Planejar sua implantação do AD FS
Aplica-se a: Azure, Office 365, Power BI Windows Intune
A primeira etapa no planejamento de uma implantação do AD FS para um serviço de nuvem da Microsoft é selecionar a topologia de implantação correta para atender às necessidades de logon único da sua organização. O AD FS requer que você use ou Banco de Dados Interno do Windows (WID) ou banco de dados do SQL Server para armazenar os dados de configuração do AD FS usados pelo Serviço de Federação.
A topologia recomendada do AD FS para a maioria dos clientes de serviços de nuvem da Microsoft é usar o farm de servidores de federação com a topologia do WID e proxies como segue. Há também uma opção avançada que consiste em criar um farm de servidores de federação com proxies do SQL Server e que será mencionada posteriormente nesta seção.
Além disso, esta seção também fornece uma tabela para determinar o número de servidores do AD FS para implantar na sua organização e informações sobre adicionar servidores de federação para aumentar o desempenho.
Topologia recomendada: farm de servidores de federação com WID e proxies
Opção avançada: farm de servidores de federação com SQL Server e proxies
Tabela de estimativa: Determinar o número de servidores do AD FS a serem implantados em sua organização
Adicionando servidores de federação para aumentar o desempenho
Topologia recomendada: farm de servidores de federação com WID e proxies
A topologia padrão para um serviço de nuvem da Microsoft é um farm de servidores de federação do AD FS que consiste em vários servidores que hospedam o Serviço de Federação da sua organização. Nesta topologia, o AD FS usa o WID como o banco de dados de configuração do AD FS para todos os servidores de federação ingressados nesse farm. O farm replica e mantém os dados do Serviço de Federação no banco de dados de configuração em cada servidor no farm.
O ato de criar o primeiro servidor de federação em um farm também cria um novo Serviço de Federação. Quando o WID é usado como o banco de dados de configuração do AD FS, o primeiro servidor de federação que é criado no farm é conhecido como o servidor de federação primário. Isso significa que este computador será configurado com uma copia de leitura/gravação do banco de dados de configuração do AD FS.
Todos os outros serviços de federação configurados para este farm são conhecidos como servidores de federação secundários, uma vez que eles devem replicar qualquer alteração feita no servidor de federação primário para suas copias somente leitura do banco de dados de configuração do AD FS que eles armazenam localmente.
Observação
Recomendamos o uso de pelo menos dois servidores de federação em uma configuração com balanceamento de carga.
Definir a topologia deste servidor de federação base é a primeira fase da implantação do seu AD FS. A segunda fase consiste em determinar como fornecer funcionalidade de controle de acesso a usuários externos implantando:
Proxies do Aplicativo Web, se estiver usando o AD FS no Windows Server 2012 R2
Proxies do servidor de federação, se estiver usando o AD FS 2.0 ou o AD FS no Windows Server 2012
Fase 1: Implantar seu farm de servidores de federação
Quando você estiver pronto para começar a implantar o farm, deverá planejar a colocação de todos os servidores de federação na rede corporativa por trás de um host NLB (Balanceamento de Carga de Rede) que pode ser configurado para um cluster de NLB com um nome DNS de cluster dedicado e endereço IP do cluster.
Importante
Este nome DNS do cluster deve corresponder ao nome do Serviço de Federação (por exemplo, fs.fabrikam.com) e deve ser roteável na Internet para a instância do AD FS que você implante. Se o nome não for correspondente, a solicitação de autenticação não será roteada ao servidor DNS ou servidor de federação correto.
O host NLB pode usar as configurações definidas nesse cluster NLB para alocar solicitações de clientes para os servidores de federação individuais. O diagrama a seguir descreve como a Fabrikam, Inc. pode configurar a primeira fase de sua implantação usando um farm de servidores de federação com dois computadores (fs1 e fs2) com WID e o posicionamento de um servidor DNS e um único host NLB conectado à rede corporativa.
.gif "Federation Server Farm with WID")
Observação
Se houver uma falha neste único host NLB, os usuários não poderão acessar o serviço de nuvem. Adicione mais hosts NLB se seus requisitos comerciais não permitirem a existência de um único ponto de falha.
Fase 2: Implantar seus proxies
Em geral, os servidores proxy são usados para redirecionar solicitações de autenticação de cliente provenientes de fora de sua rede corporativa para o farm de servidores de federação, em outras palavras, para configurar o acesso à extranet.
Importante
Dependendo da versão do AD FS que você use, é possível implantar os Proxies do Aplicativo Web (no AD FS no Windows Server 2012 R2) ou os proxies do servidor de federação (no AD FS 2.0 e AD FS no Windows Server 2012). Para obter as definições e as descrições das funções de um Proxy de Aplicativo Web e um proxy de servidor de federação, consulte Examinar a terminologia do AD FS.
