规划 Active Directory 联合身份验证服务(AD FS)部署的第一步是确定适当的部署拓扑以满足组织的需求。
在阅读本文之前,请查看 AD FS 数据的存储和复制到联合服务器场中的其他联合服务器的方式,并确保你了解可用于 AD FS 配置数据库中存储的基础数据的用途和复制方法。
可以使用两种数据库类型来存储 AD FS 配置数据:Windows 内部数据库(WID)和Microsoft SQL Server。 有关详细信息,请参阅 AD FS 配置数据库的角色。 查看与将 WID 或 SQL Server 用作 AD FS 配置数据库相关的各种优点和限制,以及它们支持的各种应用程序方案,然后做出选择。
重要
为实现基本冗余、负载均衡以及在必要时对联合身份验证服务进行扩缩,我们建议在所有生产环境中,每个联合服务器场至少部署两个联合身份验证服务器,而不考虑使用的数据库类型。
确定要使用哪种类型的 AD FS 配置数据库
AD FS 使用一个数据库来存储配置,并在某些情况下存储与联合身份验证服务相关的事务数据。 可以使用 AD FS 软件选择内置 Windows 内部数据库(WID)或Microsoft SQL Server 2008 或更高版本,以在联合身份验证服务中存储数据。
大多数情况下,这两个数据库类型是相对等效的。 但是,在开始阅读有关可用于 AD FS 的各种部署拓扑的详细信息之前,有一些不同之处需要注意。 下表描述了在受支持的功能中,WID 数据库和 SQL Server 数据库之间的差异。
| DESCRIPTION | 功能 / 特点 | WID 支持吗? | SQL Server 支持吗? |
|---|---|---|---|
| AD FS 功能 | 联合服务器场部署 | 是的。 如果您有 100 个或更少的信赖方信任,WID 服务器场的限制为 30 台联合身份验证服务器。 WID 服务器场不支持令牌重播检测或工件解析(均属于安全断言标记语言 (SAML) 协议的一部分)。 |
是的。 对可以在单个服务器场中部署的联合服务器数目没有强制限制 |
| AD FS 功能 | SAML 项目解析 说明: Microsoft Online Services、Microsoft Office 365、Microsoft Exchange 或 Microsoft Office SharePoint 方案不需要此功能。 |
否 | 是的 |
| AD FS 功能 | SAML/WS 联合身份验证令牌重放检测 | 否 | 是的 |
| 数据库功能 | 使用“拉”复制的基本数据库冗余,其中承载数据库只读副本的一个或多个服务器,将请求在承载该数据库的读/写副本的源服务器上所进行的更改 | 是的 | 否 |
| 数据库功能 | 使用高可用性解决方案的数据库冗余,例如故障转移群集或镜像(仅在数据库层)注意:所有 AD FS 部署拓扑都支持在 AD FS 服务层创建群集。 | 否 | 是的 |
SQL Server 注意事项
如果你选择 SQL Server 作为用于 AD FS 部署的配置数据库,你应该考虑以下部署事实。
SAML 功能以及它们对数据库大小和增长的影响。 当启用 SAML 项目解析或 SAML 令牌重放检测功能时,AD FS 将在 SQL Server 配置数据库中存储发出的每个 AD FS 令牌的信息。 并不会特别重视此活动所带来的 SQL Server 数据库的增长,并且它取决于已配置的令牌重播保留期。 每个项目记录的大小大约为 30 千字节 (KB)。
部署所需的服务器数目。 你将需要添加至少一台其他服务器(最多为部署 AD FS 基础结构所需的服务器总数目)作为 SQL Server 实例的专用主机。 如果你打算使用故障转移群集或镜像为 SQL Server 配置数据库提供容错和可伸缩性,则需要至少两个 SQL 服务器。
你选择的配置数据库类型可能会影响硬件资源的方式
对在使用 WID 服务器场中部署的联合服务器(而不是在使用 SQL Server 数据库的服务器场中部署的联合服务器)上的硬件资源的影响并不重要。 但重要的是,当你为服务器场使用 WID 时,在该场中的每个联合服务器必须存储、管理和维护其 AD FS 配置数据库的本地副本的复制更改,同时还要继续提供此联合身份验证服务所需的正常操作。
比较而言,在使用 SQL Server 数据库的服务器场中部署的联合服务器不一定包含 AD FS 配置数据库的本地实例。 因此,它们可能会对硬件资源提出略少的要求。
在何处放置联合服务器
作为安全最佳做法,请将 AD FS 联合服务器放在防火墙后面,并将其连接到企业网络,以防止从 Internet 泄露。 这一点很重要,因为联合服务器具有授予安全令牌的完全授权。 因此,它们应具有与域控制器相同的保护。 如果联合服务器遭到入侵,恶意用户能够向所有 Web 应用程序和受 AD FS 保护的联合服务器颁发完全访问令牌。
注释
作为安全最佳做法,请避免在 Internet 上直接访问联合服务器。 请考虑仅在设置测试实验室环境或组织没有外围网络时提供联合服务器直接访问 Internet。
对于典型的企业网络,在企业网络和外围网络之间建立面向 Intranet 的防火墙,而面向 Internet 的防火墙通常在外围网络与 Internet 之间建立。 在这种情况下,联合服务器位于企业网络中,Internet 客户端无法直接访问它。
注释
连接到企业网络的客户端计算机可以通过 Windows 集成身份验证直接与联合服务器通信。
在配置防火墙服务器以用于 AD FS 之前,应将联合服务器代理放置在外围网络中。
支持的部署拓扑
以下文章介绍了可用于 AD FS 的各种部署拓扑。 它们还描述了与每个部署拓扑关联的优点和限制,以便你可以为特定的业务需求选择最合适的拓扑。