Onde colocar um servidor de federação
Como uma prática recomendada de segurança, coloque os servidores de federação dos Serviços de Federação do Active Directory (AD FS) atrás de um firewall e conecte-os à rede corporativa para evitar a exposição à Internet. Isso é importante porque os servidores de federação têm autorização total para conceder tokens de segurança. Portanto, eles devem ter a mesma proteção que um controlador de domínio. Se um servidor de federação estiver comprometido, um usuário mal-intencionado terá a capacidade de emitir tokens de acesso completo para todos os aplicativos Web e para servidores de federação protegidos pelos Serviços de Federação do Active Directory (AD FS) em todas as organizações de parceiros de recursos.
Observação
Como prática recomendada de segurança, evite ter os servidores de federação diretamente acessíveis na Internet. Considere conceder aos seus servidores de federação acesso direto à Internet apenas quando você estiver configurando um ambiente de laboratório de teste ou quando sua organização não tiver uma rede de perímetro.
Para redes corporativas típicas, um firewall voltado para a intranet é estabelecido entre a rede corporativa e a rede de perímetro e um firewall voltado para a Internet geralmente é estabelecido entre a rede de perímetro de a Internet. Nessa situação, o servidor de federação fica dentro da rede corporativa e não é diretamente acessível pelos clientes da Internet.
Observação
Computadores cliente que estão conectados à rede corporativa podem se comunicar diretamente com o servidor de federação por meio da Autenticação Integrada do Windows.
Um proxy do servidor de federação deve ser colocado na rede de perímetro antes de configurar os servidores de firewall para uso com o AD FS. Para obter mais informações, consulte Onde colocar um Proxy do servidor de Federação.
Configurando os servidores de firewall para um servidor de federação
Para que os servidores de federação possam se comunicar diretamente com proxies do servidor de federação, o servidor de firewall da intranet deve ser configurado para permitir o tráfego HTTPS (Secure Hypertext Transfer Protocol) do proxy do servidor de federação para o servidor de federação. Esse é um requisito porque o servidor de firewall da intranet deve publicar o servidor de federação usando a porta 443 para que o proxy do servidor de federação na rede de perímetro possa acessar o servidor de federação.
Além disso, o servidor de firewall voltado para a intranet, como um computador executando o ISA (Internet Security and Acceleration) Server, usa um processo conhecido como publicação de servidor para distribuir solicitações de clientes da Internet para os servidores de federação corporativos apropriados. Isso significa que você deve criar manualmente uma regra de publicação de servidor no servidor da intranet executando o ISA Server que publica a URL do servidor de federação clusterizada, por exemplo, http://fs.fabrikam.com.
Para obter mais informações sobre como configurar a publicação de servidor em uma rede de perímetro, consulte Where to Place a Federation Server Proxy. Para obter informações sobre como configurar o ISA Server para publicar um servidor, confira Criar uma regra de publicação na Web segura.