Planejando e implementando o Active Directory Federation Services 2.0 com Single Sing-On – Part IV

Olá pessoal,

Dando continuidade a nossa serie de posts sobre SSO no #Office365, vamos ver agora a parte de deployment.

Plan your AD FS 2.0 deployment

O primeiro passo no planejamento da implementação do ADFS 2.0 no Office365, é selecionar a topologia que reúna as necessidades da sua organização.ADFS 2.0 requer que você use o Windows Internal Database (WID) ou um banco de dados SQL Server para armazenar os dados de configuração utilizados pelo Federation Service.

Nota: A topologia recomendada para o ADFS 2.0 no Office365 é usar uma farm de federation server com WID e topologia com proxy server.

Topologia recomendada: Federation server farm com WID e proxies server

A topologia padrão para o Office 365 é uma farm de federation server que consiste em vários servidores. Nesta topologia, o ADFS 2.0 usa WID como banco de dados de configuração do ADFS 2.0 para todos os servidores de federação que estão associados a está farm. A farm de servidores replica e mantém os dados do Federation Services no banco de dados de cada servidor da farm.

O ato de criar primeiro o federation server na sua farm, também cria um novo serviço de federação. Quando o WID é usado como base de dados do ADFS 2.0, o primeiro federation server que é criada na farm é referenciado como o primary federation server.Isto significa que este computador será configurado com uma leitura/gravação de cópia do banco de dados de configuração do ADFS 2.0.

Todos os outros federation server configurados para está farm são referidos como secondary federation servers, eles devem replicar as alterações que são feitas no primary federation server para as suas cópias de banco de dados, somente leitura, da configuração do AD FS 2.0 armazenada localmente.

Nota: Recomendamos o uso de pelo menos dois federation servers em load-balanced. 

A configuração baseada nessa topologia é a primeira fase do deployment do ADFS 2.0, a segunda fase consiste em determinar como fornecer funcionalidade de controle de acesso para usuários externos através da implantação de federation server proxies.

Fase 1: Implementar a federation server farm

Quando você estiver pronto para começar a implantar sua farm, você deve planejar a distribuição de todos os federation servers em sua rede corporativa por trás de um  Network Load Balancing (NLB), que pode ser configurado para um cluster NLB com uma estrutura dedicada de Cluster DNS e cluster IP address.

O Cluster DNS name devera corresponder ao nome do Fedaration Service (por exemplo, fs.fabrikam.com) e ser roteados na internet para a instancia do ADFS 2.0 que você implementar. O NLB host pode usar as configurações definidas neste cluster NLB para alocar solicitações de clientes para os federation server individuais. O diagrama a seguir mostra como Fabrikam.Inc pode configurar a primeira fase de sua implementação usando uma farm de servidores com dois computadores (fs1 and fs2) com WID e o posicionamento de um servidor de DNS em conjunto com único host NLB a rede corporativa.

image

Nota: Se houver uma falha nesse sistema com NLB único, os usuários não serão capazes de acessar os serviços do Office 365. Adicionar hosts adicionais NLB se as suas necessidades de negócios não permitem ter um ponto único de falha.

 Fase 2: Implementar federation server proxies

Em geral, os federation server proxies são utilizados para redirecionar as solicitações de autenticação dos clientes externos a sua rede corporativa a sua farm de federation server. Para os clientes corporativos do Office365 a implementação dos federation server proxies é necessaria para permitir que os usuários possa estar aptos nos seguintes cenários:

•    Work computer, roaming: Usuários que estão conectados a computadores de domínio conjunto com suas credenciais da empresa, mas que não estão conectados a rede corporativa (por exemplo, um computador de trabalho em casa ou em um hotel), pode acessar os serviços em Office 365.

•    Home or public computer: Quando os usuários estiverem usando um computador que não tenha ingressado no domínio corporativo, o usuário deve entrar com suas credenciais corporativo para acessar os serviços no Office 365.

•    Smart phone: Em um smartphone, para acessar os serviços do Office 365, como o Microsoft Exchange Online utilizando o Microsoft Exchange ActiveSync, o usuário deve entrar com suas credenciais corporativas.

•    Older operating systems or email clients that are not part of Office: O usuário deve entrar com suas credenciais corporativo para acessar seu e-mail Office 365, se:

· Eles estão usando um sistema operacional mais antigo, como o Windows XP e Windows Vista.
· Eles estão usando um cliente de e-mail que não faz parte do Office, por exemplo, IMAP ou POP cliente.

Para apoiar estes cenários do usuário, esta segunda fase terá como base a Fase 1 da implantação discutido anteriormente, pela adição de dois federation server proxies, que dá acesso a um servidor DNS na rede de perímetro, e acesso a um segundo host NLB na rede de perímetro.

O host NLB deve ser configurado com um cluster NLB que usa uma internet acessível ao endereço IP do cluster e deve usar o mesmo nome do cluster como configuração de DNS do cluster NLB anterior você configurou na rede corporativa para a Fase 1 (fs.fabrikam.com ). Os proxies de servidor de federação também serão configurados com endereços IP acessíveis pela Internet.

O diagrama a seguir mostra o vigor da Fase 1 de implantação e como Fabrikam, Inc. pode fornecer acesso a um servidor DNS de perímetro, adicionar um host NLB segundo com o mesmo nome DNS do cluster (fs.fabrikam.com), e adicionar dois proxies de servidor de federação (fsp1 e FSP2) à rede de perímetro.

image

 

  • Você pode usar o Microsoft Forefront Unified Access Gateway (UAG) ou Forefront Threat Management Gateway (TMG) para publicar AD FS 2.0 para a extranet. Para mais informações sobre como fazer isso, consulte Configurando opções avançadas para AD FS 2.0.
  • Você também pode usar soluções de terceiros de HTTP proxy reverse para publicar o AD FS 2.0 para extranet.
  • Toda a comunicação AD FS 2.0 passa pelo firewall é baseado em HTTPS.

