Peran Database Konfigurasi Layanan Federasi Direktori Aktif
Database konfigurasi Layanan Federasi Direktori Aktif menyimpan semua data konfigurasi yang mewakili satu instans Layanan Federasi Direktori Aktif (AD FS) (yaitu, Layanan Federasi). Database konfigurasi Layanan Federasi Direktori Aktif mendefinisikan sekumpulan parameter yang diperlukan Layanan Federasi untuk mengidentifikasi mitra, sertifikat, penyimpanan atribut, klaim, dan berbagai data tentang entitas terkait ini. Anda dapat menyimpan data konfigurasi ini dalam database Microsoft SQL Server® atau fitur Database Internal Windows (WID) yang disertakan dengan Windows Server 2012 atau yang lebih tinggi.
Catatan
Seluruh konten database konfigurasi Layanan Federasi Direktori Aktif dapat disimpan baik dalam instans WID atau dalam instans database SQL, tetapi tidak keduanya. Ini berarti Anda tidak dapat memiliki beberapa server federasi menggunakan WID dan yang lain menggunakan database SQL Server untuk instans database konfigurasi LAYANAN Federasi Direktori Aktif yang sama.
Anda dapat menggunakan informasi berikut dalam topik ini bersama dengan konten yang disediakan dalam Pertimbangan Topologi Penyebaran Layanan Federasi Direktori Aktif untuk mempelajari tentang kelebihan dan kekurangan memilih WID atau SQL Server untuk menyimpan database konfigurasi Layanan Federasi Direktori Aktif:
WID menggunakan penyimpanan data relasional dan tidak memiliki antarmuka pengguna manajemen (UI) sendiri. Sebagai gantinya, administrator dapat memodifikasi konten database konfigurasi Layanan Federasi Direktori Aktif dengan menggunakan snap-in Manajemen Layanan Federasi Direktori Aktif, Fsconfig.exe, atau cmdlet Windows PowerShellâ„¢.
Menggunakan WID untuk menyimpan database konfigurasi Layanan Federasi Direktori Aktif
Anda dapat membuat database konfigurasi Layanan Federasi Direktori Aktif menggunakan WID sebagai penyimpanan dengan menggunakan alat baris perintah Fsconfig.exe atau Wizard Konfigurasi Server Federasi Federasi Direktori Aktif. Saat Anda menggunakan salah satu alat ini, Anda dapat memilih salah satu opsi berikut untuk membuat topologi server federasi Anda. Masing-masing opsi ini menggunakan WID untuk menyimpan database konfigurasi Layanan Federasi Direktori Aktif:
Membuat server federasi yang berdiri sendiri
Membuat server federasi pertama di farm server federasi
Menambahkan server federasi ke farm server federasi
Jika Anda memilih opsi berdiri sendiri, WID digunakan untuk menyimpan satu instans database konfigurasi Layanan Federasi Direktori Aktif. Instans ini tidak dapat dibagikan di beberapa server federasi. Ini dimaksudkan untuk lingkungan lab pengujian saja. Untuk informasi selengkapnya tentang opsi server federasi yang berdiri sendiri atau cara menyiapkannya, lihat Server Federasi Mandiri Menggunakan WID atau Membuat Server Federasi Mandiri.
Jika Anda memilih server federasi pertama dalam opsi farm server federasi, WID dikonfigurasi untuk skalabilitas yang akan memungkinkan server federasi tambahan ditambahkan ke farm di lain waktu. Untuk informasi selengkapnya tentang menyebarkan farm WID atau cara menyiapkannya, lihat Farm Server Federasi Menggunakan WID atau Membuat Server Federasi Pertama di Farm Server Federasi
Jika Anda memilih opsi tambahkan server federasi, WID dikonfigurasi untuk mereplikasi perubahan database konfigurasi ke server federasi baru pada interval yang ditetapkan. Untuk informasi selengkapnya tentang menambahkan server federasi ke farm WID, lihat Farm Server Federasi Menggunakan WID atau Menambahkan Server Federasi ke Farm Server Federasi.
