放置同盟伺服器的位置
安全性最佳作法是將 Active Directory Federation Services (AD FS) 同盟伺服器置於防火牆之後,並將其連接至您的公司網路,以避免在網際網路中暴露。 這點很重要,因為同盟伺服器有完整權限可授與安全性權杖。 因此,它們應該像網域控制站一樣受到保護。 如果同盟伺服器遭到入侵,惡意使用者就能夠向所有 Web 應用程式以及受所有資源合作夥伴組織中的 Active Directory 同盟服務 (AD FS) 保護的同盟伺服器發出完全存取權杖。
注意
最安全的做法是避免將同盟伺服器直接放在網際網路上任由存取。 只有當您要設定測試實驗室環境,或您的組織沒有周邊網路時,才能考慮讓同盟伺服器可供網際網路直接存取。
對於一般的公司網路而言,公司網路與周邊網路之間會建立內部網路對向防火牆,而周邊網路與網際網路之間通常會建立網際網路對向防火牆。 在此情況下,同盟伺服器位於內部公司網路,無法由網際網路用戶端直接存取。
注意
連線到公司網路的用戶端電腦可以透過 Windows 整合式驗證,直接與同盟伺服器通訊。
在設定防火牆伺服器以與 AD FS 一起使用之前,應該先將同盟伺服器 Proxy 放在周邊網路中。 如需詳細資訊,請參閱 Where to Place a Federation Server Proxy。
設定同盟伺服器的防火牆伺服器
為了讓同盟伺服器可以直接與同盟伺服器 Proxy 通訊,必須將內部網路防火牆伺服器設定為允許從同盟伺服器 Proxy 到同盟伺服器的安全超文字傳輸通訊協定 (HTTPS) 流量。 必須如此,因為內部網路防火牆伺服器必須使用連接埠 443 發佈同盟伺服器,周邊網路中的同盟伺服器 Proxy 才能存取同盟伺服器。
此外,內部網路對向防火牆伺服器 (例如執行 Internet Security and Acceleration (ISA) Server 的電腦) 會使用一個稱為「伺服器發佈」的程序,將網際網路用戶端要求散佈到適當的公司同盟伺服器。 這表示在執行 ISA Server 來發行叢集 同盟伺服器 URL (例如 http://fs.fabrikam.com.) 的內部網路伺服器上,您必須手動建立伺服器發佈規則。
如需有關如何在周邊網路中設定伺服器發佈的詳細資訊,請參閱 Where to Place a Federation Server Proxy。 如需有關如何設定 ISA Server 以發佈伺服器的詳細資訊,請參閱建立安全的 Web 發佈規則。