Quando creare un server federativo
Quando si crea un server federativo in Active Directory Federation Services (AD FS), è possibile fornire un mezzo tramite il quale l'organizzazione può:
Effettuare comunicazioni basate su Web SSO (Single Sign-on) con un'altra organizzazione (che dispone anche di almeno un server federativo) e, se necessario, con i dipendenti dell'organizzazione (che richiedono l'accesso tramite Internet).
Abilitare i servizi front-end per rappresentare utenti nei servizi di infrastruttura tramite la delega di identità. Per altre informazioni, vedere When to Use Identity Delegation.
Nelle sezioni seguenti vengono descritte alcune delle decisioni chiave per determinare quando e dove creare uno o più server federativi.
Determinare il ruolo dell'organizzazione per il server federativo
Per prendere una decisione consapevole su quando creare un nuovo server federativo, è necessario prima di tutto determinare in quale organizzazione risiederà il server. Il ruolo svolto da un server federativo in un'organizzazione dipende dal fatto che si inserisca il server federativo nell'organizzazione partner account o nell'organizzazione partner risorse.
Quando un server federativo è posizionato nella rete aziendale del partner account, ha il ruolo di autenticare le credenziali utente del browser, del servizio Web o dei client del selettore di identità e di inviare i token di sicurezza ai client. Per altre informazioni, vedere Review the Role of the Federation Server in the Account Partner.
Quando un server federativo viene inserito nella rete aziendale del partner risorse, il suo ruolo consiste nell'autenticare gli utenti, in base a un token di sicurezza emesso da un server federativo nell'organizzazione partner risorse oppure il suo ruolo consiste nel reindirizzare le richieste di token dalle applicazioni Web configurate o dai servizi Web all'organizzazione partner account a cui appartiene il client. Per altre informazioni, vedere Review the Role of the Federation Server in the Resource Partner.
Determinare quale progettazione di AD FS distribuire
È possibile creare server federativi nell'organizzazione ogni volta che si vuole distribuire una delle progettazioni di AD FS seguenti:
Se necessario, un'organizzazione che distribuisce un progetto SSO Web federativo può configurare un singolo server in modo che operi sia nel ruolo di partner account che nel ruolo di partner risorse. In questo caso, il server federativo può produrre token SAML (Security Assertion Markup Language), basati sugli account utente nella propria organizzazione, o reindirizzare le richieste di token all'organizzazione, in base alla posizione in cui risiedono gli account degli utenti.
Nota
Per la progettazione dell'accesso Single Sign-On Web federativo, deve essere presente almeno un server federativo nel partner account e almeno un server federativo nel partner risorse.
Differenze tra un server federativo e un proxy server federativo
Un server federativo può servire pagine Web per l'accesso, i criteri, l'autenticazione e l'individuazione nello stesso modo in cui fa un proxy server federativo. Le principali differenze tra un server federativo e un proxy server federativo devono fare con le operazioni che un server federativo può eseguire che un proxy server federativo non può eseguire.
Di seguito sono riportate le operazioni che possono essere eseguite solo da un server federativo:
Il server federativo esegue le operazioni di crittografia che producono il token. Anche se i proxy del server federativo non possono produrre token, possono essere usati per instradare o reindirizzare i token al client e, quando necessario, di nuovo al server federativo. Per altre informazioni sull'uso dei server federativi, vedere Quando creare un proxy server federativo.
A differenza dei proxy server federativi, i server federativi supportano l'uso dell'autenticazione integrata di Windows per i client della rete aziendale. Per altre informazioni sull'uso dell'autenticazione integrata di Windows con il server federativo, vedere Quando creare una server farm federativa.
Attenzione
La comunicazione tra server federativi e database di configurazione di SQL Server, archivi di attributi di SQL Server, controller di dominio e istanze di AD LDS non offre protezione dell'integrità o della riservatezza per impostazione predefinita. Per ridurre questo inconveniente, valutare la possibilità di proteggere il canale di comunicazione tra questi server usando IPSEC o una connessione fisicamente sicura tra tutti questi server. Per la comunicazione tra i server federativi e i server SQL, valutare l'uso della protezione SSL nella stringa di connessione. Per le connessioni tra server federativi e i controller di dominio, valutare la possibilità di attivare la firma e la crittografia Kerberos. Per LDAP, LDAP/S non è supportato per AD LDS/Servizi di dominio Active Directory.
Come creare un server federativo
È possibile creare un server federativo con la configurazione guidata del server federativo AD FS o lo strumento da riga di comando Fsconfig.exe. Quando si usa uno di questi strumenti, è possibile selezionare una qualsiasi delle opzioni seguenti per un server federativo.
Creare un server federativo autonomo
Per altre informazioni su come configurare un server federativo autonomo, vedere Create a Stand-Alone Federation Server.
Creare il primo server federativo in una server farm federativa
Per altre informazioni su come configurare il primo server federativo o aggiungere un server federativo a una farm, vedere Create the First Federation Server in a Federation Server Farm.
Aggiungere un server federativo a una server farm federativa
Per altre informazioni su come aggiungere un server federativo, vedere Add a Federation Server to a Federation Server Farm.
Per altre informazioni dettagliate su come funziona ciascuna di queste opzioni, vedere The Role of the AD FS Configuration Database.
Per altre informazioni su come configurare tutti i prerequisiti necessari per distribuire un server federativo, vedere Checklist: Setting Up a Federation Server.