Размещение прокси-сервера федерации

Вы можете поместить службы федерации Active Directory (AD FS) (AD FS) прокси-серверы федерации в сети периметра, чтобы обеспечить уровень защиты от злонамеренных пользователей, которые могут поступают из Интернета. Прокси-серверы федерации идеально подходят для среды сети периметра, так как они не имеют доступа к закрытым ключам, которые используются для создания токенов. Однако прокси-серверы федерации могут эффективно маршрутизировать входящие запросы к серверам федерации, которым разрешено создавать эти токены.

Нет необходимости размещать прокси-сервер федерации в корпоративной сети для партнера по учетным записям или партнера по ресурсам, так как клиентские компьютеры, подключенные к корпоративной сети, могут напрямую взаимодействовать с сервером федерации. В этом сценарии сервер федерации также предоставляет функциональные возможности прокси-сервера федерации для клиентских компьютеров, поступающих из корпоративной сети.

Как это обычно бывает в сетях периметра, брандмауэр для интрасети устанавливается между корпоративной сетью и сетью периметра, а брандмауэр для Интернета часто устанавливается между сетью периметра и Интернетом. В этом сценарии прокси-сервер федерации располагается между обоими брандмауэрами в сети периметра.

Настройка серверов брандмауэра для прокси-сервера федерации

Чтобы процесс перенаправления прокси-сервера федерации был успешным, все серверы брандмауэра должны быть настроены на разрешение трафика по протоколу HTTPS. Использование протокола HTTPS требуется, так как серверы брандмауэра должны опубликовать прокси-сервер федерации с помощью порта 443, чтобы прокси-сервер федерации в сети периметра мог получить доступ к серверу федерации в корпоративной сети.

Примечание

Любой обмен данными с клиентскими компьютерами также выполняется по протоколу HTTPS.

Кроме того, сервер брандмауэра с выходом в Интернет, например компьютер с сервером Microsoft Internet Security and Acceleration (ISA), использует процесс, известный как публикация сервера, для распространения запросов клиентов из Интернета на соответствующие сети периметра и корпоративные сетевые серверы, такие как прокси-серверы федерации или сервера федерации.

Правила публикации сервера определяют, как работает публикация сервера — , отфильтровывая все входящие и исходящие запросы через компьютер ISA Server. Правила публикации сервера назначают входящие клиентские запросы соответствующим серверам за компьютером ISA Server. Сведения о настройке ISA Server для публикации сервера см. в разделе Создание защищенного правила веб-публикации.

В Федеративной жизни AD FS эти клиентские запросы обычно выполняются по определенному URL-адресу, например URL-адресу идентификатора сервера федерации, например http://fs.fabrikam.com. Так как эти клиентские запросы приходят из Интернета, сервер брандмауэра, подключенный к Интернету, должен быть настроен на публикацию URL-адреса идентификатора сервера федерации для каждого прокси-сервера федерации, развернутого в сети периметра.

Настройка ISA Server для протокола SSL

Чтобы упростить безопасную связь AD FS, необходимо настроить ISA Server, чтобы разрешить обмен данными SSL (SSL) между следующими:

  • Серверы федерации и учетные записи-посредники сервера федерации. Канал SSL необходим для всех подключений между серверами федерации и прокси-серверами федерации. Таким образом, вы должны настроить ISA Server, чтобы разрешить SSL-соединение между корпоративной сетью и сетью периметра.

  • Клиентские компьютеры, серверы федерации и прокси-серверы федерации. Таким образом, между клиентскими компьютерами и серверами федерации, а также между клиентскими компьютерами и серверами федерации можно размещаться компьютер, на котором работает ISA Server, перед сервером федерации или прокси-сервером федерации.

    Если ваша организация выполняет проверку подлинности клиента SSL на сервере федерации или прокси-сервере федерации, то при помещении компьютера, на котором работает ISA Server, перед сервером федерации или прокси-сервером федерации, сервер должен быть настроен для передачи через SSL-соединение, так как SSL-соединение должно прерываться на сервере федерации или прокси сервера федерации.

    Если ваша организация не выполняет проверку подлинности клиента SSL на сервере федерации или прокси-сервере федерации, то дополнительным вариантом является завершение SSL-соединения на компьютере с ISA Server, а затем повторное подключение SSL к серверу федерации или прокси-серверу федерации.

Примечание

Сервер федерации или прокси-сервер федерации требует, чтобы подключение было защищено протоколом SSL для защиты содержимого маркера безопасности.

См. также:

Руководство по разработке служб федерации Active Directory в Windows Server 2012