Catatan
Saat Anda menyebarkan farm server federasi menggunakan WID, beberapa fitur Layanan Federasi Direktori Aktif mungkin tidak tersedia. Untuk memiliki akses ke kumpulan fitur lengkap saat Anda mengonfigurasi farm server Anda, pertimbangkan untuk menggunakan Microsoft SQL Server untuk menyimpan database konfigurasi LAYANAN Federasi Direktori Aktif sebagai gantinya. Untuk informasi selengkapnya, lihat Pertimbangan Topologi Penyebaran Layanan Federasi Direktori Aktif.
Cara kerja farm server federasi WID
Bagian ini menjelaskan konsep penting yang menjelaskan bagaimana farm server federasi WID mereplikasi data antara server federasi utama dan server federasi sekunder. .
Server federasi utama
Server federasi utama adalah komputer yang menjalankan Windows Server 2012 atau yang lebih tinggi yang telah dikonfigurasi dengan peran server federasi menggunakan Wizard Konfigurasi Server Federasi Layanan Federasi Direktori Aktif dan yang memiliki salinan baca/tulis database konfigurasi Layanan Federasi Direktori Aktif. Server federasi utama selalu dibuat saat Anda menggunakan Wizard Konfigurasi Server Federasi Federasi Layanan Federasi Ad FS dan memilih opsi untuk membuat Layanan Federasi baru dan menjadikan komputer tersebut server federasi pertama di farm. Semua server federasi lain di farm ini, juga dikenal sebagai server federasi sekunder, harus menyinkronkan perubahan yang dibuat di server federasi utama ke salinan database konfigurasi Ad FS yang disimpan secara lokal.
Server federasi sekunder
Server federasi sekunder menyimpan salinan database konfigurasi Layanan Federasi Direktori Aktif dari server federasi utama, tetapi salinan ini bersifat baca-saja. Server federasi sekunder terhubung ke dan menyinkronkan data dengan server federasi utama di farm dengan melakukan polling secara berkala untuk memeriksa apakah data telah berubah. Server federasi sekunder ada untuk memberikan toleransi kesalahan untuk server federasi utama sambil bertindak untuk menyeimbangkan beban permintaan akses yang dibuat di situs yang berbeda di seluruh lingkungan jaringan Anda.
Bagaimana database konfigurasi Layanan Federasi Direktori Aktif disinkronkan
Karena peran penting yang dimainkan database konfigurasi Layanan Federasi Direktori Aktif, database tersebut tersedia di semua server federasi di jaringan untuk memberikan toleransi kesalahan dan kemampuan penyeimbangan beban saat memproses permintaan (saat penyeimbang beban jaringan digunakan). Namun, agar server federasi sekunder berfungsi dalam kapasitas ini, database konfigurasi Layanan Federasi Direktori Aktif yang disimpan di server federasi utama harus disinkronkan.
Saat Anda menambahkan server federasi ke farm, komputer baru yang akan menjadi server federasi sekunder tersambung ke server federasi utama untuk mereplikasi salinan database konfigurasi Layanan Federasi Direktori Aktif. Dari titik ini ke depan, server federasi baru terus menarik pembaruan dari server federasi utama secara teratur, seperti yang ditunjukkan dalam ilustrasi berikut.
Setiap server federasi sekunder melakukan polling server federasi utama setiap lima menit untuk perubahan. Anda dapat menyesuaikan nilai default lima menit ini atau memaksa sinkronisasi langsung kapan saja dengan menggunakan cmdlet Windows PowerShell. Untuk informasi selengkapnya tentang cara melakukannya, lihat Administrasi Layanan Federasi Direktori Aktif dengan Windows PowerShell.
Proses sinkronisasi WID juga mendukung transfer bertahap untuk transfer perubahan menengah yang lebih efisien. Proses transfer bertahap membutuhkan lalu lintas yang jauh lebih sedikit pada jaringan, dan transfer selesai jauh lebih cepat.
