Размещение сервера федерации

  • Статья

В качестве рекомендации по обеспечению безопасности поместите серверы федерации службы федерации Active Directory (AD FS) (AD FS) за брандмауэром и подключите их к корпоративной сети, чтобы предотвратить воздействие из Интернета. Это важно, так как серверы федерации имеют полную авторизацию для предоставления маркеров безопасности. Следовательно, они должны иметь ту же защиту, что и контроллер домена. Если сервер федерации скомпрометирован, злоумышленник может выдавать маркеры полного доступа всем веб-приложениям и серверам федерации, защищенным службы федерации Active Directory (AD FS) (AD FS) во всех партнерских организациях ресурсов.

Примечание.

Рекомендуется избегать доступа к серверам федерации напрямую в Интернете. Рекомендуется предоставлять серверы федерации прямой доступ к Интернету только при настройке тестовой лабораторной среды или в том случае, если у вашей организации нет сети периметра.

Для обычных корпоративных сетей брандмауэр для интрасети устанавливается между корпоративной сетью и сетью периметра, а брандмауэр для Интернета часто устанавливается между сетью периметра и Интернетом. В этой ситуации сервер федерации находится внутри корпоративной сети, и он недоступен напрямую интернет-клиентами.

Примечание.

Клиентские компьютеры, подключенные к корпоративной сети, могут напрямую взаимодействовать с сервером федерации через встроенную проверку подлинности Windows.

Прокси-сервер федерации следует поместить в сеть периметра перед настройкой серверов брандмауэра для использования с AD FS. Дополнительные сведения см. в статье Where to Place a Federation Server Proxy (Место размещения прокси-сервера федерации).

Настройка серверов брандмауэра для сервера федерации

Таким образом, чтобы серверы федерации могли взаимодействовать напрямую с прокси-серверами федерации, сервер брандмауэра интрасети должен быть настроен для разрешения трафика протокола HTTPS с прокси-сервера федерации на сервер федерации. Это требование, так как сервер брандмауэра интрасети должен публиковать сервер федерации с помощью порта 443, чтобы прокси-сервер федерации в сети периметра смог получить доступ к серверу федерации.

Кроме того, сервер брандмауэра, подключенный к интрасети, например сервер под управлением сервера ISA, использует процесс публикации сервера, который называется публикацией сервера для распространения запросов клиентов Интернета на соответствующие корпоративные серверы федерации. Это означает, что необходимо вручную создать правило публикации сервера на сервере интрасети под управлением ISA Server, который публикует URL-адрес кластеризованного сервера федерации, например. http://fs.fabrikam.com.

Дополнительные сведения о настройке публикации сервера в сети периметра см. в разделе Where to Place a Federation Server Proxy. Сведения о настройке ISA Server для публикации сервера см. в статье "Создание правила безопасной веб-публикации".

См. также

Руководство по разработке служб федерации Active Directory в Windows Server 2012