Advanced option: Federation server farm with SQL Server and proxies

Isto é uma opção avançada da topologia de implantação do ADFS que usa proxies do servidor de federação e uma configuração do SQL Server para permitir que todos os servidores de federação na fazenda para ler e gravar em um banco de dados comuns do SQL Server. Usando um banco de dados SQL Server como o banco de dados de configuração do AD FS 2.0 oferece as seguintes vantagens sobre WID:

• Os administradores podem utilizar os recursos de alta disponibilidade do SQL Server.
• Melhorias adicionais de desempenho, incluindo a capacidade de escala, utilizando mais de cinco servidores de federação (WID é limitada a cinco servidores de federação por exploração).
• Geográfica de balanceamento de carga para ajudar a proporcionar aumentos para o alto tráfego com base na localização.

Estimation table: Determine the number of AD FS 2.0 servers to deploy in your organization

Você pode usar a tabela abaixo (inglês) para ajuda-lo a estimar o número mínimo de AD FS 2.0 servidores de federation servers e federation server proxies que você vai precisar para colocar em uma farm de servidores de federação configurado com WID toda sua infra-estrutura de rede corporativa com base no número de usuários que exigir single sign-on de acesso, incluindo o acesso remoto, para o Office 365

Number of users accessing Office 365

Minimum number of servers to deploy

Recommendation and steps

Fewer than 1,000 users

0 dedicated federation servers

0 dedicated federation server proxies

1 dedicated NLB server

For the federation servers, use two existing Active Directory domain controllers (DCs) and configure them both for the federation server role. To do this, first select two existing DCs, and then:

1. Install AD FS 2.0 on both domain controllers.

2. Configure one as the first federation server in a new farm.

3. Join the second one to the federation server farm.

For NLB, configure an existing NLB host or obtain a dedicated server and then install the NLB server role on it and then configure the NLB server.

For the federation server proxies, use two existing web or proxy servers and configure them both for the federation server proxy role. To do this, select two existing web or proxy servers that reside in the extranet, and then:

1. Install AD FS 2.0 on both servers.

2. Configure them for the federation server proxy role.

3. Install the NLB server role on one of the federation server proxies or configure an existing NLB host.

clip_image001[8]Note

If you do not have two existing DCs and two web or proxy servers or they are not running either Windows Server 2008 or Windows Server 2008 R2, you should deploy dedicated servers instead, as discussed in the next row of this table.

1,000 to 15,000 users

2 dedicated federation servers

2 dedicated federation server proxies

For the federation servers, obtain two dedicated servers, and then:

1. Install AD FS 2.0 on both servers.

2. Configure one as the first federation server in a new farm.

3. Join the second one to the farm.

4. Install the NLB server role on one of the federation servers or configure an existing NLB host.

For the federation servers, obtain two dedicated servers that you can place in the extranet:

1. Install AD FS 2.0 on both servers.

2. Configure them for the federation server proxy role.

3. Install the NLB server role on one of the federation server proxies or configure an existing NLB host.

15,000 to 60,000 users

Between 3 and 5 dedicated federation servers

At least 2 dedicated federation server proxies

Each dedicated federation server can support approximately 15,000 users. Therefore, add an additional dedicated federation server to the base two federation server deployment described previously for every 15,000 users that will require access to Office 365, up to a maximum of five federation servers in the farm or 60,000 users.

clip_image001[9]Note

An AD FS 2.0 federation server farm configured to use WID supports a maximum of five federation servers. If you need more than five federation servers, you need to configure a SQL Server database to store the AD FS 2.0 configuration database. For more information about this option, see Configuring Advanced Options for AD FS 2.0.

 

Adding federation servers to increase performance

Quando dois ou mais servidores de federação são configurados em uma farm usando a tecnologia NLB, que podem operar de forma independente para ajudar o processo de carga de solicitações de usuários, feitas de entrada para o AD FS 2.0 Federation Service sem prejudicar o desempenho geral do serviço como um todo. Portanto, há pouca sobrecarga envolvida com a adição de servidores de federação adicional para o seu ambiente de produção existente depois de ter implantado os servidores de federação inicial estrategicamente na sua rede


Fernando Andreazi
https://fernandoandreazi.wordpress.com/

Sobre Fernando Andreazi

Fernando Andreazi, profissional de TI desde 2004, especialista em tecnologias Microsoft em soluções de Infraestrutura, Gerenciamento e Online Services. Microsoft Certified Trainer (MCT) e Microsoft Most Valuable Professional (MVP) em Office 365. Technical Speaker palestrando sobre tecnologias Microsoft nas principais universidades de São Paulo, TechEd2011 e na Comunidade TechNet. Certificado em Windows XP, Windows Vista, Windows 7, MDOP, Forefront, SCCM2007, SCOM2007, Windows Server 2003, Windows Server 2008, Lync 2010, Exchange Server 2007 , 2010, 2013 e Office 365. MCP, MCSA, MCITP, MCTS e MCDST. Atualmente atua em uma empresa Microsoft LAR como Cloud Specialist e é também Owner da empresa de treinamento Learning365.

Publicado em 08/06/2011, em Office 365. Adicione o link aos favoritos. Deixe um comentário.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: