Llegeix en anglès

Comparteix a través de


Granja de servidores de federación con WID

La topología predeterminada para Servicios de federación de Active Directory (AD FS) es una granja de servidores de federación, la cual usa Windows Internal Database (WID), formada por hasta cinco servidores de federación que hospedan el servicio de federación de su organización. En esta topología, AD FS usa WID como almacenamiento para la base de datos de configuración de AD FS para todos los servidores de federación que se unen a esa granja. La granja replica y mantiene los datos del Servicio de federación de la base de datos de configuración de todos los servidores de la granja.

Al crear el primer servidor de federación en una granja, se crea también un nuevo Servicio de federación. Cuando se usa WID con la base de datos de configuración de AD FS, el primer servidor de federación que crea en la granja se denomina servidor de federación principal. Esto significa que el equipo se configura con una copia de lectura/escritura de la base de datos de configuración de AD FS.

Todos los demás servidores de federación que configura para esta granja se denominan servidores de federación secundarios, ya que deben replicar todos los cambios que se realizan en el servidor de federación principal en las copias de solo lectura de la base de datos de configuración de AD FS que almacenan de forma local.

Nota

Recomendamos usar al menos dos servidores de federación en las configuraciones de carga equilibrada.

Consideraciones de la implementación

En esta sección se describen varias consideraciones sobre el público a la que está dirigida, así como las ventajas y las limitaciones asociadas a esta topología de implementación.

¿Quién debe usar esta topología?

  • Organizaciones con 100 o menos relaciones de confianza configuradas que necesitan proporcionar a sus usuarios internos (que han iniciado sesión en equipos conectados físicamente a la red corporativa) acceso de inicio de sesión único (SSO) a aplicaciones o servicios federados

  • Organizaciones que quieran proporcionar a sus usuarios internos acceso SSO a Microsoft Online Services o Microsoft Office 365

  • Organizaciones pequeñas que requieren servicios redundantes y escalables

Nota

Las organizaciones con bases de datos más grandes deben considerar el uso de la topología de implementación de la granja de servidores de federación con SQL Server, que se describe más adelante en esta sección. Las organizaciones con usuarios que inician sesión desde fuera de la red deben considerar el uso de la topología de la granja de servidores de federación con WID y servidores proxy o la topología de la granja de servidores de federación con SQL Server.

¿Cuáles son las ventajas de usar esta topología?

  • Proporciona acceso de SSO a usuarios internos.

  • La redundancia del servicio de federación y de datos (cada servidor de federación replica los cambios en otros servidores de federación de la misma granja).

  • La granja de servidores se puede escalar horizontalmente agregando hasta cinco servidores de federación.

  • WID se incluye con Windows, por lo que no es necesario comprar SQL Server.

¿Cuáles son las limitaciones de usar esta topología?

  • Una granja WID tiene un límite de 30 servidores de federación. Para obtener más información, consulta Consideraciones sobre la topología de implementación de AD FS.

  • Una granja WID no admite la detección de reproducción de tokens ni la resolución de artefactos (parte del protocolo SAML [Lenguaje de marcado de aserción de seguridad]).

Recomendaciones de ubicación del servidor y de distribución de la red

Cuando lo tenga todo listo para iniciar la implementación de esta topología en su red, deberá planear la ubicación de todos los servidores de federación de su red corporativa detrás de un host de Equilibrio de carga de red (NLB) que puede configurarse para un clúster de NLB con un nombre DNS (Sistema de nombres de dominio) de clúster dedicado y una dirección IP de clúster.

Nota

Este nombre DNS del clúster debe coincidir con el nombre del Servicio de federación, por ejemplo, fs.fabrikam.com.

El host de NLB puede usar la configuración definida en este clúster de NLB para asignar solicitudes de cliente a los servidores de federación individuales. En la siguiente ilustración se muestra cómo la empresa ficticia Fabrikam, Inc. configura la primera fase de su implementación mediante una granja de servidores de federación de dos equipos (fs1 y fs2) con WID y el posicionamiento de un servidor DNS y un único host de NLB conectado a la red corporativa.

server farm using WID

Nota

Si se produce un error en este host de NLB único, los usuarios no podrán acceder a las aplicaciones o los servicios federados. Agregue más hosts de NLB si sus necesidades empresariales no le permiten tener un único punto de error.

Para obtener más información sobre cómo configurar el entorno de red para su uso con servidores de federación, vea Requisitos de resolución de nombres para servidores de federación en la guía de diseño de AD FS.

Consulte también

Guía de diseño de AD FS en Windows Server 2012