Pianificazione della distribuzione di ADFS

Si applica a: Azure, Office 365, Power BI, Windows Intune

Il primo passaggio della pianificazione di una distribuzione di AD FS per un servizio cloud Microsoft consiste nel selezionare la topologia di distribuzione corretta per soddisfare le esigenze di Single Sign-On dell'organizzazione. ADFS richiede l'utilizzo della funzionalità Database interno di Windows o un database di SQL Server per archiviare i dati di configurazione di ADFS utilizzati dal servizio federativo.

La topologia di ADFS consigliata per la maggior parte dei clienti dei servizi cloud Microsoft prevede l'utilizzo della server farm federativa con Database interno di Windows e della topologia dei proxy, come indicato di seguito. Esiste anche un'opzione avanzata di creazione di una server farm federativa con proxy SQL Server, illustrata più avanti in questa sezione.

Questa sezione include inoltre una tabella per stabilire il numero di server ADFS da distribuire nell'organizzazione, nonché informazioni sull'aggiunta di server federativi per migliorare le prestazioni.

• Topologia consigliata: Server farm federativa con Database interno di Windows e proxy

• Opzione avanzata: Server farm federativa con SQL Server e proxy

• Tabella di stima: determinare il numero di server AD FS da distribuire nell'organizzazione

• Aggiunta di server federativi per migliorare le prestazioni

Topologia consigliata: Server farm federativa con Database interno di Windows e proxy

La topologia predefinita per un servizio cloud Microsoft è una server farm federativa DI AD FS costituita da più server che ospitano il servizio federativo dell'organizzazione. In questa topologia ADFS si basa su Database interno di Windows come database di configurazione di ADFS per tutti i server federativi che vengono aggiunti alla farm. La farm replica e mantiene i dati del servizio federativo nel database di configurazione di tutti i server della farm.

La creazione del primo server federativo in una farm crea anche un nuovo servizio federativo. Quando viene utilizzato Database interno di Windows come database di configurazione di ADFS, il primo server federativo che viene creato nella farm viene indicato come server federativo primario. Questo significa che il computer verrà configurato con una copia di lettura/scrittura del database di configurazione di ADFS.

Tutti gli altri server federativi configurati per questa farm sono indicati come server federativi secondari, poiché devono replicare tutte le modifiche effettuate nel server federativo primario nelle relative copie di sola lettura del database di configurazione di ADFS archiviate localmente.

Nota

Consigliamo di utilizzare almeno due server federativi in una configurazione con carico bilanciato.

La configurazione di questa topologia di server farm federativa di base costituisce la prima fase della distribuzione di ADFS. La seconda fase consiste nel determinare come fornire la funzionalità di controllo di accesso per gli utenti esterni tramite la distribuzione di uno dei seguenti tipi di proxy:

• Proxy applicazioni Web, se si utilizza ADFS in Windows Server 2012 R2

• Proxy server federativi, se si utilizza ADFS 2.0 o ADFS in Windows Server 2012

Fase 1: Distribuire la server farm federativa

Per iniziare a distribuire la farm, è necessario pianificare la collocazione di tutti i server federativi della rete aziendale dietro un host di bilanciamento carico di rete (NLB) che può essere configurato per un cluster NLB con nome DNS del cluster e indirizzo IP del cluster dedicati.

Importante

Questo nome DNS del cluster deve corrispondere al nome del servizio federativo (ad esempio fs.fabrikam.com) ed essere instradabile su Internet per l'istanza di ADFS distribuita. Se il nome non corrisponde, la richiesta di autenticazione non sarà instradata al server DNS o al server federativo corretto.

L'host NLB può utilizzare le impostazioni definite in questo cluster NLB per allocare le richieste client nei server federativi singoli. Il diagramma seguente illustra in che modo Fabrikam, Inc. potrebbe configurare la prima fase della loro distribuzione utilizzando una server farm federativa a due computer (fs1 e fs2) con WID e il collocamento di un server DNS e di un host singolo NLB collegato alla rete aziendale.

Nota

Se si verifica un errore in questo singolo host di bilanciamento carico di rete, gli utenti non potranno accedere al servizio cloud. Se i propri requisiti aziendali non consentono un singolo punto di errore, aggiungere altri host NLB.

Fase 2: Distribuire i proxy

In generale, i server proxy vengono usati per reindirizzare le richieste di autenticazione client provenienti dall'esterno della rete aziendale alla server farm federativa, in altre parole, per configurare l'accesso extranet.

Importante

A seconda della versione di ADFS che si desidera utilizzare, è possibile distribuire proxy applicazioni Web (in ADFS in Windows Server 2012 R2) o proxy server federativi (in ADFS 2.0 e ADFS in Windows Server 2012). Per le definizioni e le descrizioni delle funzioni di un Application Proxy Web e di un proxy server federativo, vedere Esaminare la terminologia di AD FS.

Per un cliente del servizio cloud Microsoft, è necessario distribuire proxy nell'infrastruttura AD FS esistente per abilitare gli scenari utente seguenti:

• Computer di lavoro, roaming: Gli utenti che hanno eseguito l'accesso ai computer aggiunti al dominio con le credenziali aziendali, ma che non sono connessi alla rete aziendale (ad esempio, un computer aziendale a casa o in un hotel) possono accedere al servizio cloud.

• Home o computer pubblico: Quando l'utente usa un computer non aggiunto al dominio aziendale, l'utente deve accedere con le proprie credenziali aziendali per accedere al servizio cloud.

• Smart phone: In uno smart phone, per accedere al servizio cloud, ad esempio Microsoft Exchange Online usando Microsoft Exchange ActiveSync, l'utente deve accedere con le proprie credenziali aziendali.

• Microsoft Outlook o altri client di posta elettronica: l'utente deve accedere con le proprie credenziali aziendali per accedere alla posta elettronica Office 365 se usano Outlook o un client di posta elettronica che non fa parte di Office, ad esempio un client IMAP o POP.

Per supportare questi scenari utente, la seconda fase si basa sulla fase 1 della distribuzione illustrata precedentemente, aggiungendo due proxy applicazione Web o due proxy server federativi e fornendo l'accesso a un server DNS e a un secondo host di Bilanciamento carico di rete nella rete perimetrale.

Il secondo host NLB deve essere configurato con un cluster NLB che utilizza un indirizzo IP del cluster accessibile su Internet e che deve utilizzare la medesima impostazione del nome DNS del cluster che è stata configurata nella rete aziendale per la fase 1 (fs.fabrikam.com). Anche i proxy applicazione Web o server federativi verranno configurati con indirizzi IP accessibili su Internet.

Il diagramma seguente illustra la distribuzione attuale della fase 1 e il modo in cui Fabrikam, Inc. potrebbe fornire accesso a un server DSN perimetrale, aggiungere un secondo host NLB con il medesimo nome DNS del cluster (fs.fabrikam.com) e aggiungere due proxy server federativi (fsp1 e fsp2) alla rete perimetrale.

Nel diagramma riportato di seguito viene illustrata la distribuzione corrente della fase 1 e il modo in cui Fabrikam, Inc. può fornire l'accesso a un server DSN perimetrale, aggiungere un secondo host di Bilanciamento carico di rete con lo stesso nome DNS del cluster (fs.fabrikam.com) e aggiungere due proxy applicazione Web (wap1 e wap2) alla rete perimetrale.

Nota

• Per la pubblicazione di ADFS sulla rete Extranet, è possibile utilizzare soluzioni di proxy inverso HTTP di terze parti. Per altre informazioni su come eseguire questa operazione, vedere Configurazione di opzioni avanzate per AD FS 2.0.
  
  
• Tutte le comunicazioni ADFS che passano attraverso il firewall si basano su HTTPS.
  
