Granja de servidores de federación de AD FS heredada con WID y servidores proxy
Esta topología de implementación para Servicios de federación de Active Directory (AD FS) es idéntica a la granja de servidores de federación con topología de Windows Internal Database (WID), pero agrega servidores proxy a la red perimetral para admitir usuarios externos. Estos servidores proxy se usan para redirigir las solicitudes de autenticación del cliente procedentes del exterior de su red corporativa a la granja de servidores de federación. En versiones anteriores de AD FS, estos servidores proxy se denominaban servidores proxy de federación.
Importante
En Servicios de federación de Active Directory (AD FS) en Windows Server 2012 R2, el rol de un servidor proxy de federación se administra mediante un nuevo servicio de rol de acceso remoto llamado proxy de aplicación web. Para permitir que su AD FS tenga accesibilidad desde el exterior de la red corporativa, que era el fin de implementar un servidor proxy de federación en las versiones heredadas de AD FS, como AD FS 2.0 y AD FS en Windows Server 2012, puede implementar uno o más proxies de aplicación web para AD FS en Windows Server 2012 R2.
En el contexto de AD FS, el servicio Proxy de aplicación web funciona como un proxy de servidor de federación de AD FS. Además, el servicio Proxy de aplicación web ofrece funcionalidad de proxy inverso para las aplicaciones web dentro de la red corporativa para permitir a los usuarios de cualquier dispositivo acceso a estas desde fuera de la red corporativa. Para obtener información general sobre el servicio de rol Proxy de aplicación web, consulte la introducción a Proxy de aplicación web.
Para planear la implementación de Proxy de aplicación web, puede consultar la información de los temas siguientes:
Consideraciones de la implementación
En esta sección se describen varias consideraciones sobre el público a la que está dirigida, así como las ventajas y las limitaciones asociadas a esta topología de implementación.
¿Quién debe usar esta topología?
Organizaciones con 100 o menos relaciones de confianza configuradas que necesitan proporcionar a sus usuarios internos y usuarios externos (que han iniciado sesión en equipos que se encuentran físicamente fuera de la red corporativa) con acceso de inicio de sesión único (SSO) a aplicaciones o servicios federados
Organizaciones que necesitan proporcionar a sus usuarios internos y externos acceso SSO a Microsoft Office 365
Organizaciones pequeñas que tienen usuarios externos y requieren servicios redundantes y escalables
¿Cuáles son las ventajas de usar esta topología?
- Las mismas ventajas que se muestran para la topología de Granja de servidores de federación con WID, además de la ventaja de proporcionar acceso adicional a los usuarios externos
¿Cuáles son las limitaciones de usar esta topología?
Las mismas limitaciones que se enumeran para la topología de Granja de servidores de federación con WID
1-100 relaciones de confianza para usuario autenticado Más de 100 relaciones de confianza para usuario autenticado 1-30 nodos de AD FS: Compatible con WID 1-30 nodos de AD FS: No compatible con WID, se requiere SQL Más de 30 nodos de AD FS: No compatible con WID, se requiere SQL Más de 30 nodos de AD FS: No compatible con WID, se requiere SQL
Recomendaciones de ubicación del servidor y distribución de red
Para implementar esta topología, además de agregar dos servidores proxy de aplicación web, debe asegurarse de que la red perimetral también puede proporcionar acceso a un servidor del Sistema de nombres de dominio (DNS) y a un segundo host de equilibrio de carga de red (NLB). El segundo host de NLB debe configurarse con un clúster de NLB que usa una dirección IP de clúster a la que se puede acceder desde Internet, y debe usar la misma configuración de nombre DNS de clúster que el clúster de NLB anterior configurado en la red corporativa (fs.fabrikam.com). Los servidores proxy de aplicación web también se deben configurar con direcciones IP a las que se pueda tener acceso desde Internet.
En la ilustración siguiente se muestra la granja de servidores de federación existente con topología WID descrita anteriormente y cómo la empresa ficticia Fabrikam, Inc., proporciona acceso a un servidor DNS perimetral, agrega un segundo host NLB con el mismo nombre DNS de clúster (fs.fabrikam.com) y agrega dos servidores proxy de aplicación web (wap1 y wap2) a la red perimetral.
Para obtener más información sobre cómo configurar el entorno de red para su uso con servidores de federación o servidores proxy de aplicación web, consulte la sección "Requisitos de resolución de nombres" de Requisitos de AD FS y Planear la infraestructura del Proxy de aplicación web (WAP).
Consulte también
Planeamiento de la topología de la implementación de AD FSGuía de diseño de AD FS en Windows Server 2012 R2
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de