Para um cliente de serviço de nuvem da Microsoft, a implantação de proxies em sua infraestrutura existente do AD FS é necessária para habilitar os seguintes cenários de usuário:
Computador de trabalho, roaming: Os usuários que estão conectados a computadores ingressados no domínio com suas credenciais corporativas, mas que não estão conectados à rede corporativa (por exemplo, um computador de trabalho em casa ou em um hotel), podem acessar o serviço de nuvem.
Computador doméstico ou público: Quando o usuário está usando um computador que não está ingressado no domínio corporativo, o usuário deve entrar com suas credenciais corporativas para acessar o serviço de nuvem.
Telefone inteligente: Em um telefone inteligente, para acessar o serviço de nuvem, como Microsoft Exchange Online usando o Microsoft Exchange ActiveSync, o usuário deve entrar com suas credenciais corporativas.
Microsoft Outlook ou outros clientes de email: o usuário deve entrar com suas credenciais corporativas para acessar suas Office 365 email se estiver usando Outlook ou um cliente de email que não faz parte do Office; por exemplo, um cliente IMAP ou POP.
Para dar suporte a estes cenários de usuários, está segunda fase será criada na Fase 1 da implantação discutida anteriormente, adicionando dois Proxies do Aplicativo Web ou os dois proxies de servidor de federação, fornecendo acesso a um servidor DNS na rede de perímetro e acesso a um segundo host NLB na rede de perímetro.
O segundo host NLB deve ser configurado com um cluster NLB que usa um endereço IP de cluster acessível pela Internet e deve usar a mesma configuração de nome DNS de cluster como o cluster NLB anterior configurado na rede corporativa para a Fase 1 (fs.fabrikam.com). Os Proxies do Aplicativo Web ou proxies do servidor de federação também serão configurados com os endereços IP acessíveis pela Internet.
O diagrama a seguir mostra a implantação existente da Fase 1 e como a Fabrikam, Inc. poderá fornecer acesso a um servidor DNS do perímetro, adicionar um segundo host NLB com o mesmo nome DNS de cluster (fs.fabrikam.com) e adicionar dois proxies de servidor de federação (fsp1 e fsp2) para a rede do perímetro.
O diagrama a seguir mostra a implantação da Fase 1 existente e como a Fabrikam, S.A. pode fornecer acesso a um servidor DNS de perímetro, adicionar um segundo host NLB com o mesmo nome DNS do cluster (fs.fabrikam.com) e adicionar dois Proxies de Aplicativos Web (wap1 e wap2) à mesma rede de perímetro.
.gif "ADFSProxyDeploymentSSO")
Observação
- É possível usar soluções de proxy reverso HTTP de terceiros para publicar o AD FS na extranet. Para obter mais informações sobre como fazer isso, consulte Configurar opções avançadas para o AD FS 2.0.
- Toda a comunicação do AD FS que viaja através da firewall é baseada em HTTPS.
- Você pode criar regras de declaração personalizadas no AD FS que limitarão o acesso dos usuários ao serviço de nuvem com base na localização física do computador cliente ou do dispositivo cliente por meio do qual o usuário está solicitando acesso. Para obter mais informações sobre como criar essas regras, consulte Limitando o acesso a serviços de Office 365 com base no local do cliente.
Opção avançada: farm de servidores de federação com SQL Server e proxies
Esta é uma opção da topologia de implantação do AD FS que usa proxies de aplicativo Web ou proxies do servidor de federação e uma configuração do SQL Server para permitir que todos os servidores de federação no farm leiam e gravem para um banco de dados comum do SQL Server. Usar um banco de dados do SQL Server como banco de dados de configuração do AD FS oferece as seguintes vantagens em comparação com o WID:
Recursos de alta disponibilidade do SQL Server que podem ser usados por administradores.
Aprimoramentos de desempenho adicionais, incluindo a capacidade de escalar horizontalmente usando mais servidores de federação (um farm wid tem um limite de 30 servidores de federação se você tiver 100 ou menos confiabilidades de terceira parte confiável. Se você tiver mais de 100 trusts de terceira parte confiável, um farm de WID terá um limite de 5 servidores de federação. ).
Balanceamento de carga geográfico para ajudar a fornecer aumentos para o alto tráfego com base no local.
Observação
Porque esta topologia é uma opção de implantação do AD FS avançada, os detalhes de como funcionar esta topologia e como implantá-la não estão incluídos neste artigo.
Para obter mais informações sobre essa opção de topologia, consulte Configurando opções avançadas para o AD FS 2.0.
Tabela de estimativa: Determinar o número de servidores do AD FS a serem implantados em sua organização
Você pode usar a tabela a seguir para ajudá-lo a estimar o número mínimo de servidores de federação do AD FS e proxies de aplicativos Web ou proxies de servidor de federação que você precisará colocar em um farm de servidores de federação configurado com WID em toda a infraestrutura de rede corporativa com base no número de usuários que exigirão acesso de logon único, incluindo o acesso remoto ao serviço de nuvem.
