Onde colocar um proxy do servidor de federação

Você pode colocar Serviços de Federação do Active Directory (AD FS) (AD FS)proxies de servidor de federação em uma rede de perímetro para fornecer uma camada de proteção contra usuários mal-intencionados que podem vir da Internet. Proxies do servidor de federação são ideais para o ambiente de rede de perímetro, porque eles não têm acesso às chaves particulares usadas para criar tokens. No entanto, os proxies do servidor de federação podem rotear com eficiência solicitações de entrada para servidores de federação autorizados a produzir esses tokens.

Não é necessário colocar um proxy de servidor de federação dentro da rede corporativa para o parceiro de conta ou o parceiro de recurso porque os computadores cliente conectados à rede corporativa podem se comunicar diretamente com o servidor de federação. Nesse cenário, o servidor de federação também fornece a funcionalidade de proxy do servidor de federação para computadores cliente que são provenientes da rede corporativa.

Uma vez que isso é típico com redes de perímetro, um firewall voltado para a intranet é estabelecido entre a rede de perímetro e a rede corporativa, e um firewall voltado para a Internet geralmente é estabelecido entre a rede de perímetro e a Internet. Nesse cenário, o proxy do servidor de federação fica entre esses dois firewalls na rede de perímetro.

Configurando os servidores de firewall para um proxy do servidor de federação

Para que o processo de redirecionamento de proxy do servidor de federação seja bem-sucedido, todos os servidores de firewall devem ser configurados para permitir o tráfego HTTPS (Protocolo de Transferência de Hipertexto Seguro). O uso de HTTPS é necessário porque os servidores de firewall devem publicar o proxy do servidor de federação, usando a porta 443, para que o proxy do servidor de federação na rede de perímetro possa acessar o servidor de federação na rede corporativa.

Observação

Todas as comunicações e para computadores cliente também ocorre por HTTPS.

Além disso, o servidor de firewall voltado para a Internet, como um computador que executa o Servidor ISA (Segurança e Aceleração da Internet) da Microsoft, usa um processo conhecido como publicação de servidor para distribuir solicitações de cliente da Internet para o perímetro apropriado e servidores de rede corporativa, como proxies de servidor de federação ou servidores de federação.

Regras de publicação de servidor determinam como funciona a publicação de servidor – essencialmente, filtrando todas as solicitações de entrada e saída pelo computador do ISA Server. Regras de publicação de servidor mapeiam solicitações de cliente recebidas para os servidores apropriados atrás do computador do ISA Server. Para obter informações sobre como configurar o servidor ISA para publicar um servidor, consulte Criar uma regra de publicação na Web segura.

No mundo federado do AD FS, essas solicitações de cliente normalmente são feitas em uma URL específica, por exemplo, uma URL de identificador do servidor de federação, como http://fs.fabrikam.com. Como essas solicitações de cliente vêm da Internet, o servidor de firewall voltado para a Internet deve ser configurado para publicar a URL do identificador do servidor de federação para cada proxy do servidor de federação implantado na rede de perímetro.

Configurando o ISA Server para permitir SSL

Para facilitar as comunicações AD FS segurança, você deve configurar o servidor ISA para permitir comunicações SSL (protocolo SSL) entre as seguintes:

  • Servidores de federação e proxies de servidor de federação. Um canal SSL é necessário para todas as comunicações entre servidores de federação e proxies do servidor de federação. Portanto, você deve configurar o ISA Server para permitir uma conexão SSL entre a rede corporativa e a rede de perímetro.

  • Computadores cliente, servidores de federação e proxies de servidor de federação. Para que as comunicações possam ocorrer entre computadores cliente e servidores de federação ou entre computadores cliente e proxies de servidor de federação, você pode colocar um computador executando o servidor ISA na frente do servidor de federação ou do proxy do servidor de federação.

    Se sua organização executar a autenticação de cliente SSL no servidor de federação ou no proxy do servidor de federação, quando você colocar um computador executando o SERVIDOR ISA na frente do servidor de federação ou proxy do servidor de federação, o servidor deverá ser configurado para passagem da conexão SSL porque a conexão SSL deve terminar no servidor de federação ou no proxy do servidor de federação.

    Se sua organização não executar a autenticação de cliente SSL no servidor de federação ou no proxy do servidor de federação, uma opção adicional será encerrar a conexão SSL no computador que executa o SERVIDOR ISA e, em seguida, restabelecer uma conexão SSL com o servidor de federação ou o proxy do servidor de federação.

Observação

O servidor de federação ou o proxy do servidor de federação exige que a conexão seja protegida pelo SSL para proteger o conteúdo do token de segurança.

Consulte Também

Guia de design do AD FS no Windows Server 2012