Catatan
Migrasi database konfigurasi Layanan Federasi Direktori Aktif dari WID ke instans SQL Server didukung. Untuk informasi selengkapnya tentang cara melakukannya, lihat Layanan Federasi Direktori Aktif: Memigrasikan Database Konfigurasi Layanan Federasi Direktori Aktif Anda ke SQL Server di situs TechNet Wiki.
Cara mengelola properti sinkronisasi Layanan Federasi Direktori Aktif
Bagian ini menjelaskan cara menampilkan dan mengedit properti sinkronisasi database konfigurasi Layanan Federasi Direktori Aktif. .
Cmdlet Get-ADFSSyncProperties mendapatkan properti sinkronisasi untuk database konfigurasi Layanan Federasi Direktori Aktif (AD FS).
PS C:\> Get-ADFSSyncProperties
Pada Server Layanan Federasi Direktori Aktif Utama cmdlet ini hanya akan menunjukkan bahwa Peran adalah Komputer Utama. Pada anggota Sekunder, itu akan menunjukkan sisa konfigurasi termasuk Nama Domain yang Sepenuhnya Memenuhi Syarat dari Sinkronisasi Terakhir dari Komputer Utama, Status dan Waktu Sinkronisasi Terakhir, Durasi Polling, nama komputer Utama yang saat ini dikonfigurasi, Port Komputer Utama dan Peran Komputer Sekunder.
Cmdlet Set-ADFSSyncProperties memodifikasi frekuensi sinkronisasi untuk database konfigurasi Layanan Federasi Direktori Aktif (AD FS). Cmdlet juga menentukan server federasi mana yang merupakan server utama di farm server federasi.
Catatan
Jika server federasi utama mengalami crash dan offline, semua server federasi sekunder terus memproses permintaan seperti biasa. Namun, tidak ada perubahan baru yang dapat dilakukan pada Layanan Federasi sampai server federasi utama telah dibawa kembali secara online. Anda juga dapat mencalonkan server federasi sekunder untuk menjadi server federasi utama dengan menggunakan Windows PowerShell. Jika Anda mencalonkan server utama baru, server yang tersisa harus dimodifikasi untuk mencerminkan server utama baru. Memiliki 2 utama dengan peternakan WID akan berdampak pada ke stabilnya farm dan memiliki kemungkinan kehilangan data.
Mengubah durasi polling untuk farm
PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"
Perintah ini memodifikasi sinkronisasi database menjadi 3600 detik. Perintah membuat perubahan ke server federasi utama.
Mengubah server dari sekunder ke primer
PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"
Perintah ini mengubah server LAYANAN Federasi Direktori Aktif di farm WID dari sekunder menjadi primer.
Mengubah server utama ke server sekunder
PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"
Perintah ini mengubah server AD FS utama di farm WID ke server sekunder. Anda harus menentukan nama domain server utama yang sepenuhnya memenuhi syarat. Tidak melakukannya dapat mengakibatkan tidak semua server LAYANAN Federasi Direktori Aktif sekunder disinkronkan dengan benar. Catatan: Server utama harus dapat diakses melalui HTTP pada port 80 dari server sekunder.
Untuk informasi selengkapnya lihat: Set-AdfsSyncProperties
Menggunakan SQL Server untuk menyimpan database konfigurasi Ad FS
Anda dapat membuat database konfigurasi Layanan Federasi Direktori Aktif menggunakan satu instans database SQL Server sebagai penyimpanan dengan menggunakan alat baris perintah Fsconfig.exe. Menggunakan database SQL Server sebagai database konfigurasi Layanan Federasi Direktori Aktif memberikan manfaat berikut melalui WID:
Administrator dapat memanfaatkan fitur ketersediaan tinggi SQL Server
Ini memberikan peningkatan performa tambahan untuk lalu lintas tinggi.
Ini memberikan dukungan fitur resolusi artefak SAML dan deteksi pemutaran ulang token SAML/WS-Federation (dijelaskan di bawah).
