Dove posizionare un proxy server federativo

È possibile inserire Active Directory Federation Services server federativi (AD FS) in una rete perimetrale per fornire un livello di protezione contro utenti malintenzionati che potrebbero pro venire da Internet. I proxy server federativi sono ideali per l'ambiente della rete perimetrale perché non hanno accesso alle chiavi private usate per creare i token. Tuttavia, i proxy server federativi possono indirizzare in modo efficiente le richieste in ingresso ai server federativi autorizzati a produrre tali token.

Non è necessario inserire un proxy server federativo all'interno della rete aziendale per il partner account o il partner risorse perché i computer client connessi alla rete aziendale possono comunicare direttamente con il server federativo. In questo scenario, il server federativo fornisce anche la funzionalità proxy server federativo per i computer client provenienti dalla rete aziendale.

Come nelle reti perimetrali tipiche, viene stabilito un firewall sulla Intranet tra la rete aziendale e la rete perimetrale e spesso viene stabilito un firewall con connessione Internet tra la rete perimetrale e Internet. In questo scenario, il proxy server federativo si trova tra entrambi questi firewall nella rete perimetrale.

Configurazione dei server del firewall per un proxy server federativo

Per il corretto processo di reindirizzamento del proxy server federativo, tutti i server firewall devono essere configurati per consentire il traffico Hypertext Transfer Protocol (HTTPS). L'uso di HTTPS è necessario perché i server firewall devono pubblicare il proxy server federativo, utilizzando la porta 443, in modo che il proxy server federativo nella rete perimetrale possa accedere al server federativo nella rete aziendale.

Nota

Tutte le comunicazioni tra computer client avvengono tramite HTTPS.

Inoltre, il server firewall con connessione Internet, ad esempio un computer che esegue Microsoft Internet Security and Acceleration (ISA) Server, usa un processo noto come pubblicazione server per distribuire le richieste client Internet ai server di rete perimetrale e aziendale appropriati, ad esempio i proxy server federativi o i server federativi.

Le regole di pubblicazione del server determinano essenzialmente il funzionamento della pubblicazione del server, filtrando tutte le richieste in ingresso e — in uscita tramite il computer ISA Server. Le regole di pubblicazione server eseguono il mapping delle richieste client ai server appropriati dietro il computer ISA Server. Per informazioni su come configurare ISA Server per pubblicare un server, vedere Creare una regola di pubblicazione Web sicura.

Nel mondo federativo di AD FS, queste richieste client vengono in genere effettuate a un URL specifico, ad esempio un URL dell'identificatore del server federativo, ad esempio http://fs.fabrikam.com. Poiché queste richieste client provengono da Internet, il server firewall con connessione Internet deve essere configurato per pubblicare l'URL dell'identificatore del server federativo per ogni proxy server federativo distribuito nella rete perimetrale.

Configurazione di ISA Server per consentire SSL

Per facilitare le comunicazioni AD FS, è necessario configurare ISA Server per consentire le comunicazioni Secure Sockets Layer (SSL) tra gli elementi seguenti:

  • Server federativi e proxy server federativi. È necessario un canale SSL per tutte le comunicazioni tra i server federativi e i proxy server federativi. Pertanto, è necessario configurare ISA Server per consentire una connessione SSL tra la rete aziendale e la rete perimetrale.

  • Computer client, server federativi e proxy server federativi. Per poter eseguire comunicazioni tra computer client e server federativi o tra computer client e proxy server federativi, è possibile posizionare un computer che esegue ISA Server davanti al server federativo o al proxy server federativo.

    Se l'organizzazione esegue l'autenticazione client SSL nel server federativo o nel proxy server federativo, quando si posiziona un computer che esegue ISA Server davanti al server federativo o al proxy server federativo, il server deve essere configurato per il pass-through della connessione SSL perché la connessione SSL deve terminare nel server federativo o nel proxy server federativo.

    Se l'organizzazione non esegue l'autenticazione client SSL nel server federativo o nel proxy server federativo, un'opzione aggiuntiva è terminare la connessione SSL nel computer che esegue ISA Server e quindi ristabilire una connessione SSL al server federativo o al proxy server federativo.

Nota

Il server federativo o il proxy server federativo richiede che la connessione sia protetta da SSL per proteggere il contenuto del token di sicurezza.

Vedere anche

Guida alla progettazione di AD FS in Windows Server 2012