可以将 Active Directory 联合身份验证服务(AD FS)联合服务器代理放置在外围网络中,以针对可能来自 Internet 的恶意用户提供保护层。 联合服务器代理非常适合外围网络环境,因为它们无权访问用于创建令牌的私钥。 但是,联合服务器代理可以有效地将传入请求路由到有权生成这些令牌的联合服务器。
不需要将联合服务器代理放置在帐户伙伴或资源合作伙伴的企业网络中,因为连接到企业网络的客户端计算机可以直接与联合服务器通信。 在此方案中,联合服务器还为来自企业网络的客户端计算机提供联合服务器代理功能。
与外围网络一样,外围网络与企业网络之间建立了面向 Intranet 的防火墙,并且外围网络与 Internet 之间通常会建立面向 Internet 的防火墙。 在此方案中,联合服务器代理位于外围网络上的这两个防火墙之间。
配置联合服务器代理的防火墙服务器
若要使联合服务器代理重定向过程成功,必须将所有防火墙服务器配置为允许安全超文本传输协议(HTTPS)流量。 需要使用 HTTPS,因为防火墙服务器必须使用端口 443 发布联合服务器代理,以便外围网络中的联合服务器代理可以访问企业网络中的联合服务器。
注释
与客户端计算机之间的所有通信也通过 HTTPS 发生。
此外,面向 Internet 的防火墙服务器(如运行 Microsoft Internet 安全和加速 (ISA) 服务器的计算机)使用称为服务器发布的进程将 Internet 客户端请求分发到相应的外围和企业网络服务器,例如联合服务器代理或联合服务器。
服务器发布规则确定服务器发布的工作原理,实质上是通过 ISA 服务器计算机筛选所有传入和传出请求。 服务器发布规则将传入客户端请求映射到 ISA 服务器计算机后面的相应服务器。 有关如何配置 ISA 服务器以发布服务器的信息,请参阅 “创建安全 Web 发布规则”。
在 AD FS 的联合世界中,这些客户端请求通常向特定 URL 发出,例如联合服务器标识符 URL,例如 http://fs.fabrikam.com. 由于这些客户端请求来自 Internet,因此必须将面向 Internet 的防火墙服务器配置为为外围网络中部署的每个联合服务器代理发布联合服务器标识符 URL。
配置 ISA 服务器以允许 SSL
若要促进 AD FS 通信的安全,必须配置 ISA 服务器,以允许以下项之间的安全套接字层 (SSL) 通信:
联合服务器和联合服务器代理。 联合服务器和联合服务器代理之间的所有通信都需要 SSL 通道。 因此,必须将 ISA 服务器配置为允许企业网络与外围网络之间的 SSL 连接。
客户端计算机、联合服务器和联合服务器代理。 因此,客户端计算机和联合服务器之间或客户端计算机与联合服务器代理之间可能发生通信,可以将运行 ISA Server 的计算机置于联合服务器或联合服务器代理的前面。
如果你的组织在联合服务器或联合服务器代理上执行 SSL 客户端身份验证,当你将运行 ISA 服务器的计算机置于联合服务器或联合服务器代理的前面时,必须将服务器配置为传递 SSL 连接,因为 SSL 连接必须在联合服务器或联合服务器代理处终止。
如果组织未在联合服务器或联合服务器代理上执行 SSL 客户端身份验证,则其他选项是终止运行 ISA 服务器的计算机的 SSL 连接,然后重新建立与联合服务器或联合服务器代理的 SSL 连接。
注释
联合服务器或联合服务器代理要求 SSL 保护连接以保护安全令牌的内容。
另请参阅
Windows Server 2012 中的 AD FS 设计指南