Quando creare un server federativo

Quando si crea un server federativoin Active Directory Federation Services (AD FS), si fornisce un modo in cui l'organizzazione può:

  • Interagire con la comunicazione web basata sull'accesso Single Sign-On (SSO) con un'altra organizzazione (che ha anche almeno un server federativo) e, quando necessario, con i dipendenti dell'organizzazione (che devono accedere tramite – Internet).

  • Abilitare i servizi front-end per rappresentare utenti nei servizi di infrastruttura tramite la delega di identità. Per altre informazioni, vedere When to Use Identity Delegation.

Le sezioni seguenti descrivono alcune delle decisioni principali per determinare quando e dove creare uno o più server federativi.

Determinare il ruolo dell'organizzazione per il server federativo

Per prendere una decisione informata su quando creare un nuovo server federativo, è necessario innanzitutto determinare in quale organizzazione risiederà il server. Il ruolo di un server federativo in un'organizzazione dipende dal fatto che il server federativo sia stato posto nell'organizzazione partner account o nell'organizzazione partner risorse.

Quando un server federativo viene inserito nella rete aziendale del partner account, il suo ruolo è autenticare le credenziali utente dei client browser, servizio Web o selettore di identità e inviare i token di sicurezza ai client. Per altre informazioni, vedere Review the Role of the Federation Server in the Account Partner.

Quando un server federativo viene inserito nella rete aziendale del partner risorse, il suo ruolo è quello di autenticare gli utenti, in base a un token di sicurezza emesso da un server federativo nell'organizzazione partner risorse, oppure di reindirizzare le richieste di token dalle applicazioni Web configurate o dai servizi Web all'organizzazione partner account a cui appartiene il client. Per altre informazioni, vedere Review the Role of the Federation Server in the Resource Partner.

Determinare quale progettazione di AD FS distribuire

I server federativi vengono creati nell'organizzazione ogni volta che si vuole distribuire una delle progettazioni AD FS seguenti:

Se necessario, un'organizzazione che distribuisce una progettazione SSO Web federativo può configurare un singolo server federativo in modo che agisca sia nel ruolo partner account che nel ruolo partner risorse. In questo caso, il server federativo può produrre token Security Assertion Markup Language (SAML), in base agli account utente nella propria organizzazione, o reindirizzare le richieste di token all'organizzazione, in base alla posizione in cui si trovano gli account degli utenti.

Nota

Per la progettazione dell'accesso Single Sign-On Web federativo, devono essere presenti almeno un server federativo nel partner account e almeno un server federativo nel partner risorse.

Differenze tra un server federativo e un proxy server federativo

Un server federativo può gestire pagine Web per l'accesso, i criteri, l'autenticazione e l'individuazione nello stesso modo di un proxy server federativo. Le principali differenze tra un server federativo e un proxy server federativo hanno a che fare con le operazioni che un server federativo può eseguire che un proxy server federativo non può eseguire.

Di seguito sono riportate le operazioni che possono essere eseguite solo da un server federativo:

  • Il server federativo esegue le operazioni di crittografia che producono il token. Sebbene i proxy server federativi non possano produrre token, possono essere usati per instradare o reindirizzare i token ai client e, se necessario, al server federativo. Per altre informazioni sull'uso dei server federativi, vedere When to Create a Federation Server Proxy.

  • I server federativi supportano l'Windows autenticazione integrata per i client nella rete aziendale, a meno che i proxy server federativi non lo facciano. Per altre informazioni sull'uso Windows'autenticazione integrata con il server federativo, vedere When to Create a Federation Server Farm.

Attenzione

La comunicazione tra server federativi e database di configurazione di SQL Server, archivi di attributi di SQL Server, controller di dominio e istanze di AD LDS non offre protezione dell'integrità o della riservatezza per impostazione predefinita. Per ridurre questo inconveniente, valutare la possibilità di proteggere il canale di comunicazione tra questi server usando IPSEC o una connessione fisicamente sicura tra tutti questi server. Per la comunicazione tra i server federativi e i server SQL, valutare l'uso della protezione SSL nella stringa di connessione. Per le connessioni tra server federativi e i controller di dominio, valutare la possibilità di attivare la firma e la crittografia Kerberos. Per LDAP, LDAP/S non è supportato per AD LDS/Servizi di dominio Active Directory.

Come creare un server federativo

È possibile creare un server federativo usando la AD FS configurazione guidata server federativo o lo Fsconfig.exe da riga di comando. Quando si usa uno di questi strumenti, è possibile selezionare una qualsiasi delle opzioni seguenti per un server federativo.

Per altre informazioni dettagliate su come funziona ciascuna di queste opzioni, vedere The Role of the AD FS Configuration Database.

Per altre informazioni su come configurare tutti i prerequisiti necessari per distribuire un server federativo, vedere Checklist: Setting Up a Federation Server.

Vedere anche

Guida alla progettazione di AD FS in Windows Server 2012