Considerações sobre a topologia de implantação do AD FS
Este tópico descreve considerações importantes para ajudar você a planejar e projetar a topologia de implantação do AD FS (Serviços de Federação do Active Directory) a ser usada no seu ambiente de produção. Este tópico é um ponto de partida para revisar e avaliar as considerações que afetam os recursos ou as funcionalidades que estarão disponíveis para você depois de implantar o AD FS. Por exemplo, dependendo do tipo de banco de dados que você escolheu para armazenar o banco de dados da configuração AD FS irá finalmente determinar se você poderá implantar determinados recursos SAML (Security Assertion Markup Language) que requerem o SQL Server.
A determinação de qual tipo de banco de dados de configuração AD FS deve ser usado para
O AD FS usa um banco de dados para armazenar a configuração e, em alguns casos, os dados transacionais relacionados ao Serviço de Federação. Use o software do AD FS para selecionar o WID (Banco de Dados Interno do Windows) ou o Microsoft SQL Server 2005 ou mais recente para armazenar os dados no Serviço de Federação.
Para a maioria das finalidades, os dois tipos de bancos de dados são relativamente equivalentes. No entanto, há algumas diferenças das quais você deve estar ciente antes de começar a ler mais sobre as várias topologias de implantação que podem ser usadas com o AD FS. A tabela a seguir descreve as diferenças nos recursos compatíveis entre um banco de dados WID e um banco de dados SQL Server.
Recursos do AD FS
| Recurso | Compatível com WID? | Compatível com SQL Server? | Mais informações sobre esse recurso |
|---|---|---|---|
| Implantação do farm do servidor de federação | Sim, com um limite de 30 servidores de federação para cada farm | Sim. Não há um limite imposto para o número de servidores de federação que podem ser implantados em um único farm | Determinar a topologia de implantação do AD FS |
| Resolução de artefato do SAML Observação: esse recurso não é necessário para os cenários do Microsoft Online Services, do Microsoft Office 365, do Microsoft Exchange ou do Microsoft Office SharePoint. | No | Sim | A função do banco de dados de configuração do AD FS Melhores práticas para o planejamento e a implantação seguros do AD FS |
| Detecção de reprodução do token SAML/Web Services Federation | No | Sim | A função do banco de dados de configuração do AD FS Melhores práticas para o planejamento e a implantação seguros do AD FS |
Recursos de banco de dados
| Recurso | Compatível com WID? | Compatível com SQL Server? | Mais informações sobre esse recurso |
|---|---|---|---|
| A redundância básica do banco de dados usa a replicação pull, em que um ou mais servidores hospedam uma cópia somente leitura das alterações de solicitação do banco de dados que são feitas em um servidor de origem que hospeda uma cópia de leitura/gravação do banco de dados | Sim | No | A função do banco de dados de configuração do AD FS |
| Redundância de banco de dados usando soluções de alta disponibilidade, como clustering de failover ou espelhamento (somente na camada de banco de dados) Observação: todas as topologias de implantação do AD FS dão suporte ao clustering na camada de serviço do AD FS. | No | Sim | A função do banco de dados de configuração do AD FS |
Considerações do SQL Server
Você deve considerar os seguintes fatos de implantação se selecionar o SQL Server como o banco de dados de configuração para sua implantação do AD FS.
Recursos de SAML e seu efeito no tamanho e crescimento do banco de dados. Quando os recursos de resolução de SAML ou de detecção de reprodução do token de SAML são habilitados, o AD FS armazena informações no banco de dados de configuração do SQL Server para cada token do AD FS que é emitido. O crescimento do banco de dados do SQL Server como resultado dessa atividade não é significativa e isso depende do período de retenção de reprodução do token configurado. Cada registro de artefato tem um tamanho de aproximadamente 30 kilobytes (KB).
Número de servidores necessários para sua implantação. Será necessário adicionar, no mínimo, um servidor extra (ao número total de servidores necessários para implantar a infraestrutura do AD FS) que funcionará como um host dedicado da instância do SQL Server. Se você planejar usar o clustering de failover ou espelhamento para fornecer escalabilidade e tolerância padrão para o banco de dados de configuração do SQL Server, será necessário um mínimo de dois SQL Servers.
Como o tipo do banco de dados de configuração selecionado por você pode impactar os recursos de hardware
O impacto nos recursos de hardware de um servidor de federação que é implantado em um farm usando o WID como oposto a um servidor de federação que é implantado em um farm usando o banco de dados do SQL Server não é significativo. No entanto, é importante considerar que ao usar o WID para o farm, cada servidor de federação no farm deve armazenar, gerenciar e manter as alterações de replicação para sua cópia local do banco de dados de configuração do AD FS enquanto ainda continua fornecendo as operações normais que o Serviço de Federação requer.
Em comparação, os servidores de federação que são implantados em um farm que usa o banco de dados do SQL Server não contém necessariamente uma instância local do banco de dados de configuração do AD FS. Portanto, eles podem fazer um pouco menos de exigências em recursos de hardware.
Verificar se seu ambiente de produção pode dar suporte a uma implantação do AD FS
Além dos servidores de federação que você implantará e, dependendo da configuração do ambiente de produção, os seguintes servidores adicionais podem ser necessários para fornecer a infraestrutura necessária para dar suporte à nova implantação do AD FS:
Controlador de domínio do Active Directory
AC (Autoridade de certificação)
Servidor Web para hospedar metadados de federação
NLB (Balanceamento de Carga de Rede)