Quando criar um Servidor de Federação

Ao criar um servidor de Federação Serviços de Federação do Active Directory (AD FS) (AD FS), você fornece um meio pelo qual sua organização pode:

  • Participe da comunicação baseada em SSO (logon único) da Web – com outra organização (que também tem pelo menos um servidor de Federação) e, quando necessário, com os funcionários em sua própria organização (que precisam de acesso pela Internet).

  • Habilitar serviços de front-end para representar usuários em serviços de infraestrutura usando a delegação de identidade. Para obter mais informações, consulte When to Use Identity Delegation.

As seções a seguir descrevem algumas das principais decisões para determinar quando e onde criar um ou mais servidores de Federação.

Determinar a função organizacional do servidor de federação

Para tomar uma decisão informada sobre quando criar um novo servidor de Federação, primeiro você deve determinar em qual organização o servidor residirá. A função que um servidor de federação desempenha em uma organização depende se você coloca o servidor de Federação na organização do parceiro de conta ou na organização do parceiro de recurso.

Quando um servidor de Federação é colocado na rede corporativa do parceiro de conta, sua função é autenticar as credenciais do usuário do navegador, serviço Web ou clientes do seletor de identidade e enviar tokens de segurança para os clientes. Para obter mais informações, consulte Review the Role of the Federation Server in the Account Partner.

Quando um servidor de Federação é colocado na rede corporativa do parceiro de recurso, sua função é autenticar usuários, com base em um token de segurança que é emitido por um servidor de Federação na organização do parceiro de recurso, ou sua função é redirecionar solicitações de token de aplicativos Web ou serviços Web configurados para a organização de parceiro de conta à qual o cliente pertence. Para obter mais informações, consulte Review the Role of the Federation Server in the Resource Partner.

Determinar qual design do AD FS será implantado

Você cria servidores de Federação em sua organização sempre que desejar implantar qualquer um dos seguintes designs de AD FS:

Se necessário, uma organização que implanta um design de SSO da Web federado pode configurar um único servidor de Federação para que ele atue na função de parceiro de conta e na função de parceiro de recurso. Nesse caso, o servidor de Federação pode produzir tokens Security Assertion Markup Language (SAML), com base em contas de usuário em sua própria organização, ou redirecionar solicitações de token para a organização, com base em onde as contas dos usuários residem.

Observação

Para o design de SSO da Web federado, deve haver pelo menos um servidor de Federação no parceiro de conta e pelo menos um servidor de Federação no parceiro de recurso.

Diferenças entre um servidor de federação e um proxy do servidor de federação

Um servidor de Federação pode fornecer páginas da Web para entrada, política, autenticação e descoberta da mesma maneira que um proxy do servidor de Federação. As principais diferenças entre um servidor de Federação e um proxy de servidor de Federação têm a ver com quais operações um servidor de Federação pode executar que um proxy de servidor de Federação não pode executar.

A seguir estão as operações que apenas um servidor de Federação pode executar:

  • O servidor de Federação executa as operações de criptografia que produzem o token. Embora os proxies do servidor de Federação não possam produzir tokens, eles podem ser usados para rotear ou redirecionar os tokens para os clientes e, quando necessário, de volta para o servidor de Federação. Para obter mais informações sobre como usar servidores de Federação, consulte quando criar um proxy de servidor de Federação.

  • os servidores de federação dão suporte ao uso de Windows autenticação integrada para clientes na rede corporativa; os proxies do servidor de federação não fazem isso. para obter mais informações sobre como usar a autenticação integrada Windows com o servidor de federação, consulte quando criar um Farm de servidores de federação.

Cuidado

A comunicação entre os servidores de federação e os bancos de dados de configuração do SQL Server, os repositórios de atributos do SQL Server, os controladores de domínio e as instâncias de AD LDS não tem sua integridade ou confidencialidade protegida de modo padrão. Para atenuar isso, considere a possibilidade de proteger o canal de comunicação entre esses servidores usando IPSEC ou uma conexão segura fisicamente entre todos esses servidores. Para a comunicação entre os servidores de federação e os SQL Servers, considere usar a proteção SSL na cadeia de conexão. Para conexões entre servidores de federação e controladores de domínio, considere habilitar a criptografia e autenticação Kerberos. Para LDAP, o LDAP/S não tem suporte para AD LDS/AD DS.

Como criar um servidor de federação

Você pode criar um servidor de Federação usando o assistente de configuração do servidor de Federação AD FS ou a ferramenta de linha de comando Fsconfig.exe. Ao usar uma dessas ferramentas, escolha uma das opções a seguir para criar um servidor de federação.

Para obter informações mais detalhadas sobre como cada uma dessas opções funcionam, consulte The Role of the AD FS Configuration Database.

Para obter mais informações sobre como configurar todos os pré-requisitos necessários para implantar um servidor de federação, consulte Checklist: Setting Up a Federation Server.

Consulte Também

Guia de design do AD FS no Windows Server 2012