les fonctionnalités quand vous configurez votre batterie de serveurs, envisagez plutôt d'utiliser Microsoft SQL Server pour stocker la base de données de configuration AD FS. Pour plus d'informations, consultez Considérations sur la topologie du déploiement d'AD FS.

Fonctionnement d'une batterie de serveurs de fédération utilisant la base de données interne Windows

Cette section décrit des concepts importants qui expliquent comment la batterie de serveurs de fédération utilisant la base de données interne Windows réplique des données entre un serveur de fédération principal et des serveurs de fédération secondaires. .

Serveur de fédération principal

un serveur de fédération principal est un ordinateur exécutant Windows Server 2012 ou une version ultérieure configurée avec le rôle de serveur de fédération à l’aide de l’assistant Configuration du serveur de fédération AD FS et qui possède une copie en lecture/écriture de la base de données de configuration AD FS. Le serveur de Fédération principal est toujours créé lorsque vous utilisez l’Assistant Configuration du serveur de fédération AD FS et sélectionnez l’option permettant de créer un service FS (Federation Service) et de faire de cet ordinateur le premier serveur de Fédération de la batterie. Tous les autres serveurs de fédération de cette batterie, également appelés serveurs de fédération secondaires, doivent synchroniser les modifications apportées sur le serveur de fédération principal avec une copie de la base de données de configuration AD FS qui est stockée localement.

Serveurs de fédération secondaires

Les serveurs de fédération secondaires stockent une copie de la base de données de configuration AD FS à partir du serveur de fédération principal, mais ces copies sont en lecture seule. À intervalles réguliers, les serveurs de fédération secondaires se connectent au serveur de fédération principal de la batterie et l'interrogent pour synchroniser les données si des modifications de données ont eu lieu. Les serveurs de fédération secondaires fournissent la fonctionnalité de tolérance de panne pour le serveur de fédération principal tout en équilibrant la charge des demandes d'accès effectuées sur les différents sites de votre environnement réseau.

Synchronisation de la base de données de configuration AD FS

Comme la base de données de configuration AD FS joue un rôle important, tous les serveurs de fédération du réseau peuvent fournir les fonctionnalités de tolérance de panne et d'équilibrage de charge pendant le traitement des demandes (si des équilibreurs de charge réseau sont utilisés). Toutefois, pour que les serveurs de fédération secondaires offrent ces fonctionnalités, la base de données de configuration AD FS stockée sur le serveur de fédération principal doit être synchronisée.

Quand vous ajoutez un serveur de fédération à la batterie, le nouvel ordinateur qui devient un serveur de fédération secondaire se connecte au serveur de fédération principal pour répliquer la copie de la base de données de configuration AD FS. Dès cet instant, le nouveau serveur de fédération extrait les mises à jour du serveur de fédération principal à intervalles réguliers, comme le montre l'illustration suivante.

AD FS configuration

Chaque serveur de fédération secondaire interroge le serveur de fédération principal toutes les cinq minutes pour déterminer si des modifications ont été apportées. Vous pouvez ajuster ce paramétrage de cinq minutes par défaut ou exécuter une synchronisation à tout moment à l'aide d'une applet de commande Windows PowerShell. Pour plus d’informations sur la procédure à suivre, consultez AD FS administration avec Windows PowerShell.

Le processus de synchronisation avec la base de données interne Windows prend également en charge les transferts incrémentiels, ce qui permet de transférer les modifications intermédiaires de façon plus efficace. Le processus de transfert incrémentiel génère sensiblement moins de trafic réseau, et les transferts sont effectués beaucoup plus rapidement.

Notes

La migration d'une base de données de configuration AD FS depuis la base de données interne Windows vers une instance de SQL Server est prise en charge. pour plus d’informations sur la procédure à suivre, consultez AD FS : migration de votre base de données de Configuration AD FS vers SQL Server sur le site Wiki TechNet.

Gestion des propriétés de synchronisation AD FS

Cette section décrit comment afficher et modifier les propriétés de synchronisation de la base de données de configuration AD FS. .

L’applet de commande obtenir-ADFSSyncProperties obtient les propriétés de synchronisation de la base de données de configuration de services de fédération Active Directory (AD FS) (AD FS).

PS C:\> Get-ADFSSyncProperties

Sur le serveur de AD FS principal, cette applet de commande indique uniquement que le rôle est l’ordinateur principal. Sur un membre secondaire, il affiche le reste de la configuration, notamment le nom de domaine complet de la dernière synchronisation à partir de l’ordinateur principal, l’état de la dernière synchronisation et l’heure, la durée de l’interrogation, le nom de l’ordinateur principal actuellement configuré, le port de l’ordinateur principal et le rôle de l’ordinateur secondaire.

L’applet de commande Set-ADFSSyncProperties modifie la fréquence de synchronisation de la base de données de configuration services de fédération Active Directory (AD FS) (AD FS). L’applet de commande spécifie également le serveur de Fédération qui est le serveur principal de la batterie de serveurs de Fédération.

Notes

Si un serveur de fédération principal tombe en panne et se retrouve hors connexion, tous les serveurs de fédération secondaires continuent de traiter les demandes normalement. Toutefois, aucune nouvelle modification ne peut être apportée au service de fédération tant que le serveur de fédération principal n'est pas de nouveau en ligne. Vous pouvez également désigner un serveur de fédération secondaire comme serveur de fédération principal à l'aide de Windows PowerShell. Si vous désignez un nouveau serveur principal, les serveurs restent les serveurs qui doivent être modifiés pour refléter le nouveau serveur principal. Avoir 2 serveurs primaires avec une batterie de serveurs WID aura un impact sur la stabilité de la batterie de serveurs et passibility de perdre des données.

