Размещение прокси-сервера федерации

  • Статья

Вы можете разместить прокси-серверы федерации службы федерации Active Directory (AD FS) (AD FS) в сети периметра, чтобы обеспечить уровень защиты от вредоносных пользователей, которые могут поступать из Интернета. Прокси-серверы федерации идеально подходят для среды сети периметра, так как они не имеют доступа к закрытым ключам, которые используются для создания токенов. Однако прокси-серверы федерации могут эффективно направлять входящие запросы на серверы федерации, авторизованные для создания этих маркеров.

Не обязательно размещать прокси-сервер федерации в корпоративной сети для партнера учетной записи или партнера по ресурсам, так как клиентские компьютеры, подключенные к корпоративной сети, могут взаимодействовать напрямую с сервером федерации. В этом сценарии сервер федерации также предоставляет функции прокси-сервера федерации для клиентских компьютеров, поступающих из корпоративной сети.

Как это обычно бывает в сетях периметра, брандмауэр для интрасети устанавливается между корпоративной сетью и сетью периметра, а брандмауэр для Интернета часто устанавливается между сетью периметра и Интернетом. В этом сценарии прокси-сервер федерации находится между обоими этими брандмауэрами в сети периметра.

Настройка серверов брандмауэра для прокси-сервера федерации

Для успешного выполнения процесса перенаправления прокси-сервера федерации все серверы брандмауэра должны быть настроены для разрешения трафика протокола HTTPS. Использование ПРОТОКОЛА HTTPS необходимо, так как серверы брандмауэра должны публиковать прокси-сервер федерации с помощью порта 443, чтобы прокси-сервер федерации в сети периметра смог получить доступ к серверу федерации в корпоративной сети.

Примечание.

Любой обмен данными с клиентскими компьютерами также выполняется по протоколу HTTPS.

Кроме того, сервер брандмауэра с доступом к Интернету, например компьютер с сервером Microsoft Internet Security and Acceleration (ISA), использует процесс, известный как публикация сервера для распространения запросов клиентов Интернета на соответствующие серверы периметра и корпоративных сетевых серверов, таких как прокси-серверы федерации или серверы федерации.

Правила публикации сервера определяют, как работает публикация сервера — по существу это фильтрация всех входящих и исходящих запросы через компьютер ISA Server. Правила публикации сервера назначают входящие клиентские запросы соответствующим серверам за компьютером ISA Server. Сведения о настройке ISA Server для публикации сервера см. в статье "Создание правила безопасной веб-публикации".

В федеративном мире AD FS эти клиентские запросы обычно выполняются с определенным URL-адресом, например URL-адресом идентификатора сервера федерации, например URL-адресом идентификатора сервера федерации. http://fs.fabrikam.com. Так как эти клиентские запросы приходят из Интернета, сервер брандмауэра, подключенный к Интернету, должен быть настроен для публикации URL-адреса идентификатора сервера федерации для каждого прокси-сервера федерации, развернутого в сети периметра.

Настройка ISA Server для протокола SSL

Чтобы упростить безопасное взаимодействие AD FS, необходимо настроить сервер ISA, чтобы разрешить обмен данными ssl между следующими способами:

  • Серверы федерации и прокси-серверы федерации. Для всех подключений между серверами федерации и прокси-серверами федерации требуется ssl-канал. Таким образом, вы должны настроить ISA Server, чтобы разрешить SSL-соединение между корпоративной сетью и сетью периметра.

  • Клиентские компьютеры, серверы федерации и прокси-серверы федерации. Таким образом, взаимодействие между клиентскими компьютерами и серверами федерации или между клиентскими компьютерами и прокси-серверами федерации можно разместить компьютер под управлением сервера ISA перед сервером федерации или прокси-сервером федерации.

    Если ваша организация выполняет проверку подлинности SSL-клиента на сервере федерации или прокси-сервере федерации, при установке компьютера под управлением сервера ISA перед сервером федерации или прокси-сервером федерации сервер должен быть настроен для сквозного SSL-подключения, так как SSL-подключение должно завершиться на сервере федерации или прокси-сервере федерации.

    Если ваша организация не выполняет проверку подлинности SSL-клиента на сервере федерации или прокси-сервере федерации, дополнительный параметр — завершить SSL-подключение на компьютере под управлением ISA Server, а затем повторно установить SSL-подключение к серверу федерации или прокси-серверу федерации.

Примечание.

Для защиты содержимого маркера безопасности требуется, чтобы подключение было защищено SSL.

См. также

Руководство по разработке служб федерации Active Directory в Windows Server 2012