Observação
Todos os computadores que serão configurados para a função de proxy de servidor de federação ou servidor de federação devem estar executando o Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 sistema operacional. Todos os computadores que serão configurados para executar o serviço de função do Proxy do Aplicativo Web devem extar executando o sistema operacional Windows Server 2012 R2.
É recomendável usar um servidor de federação para a redundância. A tabela a seguir segue essa recomendação.
| Número de usuários acessando o serviço de nuvem | Número mínimo de servidores a serem implantados | Recomendação e e etapas |
|---|---|---|
Menos de 1.000 usuários |
0 servidores de federação dedicados 0 proxies dedicados 1 servidor NLB dedicado |
Para os servidores de federação, use dois DCs (controladores de domínio) existentes do Active Directory e configure ambos para a função de servidor de federação. Para fazer isso, primeiro selecione dois DCs existentes e, em seguida:
Para o NLB, configure um host NLB existente ou obtenha um servidor dedicado e instale a função de servidor NLB nele e configure o servidor NLB. Para os proxies, use dois servidores de proxy ou Web existentes e configure ambos para a função do servidor de federação ou função do Proxy do Aplicativo Web. Para fazer isso, selecione dois servidores Web ou proxy existentes que residam na extranet e, em seguida:
Observação Se você não tiver dois DCs existentes e dois servidores Web ou proxy ou eles não estiverem executando Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2, você deverá implantar servidores dedicados, conforme discutido na próxima linha desta tabela. Importante Se estiver usando o AD FS 2.0 ou o AD FS no Windows Server 2012, será necessário implantar e configurar os proxies do servidor de federação. Se estiver usando o AD FS no Windows Server 2012 R2, só será possível configurar e implantar os Proxies do Aplicativo Web. No Windows Server 2012 R2, um Proxy de Aplicativo Web, um novo serviço da função de servidor de Acesso Remoto, é usado para configurar o AD FS para acesso à extranet. |
1.000 a 15.000 usuários |
2 servidores de federação dedicados 2 proxies dedicados |
Para os servidores de federação, obtenha dois servidores dedicados e, em seguida:
Para os proxies, obtenha dois servidores dedicados que você possa colocar na extranet:
Importante Se estiver usando o AD FS 2.0 ou o AD FS no Windows Server 2012, será necessário implantar e configurar os proxies do servidor de federação. Se estiver usando o AD FS no Windows Server 2012 R2, só será possível configurar e implantar os Proxies do Aplicativo Web. No Windows Server 2012 R2, um Proxy de Aplicativo Web, um novo serviço da função de servidor de Acesso Remoto, é usado para configurar o AD FS para acesso à extranet. |
15.000 a 60.000 usuários |
Entre 3 e 5 servidores de federação dedicados Pelo menos 2 proxies dedicados |
Cada servidor de federação dedicado pode dar suporte a aproximadamente 15.000 usuários. Portanto, adicione um servidor de federação dedicado adicional à implantação de servidor de federação de base dois descrita anteriormente para cada 15.000 usuários que exigirão acesso ao serviço de nuvem, até um máximo de cinco servidores de federação no farm ou 60.000 usuários. Observação Um farm de servidores de federação do AD FS configurado para usar o WID suporta um máximo de cinco servidores de federação. Se precisar de mais de cinco servidores de federação, será necessário configurar o banco de dados do SQL Server para armazenar o banco de dados de configuração do AD FS. Para obter mais informações sobre essa opção, consulte Configurar opções avançadas para o AD FS 2.0. |
As recomendações de número mínimo de usuários para servidores fornecidas na tabela anterior são calculadas com base no seguinte hardware:
| Hardware | Especificações |
|---|---|
Velocidade da CPU |
CPU Dual Quad Core 2.27GHz (8 núcleos) |
RAM |
4 gigabytes (GB) |
Rede |
Gigabit |
Adicionando servidores de federação para aumentar o desempenho
Quando dois ou mais servidores de federação são configurados em um farm usando a tecnologia NLB, eles podem operar independentemente para ajudar a processar a carga de solicitações de entrada de usuários feita no Serviço de Federação do AD FS sem degradar o desempenho geral do serviço como um todo. Assim, há pouca sobrecarga envolvida na adição de mais servidores de federação ao ambiente de produção existente após a implantação dos servidores de federação inicias estrategicamente na sua rede.
Próxima etapa
Agora que você planejou a implantação do AD FS, a próxima etapa é examinar os requisitos para implantar o AD FS.
Consulte Também
Conceitos
Lista de verificação: usar o AD FS para implementar e gerenciar o logon único