Tempat Menempatkan Proksi Server Federasi
Anda dapat menempatkan proksi server federasi Layanan Federasi Direktori Aktif (AD FS) di jaringan perimeter untuk memberikan lapisan perlindungan terhadap pengguna berbahaya yang mungkin berasal dari Internet. Proksi server federasi sangat ideal untuk lingkungan jaringan perimeter karena mereka tidak memiliki akses ke kunci privat yang digunakan untuk membuat token. Namun, proksi server federasi dapat secara efisien merutekan permintaan masuk ke server federasi yang berwenang untuk menghasilkan token tersebut.
Tidak perlu menempatkan proksi server federasi di dalam jaringan perusahaan untuk mitra akun atau mitra sumber daya karena komputer klien yang terhubung ke jaringan perusahaan dapat berkomunikasi langsung dengan server federasi. Dalam skenario ini, server federasi juga menyediakan fungsionalitas proksi server federasi untuk komputer klien yang berasal dari jaringan perusahaan.
Seperti biasanya dengan jaringan perimeter, firewall yang menghadap intranet didirikan antara jaringan perimeter dan jaringan perusahaan, dan firewall yang menghadap Internet sering dibuat antara jaringan perimeter dan Internet. Dalam skenario ini, proksi server federasi berada di antara kedua firewall ini di jaringan perimeter.
Mengonfigurasi server firewall Anda untuk proksi server federasi
Agar proses pengalihan proksi server federasi berhasil, semua server firewall harus dikonfigurasi untuk memungkinkan lalu lintas Secure Hypertext Transfer Protocol (HTTPS). Penggunaan HTTPS diperlukan karena server firewall harus menerbitkan proksi server federasi, menggunakan port 443, sehingga proksi server federasi di jaringan perimeter dapat mengakses server federasi di jaringan perusahaan.
Catatan
Semua komunikasi ke dan dari komputer klien juga terjadi melalui HTTPS.
Selain itu, server firewall yang terhubung ke Internet, seperti komputer yang menjalankan Microsoft Internet Security and Acceleration (ISA) Server, menggunakan proses yang dikenal sebagai penerbitan server untuk mendistribusikan permintaan klien Internet ke perimeter dan server jaringan perusahaan yang sesuai, seperti proksi server federasi atau server federasi.
Aturan penerbitan server menentukan cara kerja penerbitan server—pada dasarnya, memfilter semua permintaan masuk dan keluar melalui komputer ISA Server. Aturan penerbitan server memetakan permintaan klien masuk ke server yang sesuai di belakang komputer ISA Server. Untuk informasi tentang cara mengonfigurasi ISA Server untuk menerbitkan server, lihat Membuat Aturan Penerbitan Web Aman.
Di dunia federasi Ad FS, permintaan klien ini biasanya dibuat ke URL tertentu, misalnya, URL pengidentifikasi server federasi seperti http://fs.fabrikam.com. Karena permintaan klien ini masuk dari Internet, server firewall yang terhubung ke Internet harus dikonfigurasi untuk menerbitkan URL pengidentifikasi server federasi untuk setiap proksi server federasi yang disebarkan di jaringan perimeter.
Mengonfigurasi Server ISA untuk mengizinkan SSL
Untuk memfasilitasi komunikasi LAYANAN Federasi Direktori Aktif yang aman, Anda harus mengonfigurasi ISA Server untuk mengizinkan komunikasi Secure Sockets Layer (SSL) antara yang berikut:
Server federasi dan proksi server federasi. Saluran SSL diperlukan untuk semua komunikasi antara server federasi dan proksi server federasi. Oleh karena itu, Anda harus mengonfigurasi ISA Server untuk memungkinkan koneksi SSL antara jaringan perusahaan dan jaringan perimeter.
Komputer klien, server federasi, dan proksi server federasi. Sehingga komunikasi dapat terjadi antara komputer klien dan server federasi atau antara komputer klien dan proksi server federasi, Anda dapat menempatkan komputer yang menjalankan ISA Server di depan server federasi atau proksi server federasi.
Jika organisasi Anda melakukan autentikasi klien SSL di server federasi atau proksi server federasi, saat Anda menempatkan komputer yang menjalankan ISA Server di depan server federasi atau proksi server federasi, server harus dikonfigurasi untuk pass-through koneksi SSL karena koneksi SSL harus dihentikan di server federasi atau proksi server federasi.
Jika organisasi Anda tidak melakukan autentikasi klien SSL di server federasi atau proksi server federasi, opsi tambahan adalah mengakhiri koneksi SSL di komputer yang menjalankan ISA Server lalu membuat kembali koneksi SSL ke server federasi atau proksi server federasi.
Catatan
Server federasi atau proksi server federasi mengharuskan koneksi diamankan oleh SSL untuk melindungi konten token keamanan.
Lihat Juga
Panduan Desain Layanan Federasi Direktori Aktif di Windows Server 2012
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk