Dove posizionare un proxy server federativo
È possibile inserire proxy server federativi di Active Directory Federation Services (AD FS) in una rete perimetrale per fornire un livello di protezione da utenti malintenzionati che potrebbero provenire da Internet. I proxy server federativi sono ideali per l'ambiente della rete perimetrale perché non hanno accesso alle chiavi private usate per creare i token. Tuttavia, i proxy server federativi possono instradare in modo efficiente le richieste in ingresso ai server federativi autorizzati a produrre tali token.
Non è necessario inserire un proxy server federativo all'interno della rete aziendale per il partner account o il partner risorse perché i computer client connessi alla rete aziendale possono comunicare direttamente con il server federativo. In questo scenario, il server federativo fornisce anche funzionalità proxy server federativo per i computer client provenienti dalla rete aziendale.
Come nelle reti perimetrali tipiche, viene stabilito un firewall sulla Intranet tra la rete aziendale e la rete perimetrale e spesso viene stabilito un firewall con connessione Internet tra la rete perimetrale e Internet. In questo scenario, il proxy del server federativo si trova tra entrambi questi firewall nella rete perimetrale.
Configurazione dei server del firewall per un proxy server federativo
Affinché il processo di reindirizzamento proxy server federativo venga completato correttamente, tutti i server firewall devono essere configurati per consentire il traffico HTTPS (Secure Hypertext Transfer Protocol). L'uso di HTTPS è necessario perché i server firewall devono pubblicare il proxy del server federativo, usando la porta 443, in modo che il proxy server federativo nella rete perimetrale possa accedere al server federativo nella rete aziendale.
Nota
Tutte le comunicazioni tra computer client avvengono tramite HTTPS.
Inoltre, il server firewall con connessione Internet, ad esempio un computer che esegue il server ISA (Microsoft Internet Security and Acceleration), usa un processo noto come pubblicazione server per distribuire le richieste client Internet ai server di rete perimetrali e aziendali appropriati, ad esempio proxy server federativi o server federativi.
Le regole di pubblicazione server determinano il funzionamento della pubblicazione server, in sostanza filtrano tutte le richieste in ingresso e in uscita tramite il computer ISA Server. Le regole di pubblicazione server eseguono il mapping delle richieste client ai server appropriati dietro il computer ISA Server. Per informazioni su come configurare ISA Server per la pubblicazione di un server, vedere Creare una regola di pubblicazione Web sicura.
Nel mondo federato di AD FS, queste richieste client vengono in genere inviate a un URL specifico, ad esempio un URL dell'identificatore del server federativo, ad esempio http://fs.fabrikam.com. Poiché queste richieste client provengono da Internet, il server firewall con connessione Internet deve essere configurato per pubblicare l'URL dell'identificatore del server federativo per ogni proxy server federativo distribuito nella rete perimetrale.
Configurazione di ISA Server per consentire SSL
Per facilitare le comunicazioni AD FS sicure, è necessario configurare ISA Server per consentire le comunicazioni SSL (Secure Sockets Layer) tra le seguenti:
Server federativi e proxy server federativi. Per tutte le comunicazioni tra server federativi e proxy server federativi è necessario un canale SSL. Pertanto, è necessario configurare ISA Server per consentire una connessione SSL tra la rete aziendale e la rete perimetrale.
Computer client, server federativi e proxy server federativi. Per consentire le comunicazioni tra i computer client e le istanze e i server federativi o tra computer client e proxy server federativi, è possibile posizionare un computer che esegue ISA Server davanti al server federativo o al proxy server federativo.
Se l'organizzazione esegue l'autenticazione client SSL nel server federativo o nel proxy server federativo, quando si posiziona un computer che esegue ISA Server davanti al server federativo o al proxy server federativo, il server deve essere configurato per il pass-through della connessione SSL perché la connessione SSL deve terminare nel server federativo o nel proxy server federativo.
Se l'organizzazione non esegue l'autenticazione client SSL nel server federativo o nel proxy server federativo, un'opzione aggiuntiva consiste nel terminare la connessione SSL nel computer che esegue ISA Server e quindi ristabilire una connessione SSL al server federativo o al proxy server federativo.
Nota
Il server federativo o il proxy server federativo richiede che la connessione sia protetta da SSL per proteggere il contenuto del token di sicurezza.