Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il database di configurazione di AD FS archivia tutti i dati di configurazione che rappresentano una singola istanza di Active Directory Federation Services (AD FS), ovvero il servizio federativo. Il database di configurazione di AD FS definisce il set di parametri richiesti da un servizio federativo per identificare partner, certificati, archivi di attributi, attestazioni e vari dati su queste entità associate. È possibile archiviare questi dati di configurazione in un database di Microsoft SQL Server® o nella funzionalità Database interno di Windows (WID) inclusa in Windows Server 2012 o versione successiva.
Nota
L'intero contenuto del database di configurazione di AD FS può essere archiviato in un'istanza di WID o in un'istanza del database SQL, ma non in entrambi. Ciò significa che non è possibile avere alcuni server federativi che usano WiD e altri che usano un database di SQL Server per la stessa istanza del database di configurazione di AD FS.
È possibile usare le informazioni seguenti in questo argomento insieme al contenuto fornito in Considerazioni sulla topologia di distribuzione di AD FS per informazioni sui vantaggi e gli svantaggi della scelta di WID o SQL Server per archiviare il database di configurazione di AD FS:
WiD usa un archivio dati relazionale e non dispone di una propria interfaccia utente di gestione. Gli amministratori possono invece modificare il contenuto del database di configurazione di AD FS usando lo snap-in Gestione AD FS, Fsconfig.exeo i cmdlet di Windows PowerShell™.
Uso di WID per archiviare il database di configurazione di AD FS
È possibile creare il database di configurazione di AD FS utilizzando WID come archivio tramite lo strumento da riga di comando Fsconfig.exe o la Creazione guidata di configurazione del server federativo di AD FS. Quando si usa uno di questi strumenti, è possibile scegliere una delle opzioni seguenti per creare la topologia del server federativo. Ognuna di queste opzioni usa WID per archiviare il database di configurazione di AD FS:
Creare un server federativo autonomo
Creare il primo server federativo in una server farm federativa
Aggiungere un server federativo a una server farm federativa
Se si seleziona l'opzione autonoma, WID viene usato per archiviare una singola istanza del database di configurazione di AD FS. Questa istanza non può essere condivisa tra più server federativi. È destinato solo agli ambienti lab di test. Per altre informazioni sull'opzione server federativo autonomo o su come configurare un server federativo, vedere Stand-Alone Server federativo tramite WID o Creare un server federativo Stand-Alone.
Se si seleziona il primo server federativo in un'opzione server farm federativa, WID è configurato per la scalabilità che consentirà l'aggiunta di server federativi aggiuntivi alla farm in un secondo momento. Per altre informazioni sulla distribuzione di una farm wid o su come configurare una farm, vedere Server farm federativa tramite WID o Creare il primo server federativo in una server farm federativa
Se si seleziona l'opzione aggiungi un server federativo, WID è configurato per replicare le modifiche del database di configurazione al nuovo server federativo a intervalli impostati. Per altre informazioni sull'aggiunta di un server federativo a una farm wid, vedere Server farm federativa tramite WiD o Aggiungere un server federativo a una server farm federativa.
Nota
Quando si distribuisce una server farm federativa tramite WiD, alcune funzionalità di AD FS potrebbero non essere disponibili. Per avere accesso al set di funzionalità completo quando si configura la server farm, è consigliabile usare Microsoft SQL Server per archiviare invece il database di configurazione di AD FS. Per altre informazioni, vedere considerazioni sulla topologia di distribuzione di AD FS.
Funzionamento di una server farm federativa wid
Questa sezione descrive i concetti importanti che descrivono come la server farm federativa wid replica i dati tra un server federativo primario e server federativi secondari. .
Server federativo primario
Un server federativo primario è un computer che esegue Windows Server 2012 o versione successiva configurato con il ruolo server federativo tramite la Configurazione guidata server federativo AD FS e che dispone di una copia di lettura/scrittura del database di configurazione di AD FS. Il server federativo primario viene sempre creato quando si utilizza la Configurazione guidata server federativo AD FS e si seleziona l'opzione per creare un nuovo servizio federativo e rendere tale computer il primo server federativo nella farm. Tutti gli altri server federativi in questa farm, noti anche come server federativi secondari, devono sincronizzare le modifiche apportate nel server federativo primario in una copia del database di configurazione di AD FS archiviato localmente.
