Condividi tramite

Quando creare un server federativo

Quando si crea un server federativo in Active Directory Federation Services (AD FS), è possibile fornire un mezzo tramite il quale l'organizzazione può:

  • Interagire con la comunicazione basata sull'accesso Single Sign-On (SSO) Web con un'altra organizzazione (che dispone anche di almeno un server federativo) e, quando necessario, con i dipendenti della propria organizzazione (che necessitano dell'accesso tramite Internet).

  • Abilitare i servizi front-end per rappresentare gli utenti ai servizi di infrastruttura usando la delega delle identità. Per ulteriori informazioni, vedere Quando utilizzare la delega d'identità.

Le sezioni seguenti descrivono alcune delle decisioni chiave per determinare quando e dove creare uno o più server federativi.

Determinare il ruolo dell'organizzazione per il server federativo

Per prendere una decisione informata su quando creare un nuovo server federativo, è necessario innanzitutto determinare in quale organizzazione risiederà il server. Il ruolo svolto da un server federativo in un'organizzazione dipende dal fatto che si inserisca il server federativo nell'organizzazione partner account o nell'organizzazione partner risorse.

Quando un server federativo viene inserito nella rete aziendale del partner account, il suo ruolo consiste nell'autenticare le credenziali utente del browser, del servizio Web o dei client del selettore di identità e inviare token di sicurezza ai client. Per altre informazioni, vedere Esaminare il ruolo del server federativo nel partner di account.

Quando un server federativo viene inserito nella rete aziendale del partner risorse, il suo ruolo consiste nell'autenticare gli utenti, in base a un token di sicurezza emesso da un server federativo nell'organizzazione partner risorse oppure il suo ruolo consiste nel reindirizzare le richieste di token dalle applicazioni Web configurate o dai servizi Web all'organizzazione partner account a cui appartiene il client. Per altre informazioni, vedere Esaminare il ruolo del server federativo in Resource Partner.

Determinare la progettazione di AD FS da distribuire

È possibile creare server federativi nell'organizzazione ogni volta che si vuole distribuire una delle progettazioni di AD FS seguenti:

Se necessario, un'organizzazione che distribuisce una progettazione SSO Web federativa può configurare un singolo server federativo in modo che agisca sia nel ruolo partner account che nel ruolo partner risorse. In questo caso, il server federativo può produrre token SAML (Security Assertion Markup Language), in base agli account utente nella propria organizzazione o reindirizzare le richieste di token all'organizzazione, in base alla posizione in cui risiedono gli account degli utenti.

Nota

Per la progettazione dell'accesso Single Sign-On Web federativo, deve essere presente almeno un server federativo nel partner dell'account e almeno un server federativo nel partner delle risorse.

Differenze tra un server federativo e un proxy server federativo

Un server federativo può servire pagine Web per l'accesso, i criteri, l'autenticazione e l'individuazione nello stesso modo in cui fa un proxy server federativo. Le principali differenze tra un server federativo e un proxy server federativo riguardano le operazioni che un server federativo può eseguire e che un proxy server federativo non può eseguire.

Di seguito sono riportate le operazioni che possono essere eseguite solo da un server federativo:

  • Il server federativo esegue le operazioni di crittografia che producono il token. Anche se i proxy del server federativo non possono produrre token, possono essere usati per instradare o reindirizzare i token ai client e, quando necessario, di nuovo al server federativo. Per altre informazioni sull'uso dei server federativi, vedere Quando creare un proxy server federativo.

  • I server federativi supportano l'uso dell'autenticazione integrata di Windows per i client nella rete aziendale; i proxy server federativa non lo fanno. Per altre informazioni sull'uso dell'autenticazione integrata di Windows con il server federativo, vedere Quando creare una server farm federativa.

Attenzione

La comunicazione tra server federativi e database di configurazione di SQL Server, archivi di attributi di SQL Server, controller di dominio e istanze AD LDS non è protetta in termini di integrità o riservatezza per impostazione predefinita. Per attenuare questo problema, è consigliabile proteggere il canale di comunicazione tra questi server tramite IPSEC o usare una connessione fisicamente sicura tra tutti questi server. Per la comunicazione tra server federativi e server SQL, è consigliabile usare la protezione SSL nella stringa di connessione. Per le connessioni tra server federativi e controller di dominio, è consigliabile attivare la firma e la crittografia Kerberos. Per LDAP, LDAP/S non è supportato per AD LDS/AD DS.

Come creare un server federativo

È possibile creare un server federativo usando la Configurazione guidata server federativo AD FS o lo strumento da riga di comando Fsconfig.exe. Quando si usa uno di questi strumenti, è possibile selezionare una delle opzioni seguenti per creare un server federativo.

Per informazioni più dettagliate sul funzionamento di ognuna di queste opzioni, vedere Ruolo del database di configurazione di AD FS.

Per altre informazioni su come configurare tutti i prerequisiti necessari per distribuire un server federativo, vedere Elenco di controllo: Configurazione di un server federativo.

Vedere anche

Guida alla progettazione di AD FS in Windows Server 2012