Active Directory 联合身份验证服务(AD FS)的默认拓扑是使用 Windows 内部数据库(WID)的联合服务器场,由托管组织的联合身份验证服务的最多五个联合服务器组成。 在此拓扑中,AD FS 使用 WID 作为已加入到该场的所有联合服务器的 AD FS 配置数据库的存储。 农场在农场中的每个服务器上复制和维护配置数据库中的联合服务数据。
在场中创建第一台联合服务器的操作也将创建一项新的联合身份验证服务。 将 WID 用于 AD FS 配置数据库时,在场中创建的第一个联合服务器称为 主联合服务器。 这意味着此计算机配置了 AD FS 配置数据库的读/写副本。
为此场配置的所有其他联合服务器称为 辅助联合服务器 ,因为它们必须将主联合服务器上所做的任何更改复制到本地存储的 AD FS 配置数据库的只读副本。
注释
建议在负载均衡配置中使用至少两个联合服务器。
部署注意事项
本部分介绍与此部署拓扑关联的预期受众、优势和限制的各种注意事项。
谁应该使用此拓扑?
具有 100 个或更少配置的信任关系的组织,需要为其内部用户(登录到物理连接到企业网络的计算机)提供对联合应用程序或服务的单一登录(SSO)访问权限。
希望向其内部用户提供对 Microsoft Online Services 或 Microsoft Office 365 的 SSO 访问权限的组织
需要冗余、可缩放服务的小型组织
注释
具有较大数据库的组织应考虑 使用联合服务器场 Using SQL Server 部署拓扑,本部分稍后将对此进行介绍。 具有外部网络登录用户的组织应考虑使用利用 WID 和代理的联合服务器场拓扑或利用 SQL Server 的联合服务器场拓扑。
使用此拓扑有什么好处?
提供对内部用户的 SSO 访问权限
数据和联合身份验证服务冗余(每台联合服务器会将更改复制到同一场中的其他联合服务器)
可以通过添加最多五个联合服务器来扩展服务器场
WID 包含在 Windows 中;因此,无需购买 SQL Server
使用此拓扑有什么限制?
WID 场的联合服务器数量限制为 30 个。 有关详细信息,请参阅 AD FS 部署拓扑注意事项。
WID 场不支持令牌重播检测或项目解析(安全断言标记语言 (SAML) 协议的一部分)。
服务器放置和网络布局建议
准备好开始在网络中部署此拓扑时,应计划将所有联合服务器放置在企业网络中的网络负载均衡(NLB)主机后面,该主机可以针对具有专用群集域名系统(DNS)名称和群集 IP 地址的 NLB 群集进行配置。
注释
此群集 DNS 名称必须与联合身份验证服务名称匹配,例如 fs.fabrikam.com。
NLB 主机可以使用此 NLB 群集中定义的设置将客户端请求分配给单个联合服务器。 下图展示了虚构的 Fabrikam, Inc. 公司如何设置其部署的第一阶段:使用由两台计算机组成的联合服务器场(fs1 和 fs2)以及 WID,并决定与公司网络相连的 DNS 服务器和单台 NLB 主机的位置。
注释
如果此单个 NLB 主机发生故障,用户将无法访问联合应用程序或服务。 如果业务需求不允许出现单一故障点,请添加其他 NLB 主机。
有关如何配置网络环境以用于联合服务器的详细信息,请参阅 AD FS 设计指南中的 联合服务器的名称解析要求 。