Server federativi secondari
I server federativi secondari archiviano una copia del database di configurazione di AD FS dal server federativo primario, ma queste copie sono di sola lettura. I server federativi secondari si connettono e sincronizzano i dati con il server federativo primario nella farm eseguendo il polling a intervalli regolari per verificare se i dati sono stati modificati. I server federativi secondari esistono per fornire la tolleranza di errore per il server federativo primario, mentre agiscono per bilanciare il carico delle richieste di accesso effettuate in siti diversi in tutto l'ambiente di rete.
Modalità di sincronizzazione del database di configurazione di AD FS
A causa del ruolo importante svolto dal database di configurazione di AD FS, viene reso disponibile in tutti i server federativi della rete per fornire funzionalità di tolleranza di errore e bilanciamento del carico durante l'elaborazione delle richieste (quando vengono usati i servizi di bilanciamento del carico di rete). Tuttavia, affinché i server federativi secondari funzionino in questa capacità, è necessario sincronizzare il database di configurazione di AD FS archiviato nel server federativo primario.
Quando si aggiunge un server federativo alla farm, il nuovo computer che diventerà un server federativo secondario si connette al server federativo primario per replicare la copia del database di configurazione di AD FS. Da questo punto in poi, il nuovo server federativo continua a eseguire il pull degli aggiornamenti dal server federativo primario a intervalli regolari, come illustrato nella figura seguente.
Ogni server federativo secondario interroga il server federativo primario ogni cinque minuti per verificare le modifiche. È possibile modificare questo valore predefinito di cinque minuti o forzare una sincronizzazione immediata in qualsiasi momento usando un cmdlet di Windows PowerShell. Per altre informazioni su come eseguire questa operazione, vedere Amministrazione di AD FS con Windows PowerShell.
Il processo di sincronizzazione wid supporta anche trasferimenti incrementali per trasferimenti più efficienti di modifiche intermedie. Il processo di trasferimento incrementale richiede sostanzialmente meno traffico in una rete e i trasferimenti vengono completati molto più velocemente.
Nota
È supportata la migrazione di un database di configurazione di AD FS da WID a un'istanza di SQL Server. Per altre informazioni su come eseguire questa operazione, vedere AD FS: Eseguire la migrazione del database di configurazione di AD FS a SQL Server nel sito Wiki di TechNet.
Come gestire le proprietà di sincronizzazione di AD FS
Questa sezione descrive come visualizzare e modificare le proprietà di sincronizzazione del database di configurazione di AD FS. .
Il cmdlet Get-ADFSSyncProperties ottiene le proprietà di sincronizzazione per il database di configurazione di Active Directory Federation Services (AD FS).
PS C:\> Get-ADFSSyncProperties
Nel server AD FS primario, questo cmdlet mostrerà solo che il Ruolo è il Computer Primario. In un membro secondario verrà visualizzato il resto della configurazione, inclusi il nome di dominio qualificato dell'ultima sincronizzazione dal computer primario, lo stato e l'ora dell'ultima sincronizzazione, la durata del sondaggio, il nome del computer primario attualmente configurato, la porta del computer primario e il ruolo del computer secondario.
Il cmdlet Set-ADFSSyncProperties modifica la frequenza di sincronizzazione per il database di configurazione di Active Directory Federation Services (AD FS). Il cmdlet specifica anche quale server federativo è il server primario nella server farm federativa.
Nota
Se un server federativo primario si arresta in modo anomalo ed è offline, tutti i server federativi secondari continuano a elaborare le richieste normalmente. Tuttavia, non è possibile apportare nuove modifiche al servizio federativo fino a quando il server federativo primario non è stato riportato online. È anche possibile nominare un server federativo secondario per diventare il server federativo primario usando Windows PowerShell. Se si nomina un nuovo server primario, è necessario modificare i server rimanenti per riflettere il nuovo server primario. La presenza di 2 nodi primari in una farm WID influirà sulla stabilità della farm e potrebbe comportare la perdita di dati.
Modificare la durata del sondaggio per una farm
PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"
Questo comando modifica la sincronizzazione del database a 3600 secondi. Il comando apporta la modifica al server federativo primario.
Modificare un server da secondario a primario
PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"
Questo comando modifica un server AD FS in una farm WID da secondario a primario.
Modificare un server primario in un server secondario
PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"
Questo comando trasforma un server AD FS primario in una farm WID in un server secondario. È necessario specificare il nome di dominio completo del server primario. In caso contrario, non tutti i server AD FS secondari vengono sincronizzati correttamente. Nota: il server primario deve essere accessibile tramite HTTP sulla porta 80 dal server secondario.
Per altre informazioni, vedere : Set-AdfsSyncProperties
Uso di SQL Server per archiviare il database di configurazione di AD FS
È possibile creare il database di configurazione di AD FS usando una singola istanza di database di SQL Server come archivio usando lo strumento da riga di comando Fsconfig.exe. L'uso di un database di SQL Server come database di configurazione di AD FS offre i vantaggi seguenti rispetto a WID:
Gli amministratori possono sfruttare le funzionalità a disponibilità elevata di SQL Server
Offre un aumento delle prestazioni aggiuntivo per il traffico elevato.
Fornisce il supporto delle funzionalità di risoluzione degli artefatti SAML e di rilevamento della riproduzione dei token SAML/WS-Federation (descritto di seguito).
Il termine "server federativo primario" non si applica quando il database di configurazione di AD FS viene archiviato in un'istanza di database SQL perché tutti i server federativi possono anche leggere e scrivere nel database di configurazione di AD FS che usa la stessa istanza di SQL Server in cluster, come illustrato nella figura seguente.
È possibile usare SQL Server per configurare due o più server per lavorare insieme come cluster server per garantire che AD FS sia reso a disponibilità elevata per gestire le richieste client in ingresso. La disponibilità elevata offre un'architettura con scalabilità orizzontale in cui è possibile aumentare la capacità del server aggiungendo altri server. I singoli punti di vulnerabilità vengono mitigati dal failover automatico del cluster.
È possibile ottenere disponibilità elevata usando i servizi di bilanciamento del carico di rete e di failover forniti dalle tecnologie di clustering SQL. Per altre informazioni su come configurare SQL Server per la disponibilità elevata, vedere Panoramica delle soluzioni a disponibilità elevata.
Risoluzione degli artefatti SAML
La risoluzione degli artefatti SAML (Security Assertion Markup Language) è un endpoint che si basa su una parte del protocollo SAML 2.0 che descrive come una parte affidataria può recuperare un token direttamente da un fornitore di attestazioni. Nella prima fase del processo di risoluzione, un client del browser contatta un server di federazione delle risorse e gli fornisce un artefatto. Nella seconda fase, i server federativi delle risorse inviano l'artefatto a un URL dell'endpoint dell'artefatto SAML, che è ospitato presso un'organizzazione partner dell'account, per risolvere il messaggio. Nella fase finale, il server federativo dell'account rilascia il token al server federativo per conto del client del browser.
Nota
Se si è un amministratore in un'organizzazione account partner, assicurarsi di assegnare o associare un certificato SSL, concatenato a un certificato radice di un membro del Programma Certificati Radice di Windows, al sito Web passivo della federazione in IIS (<ComputerName>\Sites\Default Web Site\adfs\ls) su tutti i server di federazione dell'account nella farm. Questo è importante per impedire ai server federativi delle risorse di dover aggiungere manualmente il certificato SSL all'archivio certificati Persone Attendibili dei Computer Locali o di non riuscire a risolvere l'artefatto pubblicato nella tua organizzazione.
SAML/WS - Rilevamento del riutilizzo dei token di federazione
Il termine Riuso del token si riferisce all'atto mediante il quale un client del browser in un'organizzazione partner di account tenta di inviare più volte lo stesso token ricevuto da un server federativo dell'account per autenticarsi a un server federativo di risorse. Questo atto si verifica quando un utente fa clic sul pulsante Indietro del browser nel tentativo di inviare nuovamente la pagina di autenticazione.
AD FS fornisce una funzionalità denominata rilevamento della riproduzione dei token tramite cui è possibile rilevare più richieste di token che usano lo stesso token e quindi eliminarle. Quando questa funzionalità è abilitata, il rilevamento della riproduzione dei token protegge l'integrità delle richieste di autenticazione sia nel profilo passivo WS-Federation che nel profilo WEBSSO SAML assicurandosi che lo stesso token non venga mai usato più di una volta. Questa funzionalità deve essere abilitata in situazioni in cui la sicurezza è un problema molto elevato, ad esempio quando si usano chioschi multimediali.
Nell'esempio in modalità tutto schermo, un utente può disconnettersi da tutti i siti Web e successivamente un utente malintenzionato può tentare di usare la cronologia del browser per inviare di nuovo la pagina di autenticazione federata caricata dall'utente precedente. Questa funzionalità riduce questo problema archiviando informazioni aggiuntive su ogni autenticazione eseguita correttamente da un'organizzazione partner account per rilevare le riproduzioni successive del token e impedire l'esito positivo di più tentativi di autenticazione.