Modifier la durée du sondage pour une batterie de serveurs

PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"

Cette commande modifie la synchronisation de la base de données à 3600 secondes. La commande apporte la modification au serveur de Fédération principal.

Remplacer un serveur secondaire par un serveur principal

PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"

Cette commande permet de modifier un serveur AD FS dans une batterie de serveurs WID de secondaire à principal.

Remplacer un serveur principal par un serveur secondaire

PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"

Cette commande permet de modifier un serveur de AD FS principal dans une batterie de serveurs WID sur un serveur secondaire. Vous devez spécifier le nom de domaine complet du serveur principal. Si ce n’est pas le cas, tous les serveurs de AD FS secondaires ne pourront pas se synchroniser correctement. Remarque : le serveur principal doit être accessible via HTTP sur le port 80 à partir du serveur secondaire.

Pour plus d’informations , consultez SET-AdfsSyncProperties .

Utilisation de SQL Server pour stocker la base de données de configuration AD FS

À l'aide de l'outil en ligne de commande Fsconfig.exe, vous pouvez créer la base de données de configuration AD FS en utilisant une seule instance de base de données SQL Server comme magasin. Utiliser une base de données SQL Server comme base de données de configuration AD FS présente les avantages suivants par rapport à la base de données interne Windows :

  • Les administrateurs peuvent tirer parti des fonctionnalités haute disponibilité de SQL Server

  • Les performances sont accrues en cas de trafic élevé.

  • La résolution d'artefacts SAML et la détection de relecture de jetons SAML/WS-Federation, décrites ci-après, sont prises en charge.

le terme « serveur de fédération principal » ne s’applique pas lorsque la base de données de configuration AD FS est stockée dans une instance de base de données SQL, car tous les serveurs de fédération peuvent également lire et écrire dans la base de données de configuration AD FS qui utilise la même instance de SQL Server en cluster, comme indiqué dans l’illustration suivante.

AD FS roles

vous pouvez utiliser SQL Server pour configurer deux serveurs ou plus afin qu’ils fonctionnent ensemble en tant que cluster de serveurs afin de garantir que AD FS est rendu hautement disponible pour traiter les demandes entrantes des clients. La haute disponibilité offre une architecture de montée en charge dans laquelle vous pouvez augmenter la capacité des serveurs en ajoutant des serveurs. Les défaillances sont limitées grâce au basculement de cluster automatique.

Vous pouvez bénéficier de la haute disponibilité en utilisant les services d'équilibrage de charge réseau et de basculement fournis par les technologies de clustering SQL. pour plus d’informations sur la configuration de SQL Server pour la haute disponibilité, consultez vue d’ensemble des Solutions de haute disponibilité.

Résolution d’artefacts SAML

La résolution d'artefacts SAML (Security Assertion Markup Language) repose sur la partie du protocole SAML 2.0 qui explique comment une partie de confiance peut récupérer un jeton directement d'un fournisseur de revendications. Au cours de la première phase du processus de résolution, un client de navigateur contacte un serveur de fédération de ressources et lui fournit un artefact. Pendant la deuxième phase, les serveurs de fédération de ressources envoient l'artefact à une URL de point de terminaison d'artefact SAML hébergée dans une organisation partenaire de compte pour résoudre le message d'artefact. Au cours de la dernière phase, le serveur de fédération de comptes émet le jeton pour le serveur de fédération pour le compte du client de navigateur.

Notes

si vous êtes administrateur dans une organisation partenaire de compte, assurez-vous d’affecter ou de lier un certificat SSL, qui est lié à un certificat racine d’un membre du programme de certificat racine Windows, au site web passif de fédération dans IIS ( < nomordinateur > \Sites\Default Web Site\adfs\ls) sur tous les serveurs de fédération de comptes de la batterie. Ainsi, les serveurs de fédération de ressources n'ont pas besoin d'ajouter eux-mêmes le certificat SSL au magasin de certificats Ordinateur Local/Personnes autorisées et peuvent résoudre l'artefact publié dans votre organisation.

Détection de relecture de jetons SAML/WS-Federation

La relecture de jetons fait référence à la tentative par un client de navigateur dans une organisation partenaire de compte d'envoyer plusieurs fois le jeton qu'il a reçu d'un serveur de fédération de comptes pour s'authentifier auprès d'un serveur de fédération de ressources. Cette action se produit quand un utilisateur clique sur le bouton Précédent de son navigateur pour renvoyer la page d'authentification.

AD FS fournit une fonctionnalité appelée détection de relecture de jetons qui permet de détecter et d'abandonner plusieurs demandes de jeton utilisant le même jeton. Quand cette fonctionnalité est activée, la détection de relecture de jetons protège l'intégrité des demandes d'authentification dans le profil passif WS-Federation et dans le profil WebSSO SAML en s'assurant qu'un même jeton n'est jamais réutilisé. Cette fonctionnalité doit être activée dans les situations où la sécurité est très importante, par exemple quand des bornes sont utilisées.

Dans l'exemple des bornes, un utilisateur peut se déconnecter de tous les sites web, puis un utilisateur malveillant peut essayer d'exploiter l'historique de navigation pour renvoyer la page d'authentification fédérée que l'utilisateur précédent avait chargée. Cette fonctionnalité limite ce risque en stockant des informations supplémentaires au sujet de chaque authentification réussie effectuée par une organisation partenaire de compte pour détecter les relectures ultérieures du jeton et empêcher plusieurs tentatives d'authentification.