  
• È possibile creare regole attestazioni personalizzate in AD FS che limitano l'accesso degli utenti al servizio cloud in base alla posizione fisica del computer client o del dispositivo client tramite cui l'utente richiede l'accesso. Per ulteriori informazioni su come creare queste regole, consultare l'argomento Limiting Access to Office 365 Services Based on Client Location (Limitazione dell'accesso ai servizi di Office 365 in base alla posizione del client).
  
  

Opzione avanzata: Server farm federativa con SQL Server e proxy

Questa è un'opzione di topologia di distribuzione di ADFS avanzata in cui vengono utilizzati i proxy applicazione Web o server federativi e una configurazione SQL Server per abilitare tutti i server federativi della farm per la lettura e la scrittura in un database di SQL Server comune. Utilizzo di un database di SQL Server come database di configurazione di ADFS offre i seguenti vantaggi tramite WID:

• Funzionalità di disponibilità elevata di SQL Server che possono essere utilizzate dagli amministratori.

• Miglioramenti aggiuntivi delle prestazioni, inclusa la possibilità di aumentare la scalabilità usando più server federativi (una farm Database interno di Windows ha un limite di 30 server federativi se si dispone di 100 o meno trust di relying party. Se sono presenti più di 100 trust di relying party, una farm Database interno di Windows ha un limite di 5 server federativi.

• Bilanciamento del carico geografico per facilitare gli incrementi in presenza di traffico elevato in base alla posizione.

Nota

Poiché questa topologia rappresenta un'opzione avanzata di distribuzione di ADFS, i dettagli relativi al funzionamento e alla modalità di distribuzione non verranno trattati in questo articolo.

Per ulteriori informazioni su questa opzione di topologia, consultare l'argomento Configuring Advanced Options for AD FS 2.0 (Configurazione delle opzioni avanzate per AD FS 2.0).

Tabella di stima: determinare il numero di server AD FS da distribuire nell'organizzazione

È possibile usare la tabella seguente per stimare il numero minimo di server federativi DI AD FS e proxy di applicazioni Web o proxy server federativi che sarà necessario inserire in una server farm federativa configurata con Database interno di Windows in tutta l'infrastruttura di rete aziendale in base al numero di utenti che richiederanno l'accesso Single Sign-On, incluso l'accesso remoto al servizio cloud.

Nota

Tutti i computer configurati per il ruolo proxy server federativo o server federativo devono essere in esecuzione Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 sistema operativo. In tutti i computer che verranno configurati per eseguire il servizio ruolo proxy applicazione Web dovrà essere in esecuzione il sistema operativo Windows Server 2012 R2.

Si consiglia di utilizzare un server federativo per rappresentare la ridondanza. La tabella seguente rispetta tale consiglio.

