Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt AD FS-federatieserverproxy's (Active Directory Federation Services) in een perimeternetwerk plaatsen om een beveiligingslaag te bieden tegen kwaadwillende gebruikers die mogelijk afkomstig zijn van internet. Federatieserverproxy's zijn ideaal voor de perimeternetwerkomgeving omdat ze geen toegang hebben tot de persoonlijke sleutels die worden gebruikt om tokens te maken. Federatieserverproxy's kunnen echter efficiënt binnenkomende aanvragen routeren naar federatieservers die zijn gemachtigd om deze tokens te produceren.
Het is niet nodig om een federatieserverproxy in het bedrijfsnetwerk te plaatsen voor de accountpartner of de resourcepartner, omdat clientcomputers die zijn verbonden met het bedrijfsnetwerk rechtstreeks met de federatieserver kunnen communiceren. In dit scenario biedt de federatieserver ook de functionaliteit van de federatieserverproxy voor clientcomputers die afkomstig zijn van het bedrijfsnetwerk.
Net als bij perimeternetwerken wordt een intranetgerichte firewall tot stand gebracht tussen het perimeternetwerk en het bedrijfsnetwerk, en wordt er vaak een internetgerichte firewall tot stand gebracht tussen het perimeternetwerk en internet. In dit scenario bevindt de federatieserverproxy zich tussen beide firewalls in het perimeternetwerk.
Uw firewall-servers configureren voor een federatie-serverproxy
Voor een geslaagde omleiding van de federatieserverproxy moeten alle firewallservers worden geconfigureerd om verkeer van Secure Hypertext Transfer Protocol (HTTPS) toe te staan. Het gebruik van HTTPS is vereist omdat de firewallservers de federatieserverproxy moeten publiceren met poort 443, zodat de federatieserverproxy in het perimeternetwerk toegang heeft tot de federatieserver in het bedrijfsnetwerk.
Notitie
Alle communicatie van en naar clientcomputers vindt ook plaats via HTTPS.
Bovendien gebruikt de internetgerichte firewallserver, zoals een computer waarop Microsoft Internet Security and Acceleration (ISA) Server wordt uitgevoerd, een proces dat bekend staat als serverpublicatie om internetclientaanvragen te distribueren naar de juiste perimeter- en bedrijfsnetwerkservers, zoals federatieserverproxy's of federatieservers.
Regels voor serverpublicatie bepalen hoe serverpublicatie werkt, in wezen alle binnenkomende en uitgaande aanvragen filteren via de ISA Server-computer. Serverpublicatieregels wijzen binnenkomende clientaanvragen toe aan de juiste servers achter de ISA Server-computer. Zie Een beveiligde webpublicatieregel maken voor informatie over het configureren van ISA-server om een server te publiceren.
In de federatieve wereld van AD FS worden deze clientaanvragen meestal gedaan naar een specifieke URL, bijvoorbeeld een URL van de federatieserver-id, zoals http://fs.fabrikam.com. Omdat deze clientaanvragen afkomstig zijn van internet, moet de internetgerichte firewallserver worden geconfigureerd om de URL van de federatieserver-id te publiceren voor elke federatieserverproxy die is geïmplementeerd in het perimeternetwerk.
ISA-server configureren om SSL toe te staan
Als u beveiligde AD FS-communicatie wilt vergemakkelijken, moet u ISA-server zo configureren dat SSL-communicatie (Secure Sockets Layer) tussen het volgende wordt toegestaan:
Federatieservers en federatieserverproxy's. Een SSL-kanaal is vereist voor alle communicatie tussen federatieservers en federatieserverproxy's. Daarom moet u ISA Server configureren om een SSL-verbinding tussen het bedrijfsnetwerk en het perimeternetwerk toe te staan.
Clientcomputers, federatieservers en federatieserverproxy's. Zodat communicatie tussen clientcomputers en federatieservers of tussen clientcomputers en federatieserverproxy's kan plaatsvinden, kunt u een computer met ISA Server plaatsen vóór de federatieserver of federatieserverproxy.
Als uw organisatie SSL-clientverificatie uitvoert op de federatieserver of federatieserverproxy, moet de server voor doorvoer van de SSL-verbinding worden geconfigureerd wanneer u een computer met ISA-server vóór de federatieserver of federatieserverproxy plaatst, dit is nodig omdat de SSL-verbinding moet worden beëindigd op de federatieserver of federatieserverproxy.
Als uw organisatie geen SSL-clientverificatie uitvoert op de federatieserver of federatieserverproxy, kunt u de SSL-verbinding op de computer met ISA Server beëindigen en vervolgens een SSL-verbinding met de federatieserver of federatieserverproxy opnieuw tot stand brengen.
Notitie
De federatieserver of federatieserverproxy vereist dat de verbinding wordt beveiligd door SSL om de inhoud van het beveiligingstoken te beschermen.