Istilah "server federasi utama" tidak berlaku ketika database konfigurasi Layanan Federasi Direktori Aktif disimpan dalam instans database SQL karena semua server federasi dapat sama-sama membaca dan menulis ke database konfigurasi Layanan Federasi Direktori Aktif yang menggunakan instans SQL Server terkluster yang sama, seperti yang ditunjukkan dalam ilustrasi berikut.
Anda dapat menggunakan SQL Server untuk mengonfigurasi dua server atau lebih untuk bekerja sama sebagai kluster server untuk memastikan bahwa Layanan Federasi Direktori Aktif dibuat sangat tersedia untuk melayani permintaan klien masuk. Ketersediaan tinggi menyediakan arsitektur peluasan skala di mana Anda dapat meningkatkan kapasitas server dengan menambahkan server tambahan. Titik kegagalan tunggal dimitigasi oleh failover kluster otomatis.
Anda dapat mencapai ketersediaan tinggi dengan menggunakan layanan penyeimbangan beban jaringan dan failover yang disediakan teknologi pengklusteran SQL. Untuk informasi selengkapnya tentang cara mengonfigurasi SQL Server untuk ketersediaan tinggi, lihat Gambaran Umum Solusi Ketersediaan Tinggi.
Resolusi artefak SAML
Resolusi artefak Security Assertion Markup Language (SAML) adalah titik akhir berdasarkan bagian dari protokol SAML 2.0 yang menjelaskan bagaimana pihak yang mengandalkan dapat mengambil token langsung dari penyedia klaim. Pada tahap pertama proses resolusi, klien browser menghubungi server federasi sumber daya dan menyediakannya dengan artefak. Pada tahap kedua, server federasi sumber daya mengirim artefak ke URL titik akhir artefak SAML yang dihosting di suatu tempat di organisasi mitra akun untuk menyelesaikan pesan artefak. Pada tahap akhir, server federasi akun mengeluarkan token ke server federasi atas nama klien browser.
Catatan
Jika Anda adalah administrator di organisasi mitra akun, pastikan untuk menetapkan atau mengikat sertifikat SSL, yang menautkan ke sertifikat akar anggota Program Sertifikat Akar Windows, ke situs Web pasif federasi di IIS (<ComputerName>\Sites\Default Web Site\adfs\ls) pada semua server federasi akun di farm. Ini penting untuk mencegah server federasi sumber daya harus menambahkan sertifikat SSL secara manual ke penyimpanan sertifikat Orang Tepercaya Komputer Lokal atau tidak dapat menyelesaikan artefak yang diterbitkan di organisasi Anda.
SAML/WS - Deteksi pemutaran ulang token federasi
Istilah pemutaran ulang token mengacu pada tindakan di mana klien browser di organisasi mitra akun mencoba mengirim token yang sama yang diterimanya dari server federasi akun beberapa kali untuk mengautentikasi ke server federasi sumber daya. Tindakan ini terjadi ketika pengguna mengklik tombol Kembali browser mereka dalam upaya untuk mengirim ulang halaman autentikasi.
Layanan Federasi Direktori Aktif menyediakan fitur yang disebut sebagai deteksi pemutaran ulang token di mana beberapa permintaan token menggunakan token yang sama dapat dideteksi dan kemudian dibuang. Ketika fitur ini diaktifkan, deteksi pemutaran ulang token melindungi integritas permintaan autentikasi di profil pasif WS-Federation dan profil SAML WebSSO dengan memastikan bahwa token yang sama tidak pernah digunakan lebih dari sekali. Fitur ini harus diaktifkan dalam situasi di mana keamanan adalah perhatian yang sangat tinggi seperti saat menggunakan kios.
Dalam contoh kios, pengguna dapat keluar dari semua situs Web dan kemudian pengguna berbahaya dapat mencoba menggunakan riwayat browser untuk mengirim ulang halaman autentikasi gabungan yang dimuat oleh pengguna sebelumnya. Fitur ini mengurangi kekhawatiran ini dengan menyimpan informasi tambahan tentang setiap autentikasi yang berhasil dibuat oleh organisasi mitra akun untuk mendeteksi pemutaran ulang token berikutnya dan mencegah beberapa upaya autentikasi berhasil.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk