联合服务器的放置位置
作为安全性最佳做法,应将 Active Directory Federation Services (AD FS) 联合服务器放置于防火墙之后,并且将它们连接到你的公司网络以防止从 Internet 暴露。 这一点十分重要,因为联合服务器有完全授权,可授予安全令牌。 因此,它们应具有与域控制器相同的保护。 如果联合服务器遭到入侵,则恶意用户能够向所有 Web 应用程序以及所有资源合作伙伴组织中受 Active Directory 联合身份验证服务 (AD FS) 保护的联合服务器颁发完全访问令牌。
注意
作为安全性最佳做法,请避免可以在 Internet 上直接访问联合服务器。 请考虑仅当设置测试实验室环境或是当组织没有外围网络时,才为你的联合服务器提供直接 Internet 访问权限。
对于典型企业网络,企业网络和外围网络之间设有面向 Intranet 的防火墙,且外围网络和 Internet 之间则通常设有面向 Internet 的防火墙。 在此情况下,联合服务器位于企业网络内部,Internet 客户端不能直接访问它。
注意
连接到企业网络的客户端计算机可以通过 Windows 集成身份验证直接与联合服务器进行通信。
联合服务器代理应在配置你的防火墙服务器放置在外围网络中,以用于。 有关详细信息,请参阅放置联合服务器代理的位置。
为联合服务器配置防火墙服务器
为了使联合服务器可以直接与联合服务器代理通信,必须将 Intranet 防火墙服务器配置为允许从联合服务器代理到联合服务器的安全超文本传输协议 (HTTPS) 流量。 这是一项要求,因为 Intranet 防火墙服务器必须使用端口 443 发布联合服务器,以便外围网络中的联合服务器代理能够访问联合服务器。
此外,面向 Intranet 的防火墙服务器(例如运行 Internet Security and Acceleration (ISA) 服务器的服务器)使用称为服务器发布的过程将 Internet 客户端请求分发到适当的企业联合服务器。 这意味着必须在运行 ISA 服务器的 Intranet 服务器上手动创建服务器发布规则,以用来发布群集联合服务器 URL(例如,http://fs.fabrikam.com.)
有关如何在外围网络中配置服务器发布的详细信息,请参阅 Where to Place a Federation Server Proxy。 有关如何配置 ISA 服务器以发布服务器的信息,请参阅创建安全的 Web 发布规则。