Dove posizionare un server federativo
Come procedura di sicurezza consigliata, posizionare i server federativi di AD FS dietro un firewall e connetterli alla rete aziendale per evitare l'esposizione da Internet. Questo aspetto è importante perché i server federativi hanno autorizzazioni complete per concedere i token di sicurezza. Di conseguenza, dovranno avere la stessa protezione di un controller di dominio. Se un server federativo viene compromesso, un utente malintenzionato ha la possibilità di rilasciare token di accesso completi a tutte le applicazioni Web e ai server federativi protetti da Active Directory Federation Services (AD FS) in tutte le organizzazioni partner risorse.
Nota
Come procedura di sicurezza consigliata, evitare che i server federativi siano direttamente accessibili su Internet. È consigliabile assegnare ai server federativi l'accesso diretto a Internet solo quando si configura un ambiente di lab di test oppure quando l'organizzazione non è dotata di una rete perimetrale.
Per le reti aziendali tipiche, viene stabilito un firewall sulla intranet tra la rete aziendale e la rete perimetrale e spesso viene stabilito un firewall con connessione Internet tra la rete perimetrale e Internet. In questo caso il server federativo risiede all'interno della rete aziendale e non è direttamente accessibile dai client Internet.
Nota
I computer client connessi alla rete aziendale possono comunicare direttamente con il server federativo con l'Autenticazione integrata di Windows.
Posizionare un proxy server federativo nella rete perimetrale prima di configurare i server del firewall da usare con AD FS. Per altre informazioni, vedere Dove posizionare un Proxy Server federativo.
Configurazione dei server del firewall per un server federativo
Affinché i server federativi possano comunicare direttamente con i proxy server federativi, è necessario configurare il server firewall Intranet in modo da consentire il traffico HTTPS (Secure Hypertext Transfer Protocol) dal proxy server federativo al server federativo. Questo è un requisito perché il server firewall Intranet deve pubblicare il server federativo usando la porta 443 in modo che il proxy server federativo nella rete perimetrale possa accedere al server federativo.
In aggiunta, il server del firewall sulla Intranet, ad esempio un server che esegue Internet Security and Acceleration (ISA) Server, usa un processo noto come pubblicazione del server per distribuire le richieste client Internet ai server federativi aziendali appropriati. Ciò significa che è necessario creare manualmente una regola di pubblicazione del server nel server Intranet che esegue ISA Server che pubblica l'URL del server federativo in cluster; ad esempio, http://fs.fabrikam.com.
Per altre informazioni su come configurare la pubblicazione del server in una rete perimetrale, vedere Where to Place a Federation Server Proxy. Per informazioni su come configurare ISA Server per pubblicare un server, vedere Creare una regola di pubblicazione Web sicura.