Numero di utenti che accedono al servizio cloud	Numero minimo di server da distribuire	Consiglio e passaggi da eseguire
Meno di 1000 utenti	0 server federativi dedicati 0 proxy dedicati 1 server NLB dedicato	Per i server federativi, usare due controller di dominio Active Directory esistenti e configurarli entrambi per il ruolo server federativo. Per eseguire questa operazione, selezionare prima i due controller di dominio esistenti e quindi: Installare ADFS in entrambi i controller di dominio. Configurarne uno come il primo server federativo di una nuova farm. Connettere il secondo alla server farm federativa. Per NLB, configurare un host NLB esistente oppure ottenere un server dedicato e quindi installare il ruolo server NLB su di esso, quindi configurare il server NLB. Per i proxy, utilizzare due server Web o proxy esistenti e configurarli entrambi per il ruolo proxy server federativo o applicazione Web. Per eseguire questa operazione, selezionare due proxy server esistenti nella Extranet, quindi: Installare ADFS in entrambi i server. Configurarli per il ruolo proxy applicazione Web o proxy server federativo. Installare il ruolo server Bilanciamento carico di rete in uno dei proxy configurati oppure configurare un host di Bilanciamento carico di rete esistente. Nota Se non sono presenti due controller di dominio esistenti e due server Web o proxy oppure non sono in esecuzione Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2, è consigliabile distribuire server dedicati, come illustrato nella riga successiva di questa tabella. Importante Se si utilizza ADFS 2.0 o ADFS in Windows Server 2012, è necessario distribuire e configurare proxy server federativi. Se invece si utilizza ADFS in Windows Server 2012 R2, è possibile configurare e distribuire solo proxy applicazione Web. In Windows Server 2012 R2 viene utilizzato un proxy applicazione Web, ovvero un nuovo servizio ruolo del ruolo server di accesso remoto, per configurare ADFS per l'accesso Extranet.
Da 1000 a 15.000 utenti	2 server federativi dedicati 2 proxy dedicati	Per i server federativi, ottenere due server dedicati, quindi: Installare ADFS in entrambi i server. Configurarne uno come il primo server federativo di una nuova farm. Connettere il secondo alla farm. Installare il ruolo server NLB in uno dei server federativi o configurare un host NLB esistente. Per i proxy, ottenere due server dedicati che possono essere posizionati nella rete Extranet: Installare ADFS in entrambi i server. Configurarli per il ruolo proxy applicazione Web o proxy server federativo. Installare il ruolo server Bilanciamento carico di rete in uno dei proxy configurati oppure configurare un host di Bilanciamento carico di rete esistente. Importante Se si utilizza ADFS 2.0 o ADFS in Windows Server 2012, è necessario distribuire e configurare proxy server federativi. Se invece si utilizza ADFS in Windows Server 2012 R2, è possibile configurare e distribuire solo proxy applicazione Web. In Windows Server 2012 R2 viene utilizzato un proxy applicazione Web, ovvero un nuovo servizio ruolo del ruolo server di accesso remoto, per configurare ADFS per l'accesso Extranet.
Da 15.000 a 60.000 utenti	Tra 3 e 5 server federativi dedicati Almeno 2 proxy dedicati	Ciascun server federativo dedicato può supportare circa 15.000 utenti. Aggiungere quindi un altro server federativo dedicato alla distribuzione del server federativo di base descritta in precedenza per ogni 15.000 utenti che richiederanno l'accesso al servizio cloud, fino a un massimo di cinque server federativi nella farm o 60.000 utenti. Nota Una server farm federativa di ADFS configurata per l'utilizzo di Database interno di Windows supporta un massimo di cinque server federativi. Se ne sono necessari più di cinque, dovrà essere configurato un database di SQL Server per l'archiviazione del database di configurazione di ADFS. Per ulteriori informazioni su questa opzione, consultare l'argomento Configuring Advanced Options for AD FS 2.0 (Configurazione delle opzioni avanzate per AD FS 2.0).

Il numero minimo di utenti consigliati per i server indicati nella tabella precedente sono calcolati sulla base del seguente hardware:

Hardware	Specifiche
Velocità di CPU	CPU Dual Quad Core 2,27 GHz (8 core)
RAM	4 GB
Rete	Gbit

Aggiunta di server federativi per migliorare le prestazioni

Quando in una farm vengono configurati due o più server federativi con la tecnologia Bilanciamento carico di rete, tali server possono funzionare in modo indipendente per facilitare l'elaborazione del carico delle richieste in entrata degli utenti per il servizio federativo di ADFS senza rallentare le prestazioni generali del servizio a livello globale. Pertanto, al momento di aggiungere altri server federativi all'ambiente di produzione esistente dopo aver distribuito in modo strategico nella rete i server federativi iniziali, l'overhead sarà minimo.

Passaggio successivo

Dopo aver pianificato la distribuzione di AD FS, il passaggio successivo consiste nell'esaminare i requisiti per la distribuzione di AD FS.

Vedere anche

Concetti

Elenco di controllo: Uso di ADFS per implementare e gestire Single Sign-On