Planification de la capacité des serveurs proxy de fédération
La planification de la capacité pour les proxys de serveur de fédération vous aide à estimer :
La configuration matérielle requise pour chaque proxy de serveur de fédération.
Le nombre de serveurs de fédération et de proxys de serveur de fédération à placer dans chaque organisation.
Les proxys de serveur de fédération redirigent les jetons de sécurité d’un serveur de fédération protégé dans le réseau d’entreprise vers des utilisateurs fédérés. L’objectif du déploiement d’un proxy de serveur de fédération est de permettre aux utilisateurs externes de se connecter à un serveur de fédération. Il ne signe pas de jetons ou n’écrit pas dans les données de la base de données de configuration AD FS. Par conséquent, la configuration matérielle requise pour le proxy du serveur de fédération est généralement inférieure à la configuration matérielle requise pour un serveur de fédération.
Étant donné que chaque requête adressée à un proxy de serveur de fédération génère une demande à un serveur de fédération ou à une batterie de serveurs de fédération, la planification de la capacité des serveurs de fédération et des proxys de serveur de fédération doit être effectuée en parallèle.
L’estimation des connexions de pointe par seconde pour le proxy du serveur de fédération nécessite une compréhension des modèles d’utilisation des utilisateurs fédérés qui se connecteront via le proxy du serveur de fédération. Dans de nombreux déploiements, les utilisateurs fédérés qui se connectent à l’aide du proxy du serveur de fédération se trouvent sur Internet. Vous pouvez estimer les pics de connexion par seconde en examinant les modèles d’utilisation de ces utilisateurs fédérés sur les applications web existantes qui seront protégées par AD FS.
Notes
Pour les déploiements de production, nous vous recommandons d’utiliser au moins deux proxys de serveur de fédération pour chaque instance de batterie de serveurs de fédération que vous déployez.
Estimer le nombre de proxys de serveur de fédération pour votre organisation
Avant de pouvoir estimer le nombre de machines proxy de serveur de fédération AD FS requises, vous devez déterminer le nombre total de serveurs de fédération que vous allez déployer dans votre organisation. Pour plus d’informations sur la procédure à suivre, consultez Planification de la capacité du serveur de fédération.
Une fois que vous avez décidé du nombre de serveurs de fédération, multipliez ce nombre de serveurs par le pourcentage de demandes d’authentification fédérées entrantes qui seront effectuées à partir d’utilisateurs externes (situés en dehors du réseau d’entreprise). La valeur de ce calcul vous fournit le nombre estimé de proxys de serveur de fédération qui géreront les demandes d’authentification entrantes pour vos utilisateurs externes.
Par exemple, si le nombre de serveurs de fédération recommandés est de 3 et que vous vous attendez à ce que le nombre total de demandes d’authentification qui seront effectuées à partir d’utilisateurs externes corresponde à environ 60 % du total des demandes d’authentification fédérées, votre calcul équivaut à 1,8 (3 x 0,60), que vous pouvez arrondir à 2. Par conséquent, dans ce cas, vous devez déployer deux machines proxy de serveur de fédération pour prendre en charge la charge des demandes d’authentification des utilisateurs externes pour les trois serveurs de fédération.
Dans les tests effectués par l’équipe produit AD FS, l’utilisation globale de l’UC sur chaque proxy de serveur de fédération était significativement inférieure à l’utilisation du processeur qui a été observée sur les serveurs de fédération pour la même batterie. Dans un test, alors qu’un processeur de serveur de fédération indiquait qu’il était complètement saturé, le processeur d’un proxy de serveur de fédération fournissant des services proxy pour cette même batterie a été observé à seulement 20 % d’utilisation. Par conséquent, nos tests ont révélé que la charge sur le processeur d’un proxy de serveur de fédération, qui utilise des spécifications matérielles similaires comme indiqué plus haut dans cette section, pouvait raisonnablement gérer la charge de traitement pour environ trois serveurs de fédération.
Toutefois, à des fins de tolérance aux pannes, nous vous recommandons d’utiliser au moins deux proxys de serveur de fédération pour chaque batterie de fédération que vous déployez.