规划 AD FS 部署拓扑
规划 Active Directory 联合身份验证服务 (AD FS) 部署的第一步是确定正确的部署拓扑,以满足你的组织的需要。
在阅读本文之前,请查看 AD FS 数据如何存储和复制到联合服务器场中的其他联合服务器,并确保了解存储在 AD FS 配置数据库中的基础数据的用途和可以使用的复制方法。
有两种数据库类型可用于存储 AD FS 配置数据:Windows 内部数据库 (WID) 和 Microsoft SQL Server。 有关详细信息,请参阅 AD FS 配置数据库的角色。 查看与使用 WID 或 SQL Server 作为 AD FS 配置数据库相关联的各种优势和限制,以及它们所支持的各种应用程序方案,然后做出你的选择。
重要
若要实现基本冗余、负载平衡,以及用于缩放联合身份验证服务的选项(如果需要),我们建议对于所有的生产环境,无论你将使用什么类型的数据库,都应在每个联合服务器场中部署至少两台联合服务器。
确定要使用哪种类型的 AD FS 配置数据库
AD FS 使用一个数据库来存储配置,并在某些情况下存储与联合身份验证服务相关的事务数据。 你可以使用 AD FS 软件选择内置的 Windows 内部数据库 (WID) 或 Microsoft SQL Server 2008 或更高版本,用以存储联合身份验证服务中的数据。
大多数情况下,这两个数据库类型是相对等效的。 但是,在开始阅读有关可用于 AD FS 的各种部署拓扑的详细信息之前,有一些不同之处需要注意。 下表描述了在受支持的功能中,WID 数据库和 SQL Server 数据库之间的差异。
| 说明 | 功能 | WID 支持吗? | SQL Server 支持吗? |
|---|---|---|---|
| AD FS 功能 | 联合服务器场部署 | 是的。 如果你的信赖方信任数为 100 个或更少,则 WID 场的限制为 30 台联合服务器。WID 场不支持令牌重播检测或项目解析(安全断言标记语言 (SAML) 协议的一部分)。 | 是的。 对可以在单个服务器场中部署的联合服务器数目没有强制限制 |
| AD FS 功能 | SAML 项目解析注意:此功能不是 Microsoft Online Services、Microsoft Office 365、Microsoft Exchange 或 Microsoft Office SharePoint 方案所必需的。 | 否 | 是 |
| AD FS 功能 | SAML/WS 联合身份验证令牌重放检测 | 否 | 是 |
| 数据库功能 | 使用“拉”复制的基本数据库冗余,其中承载数据库只读副本的一个或多个服务器,将请求在承载该数据库的读/写副本的源服务器上所进行的更改 | 是 | 否 |
| 数据库功能 | 使用高可用性解决方案的数据库冗余,例如故障转移群集或镜像(仅在数据库层)注意:所有 AD FS 部署拓扑都支持在 AD FS 服务层创建群集。 | 否 | 是 |
SQL Server 注意事项
如果你选择 SQL Server 作为用于 AD FS 部署的配置数据库,你应该考虑以下部署事实。
SAML 功能以及它们对数据库大小和增长的影响。 当启用 SAML 项目解析或 SAML 令牌重放检测功能时,AD FS 将在 SQL Server 配置数据库中存储发出的每个 AD FS 令牌的信息。 并不会特别重视此活动所带来的 SQL Server 数据库的增长,并且它取决于已配置的令牌重播保留期。 每个项目记录的大小大约为 30 千字节 (KB)。
部署所需的服务器数目。 你将需要添加至少一台其他服务器(最多为部署 AD FS 基础结构所需的服务器总数目)作为 SQL Server 实例的专用主机。 如果你打算使用故障转移群集或镜像为 SQL Server 配置数据库提供容错和可伸缩性,则需要至少两个 SQL 服务器。
你选择的配置数据库类型可能会影响硬件资源的方式
对在使用 WID 服务器场中部署的联合服务器(而不是在使用 SQL Server 数据库的服务器场中部署的联合服务器)上的硬件资源的影响并不重要。 但重要的是,当你为服务器场使用 WID 时,在该场中的每个联合服务器必须存储、管理和维护其 AD FS 配置数据库的本地副本的复制更改,同时还要继续提供此联合身份验证服务所需的正常操作。
比较而言,在使用 SQL Server 数据库的服务器场中部署的联合服务器不一定包含 AD FS 配置数据库的本地实例。 因此,它们可能会对硬件资源提出略少的要求。
联合服务器的放置位置
作为安全性最佳做法,请将 AD FS 联合服务器置于防火墙后面,并将它们连接到公司网络以防止从 Internet 暴露。 这一点十分重要,因为联合服务器有完全授权,可授予安全令牌。 因此,它们应具有与域控制器相同的保护。 如果联合服务器受到侵害,则恶意用户将能够向所有 Web 应用程序以及由 AD FS 保护的所有联合服务器颁发完全访问权限令牌。
注意
作为安全性最佳做法,请避免可以在 Internet 上直接访问联合服务器。 请考虑仅当设置测试实验室环境或是当组织没有外围网络时,才为你的联合服务器提供直接 Internet 访问权限。
对于典型企业网络,企业网络和外围网络之间设有面向 Intranet 的防火墙,且外围网络和 Internet 之间则通常设有面向 Internet 的防火墙。 在此情况下,联合服务器位于企业网络内部,Internet 客户端不能直接访问它。
注意
连接到企业网络的客户端计算机可以通过 Windows 集成身份验证直接与联合服务器进行通信。
联合服务器代理应在配置你的防火墙服务器放置在外围网络中,以用于。
支持的部署拓扑
以下文章介绍了可用于 AD FS 的各种部署拓扑。 这些主题还描述了与每个部署拓扑相关联的优势和限制,以便你可以为特定的业务需求选择最合适的拓扑。