Compartilhar via


Quando criar um Servidor de Federação

Ao criar um servidor de federação nos Serviços de Federação do Active Directory (AD FS), você fornece um meio pelo qual sua organização pode:

  • Envolver-se em uma comunicação SSO (logon único) na Web com outra organização (que também tem pelo menos um servidor de federação) e, quando necessário, com os funcionários de sua própria organização (que precisam de acesso pela Internet).

  • Habilitar serviços de front-end para representar usuários em serviços de infraestrutura usando a delegação de identidade. Para obter mais informações, consulte When to Use Identity Delegation.

As seções a seguir descrevem algumas das principais decisões para determinar quando e onde criar um ou mais servidores de federação.

Determinar a função organizacional do servidor de federação

Para tomar uma decisão informada sobre quando criar um novo servidor de federação, primeiro você deve determinar em qual organização o servidor residirá. A função que um servidor de federação desempenha em uma organização depende se você coloca o servidor de federação na organização parceira de conta ou na organização parceira de recurso.

Quando um servidor de federação é colocado na rede corporativa do parceiro de conta, sua função é autenticar as credenciais de usuário do navegador, do serviço Web ou dos clientes de seletor de identidade e enviar tokens de segurança para os clientes. Para obter mais informações, consulte Review the Role of the Federation Server in the Account Partner.

Quando um servidor de federação é colocado na rede corporativa do parceiro de recurso, sua função é autenticar usuários de acordo com um token de segurança que é emitido por um servidor de federação na organização parceira de recurso, ou sua função é redirecionar as solicitações de tokens dos serviços Web ou dos aplicativos Web configurados para a organização parceira de conta à qual o cliente pertence. Para obter mais informações, consulte Review the Role of the Federation Server in the Resource Partner.

Determinar qual design do AD FS será implantado

Crie servidores de federação em sua organização sempre que desejar implantar qualquer um dos seguintes designs do AD FS:

Se necessário, uma organização que implanta um design SSO da Web Federado pode configurar um único servidor de federação para que ele atue na função de parceiro de conta e na função de parceiro de recurso. Nesse caso, o servidor de federação pode gerar tokens de SAML (Security Assertion Markup Language) de acordo com as contas de usuário de sua própria organização ou redirecionar solicitações de token para a organização conforme o local em que residem as contas de usuários.

Observação

Para o design SSO da Web Federado, deve haver pelo menos um servidor de federação no parceiro de conta e pelo menos um servidor de federação no parceiro de recurso.

Diferenças entre um servidor de federação e um proxy do servidor de federação

Um servidor de federação pode servir páginas da Web para logon, política, autenticação e descoberta da mesma forma que um proxy do servidor de federação. As principais diferenças entre um servidor de federação e um proxy do servidor de federação têm a ver com quais operações um servidor de federação pode executar que um proxy do servidor de federação não pode executar.

A seguir, estão as operações que somente um servidor de federação pode executar:

  • O servidor de federação realiza as operações criptográficas que produzem o token. Embora os proxies do servidor de federação não possam gerar tokens, eles podem ser usados para encaminhar ou redirecionar os tokens aos clientes e, quando necessário, de volta para o servidor de federação. Para obter mais informações sobre como usar os servidores de federação, consulte Quando criar um proxy do servidor de federação.

  • Os servidores de federação dão suporte ao uso da Autenticação Integrada do Windows para clientes na rede corporativa; os proxies do servidor de federação não dão esse suporte. Para obter mais informações sobre como usar a Autenticação Integrada do Windows com o servidor de federação, consulte Quando criar um farm de servidores de federação.

Cuidado

A comunicação entre os servidores de federação e os bancos de dados de configuração do SQL Server, os repositórios de atributos do SQL Server, os controladores de domínio e as instâncias de AD LDS não tem sua integridade ou confidencialidade protegida de modo padrão. Para atenuar isso, considere a possibilidade de proteger o canal de comunicação entre esses servidores usando IPSEC ou uma conexão segura fisicamente entre todos esses servidores. Para a comunicação entre os servidores de federação e os SQL Servers, considere usar a proteção SSL na cadeia de conexão. Para conexões entre servidores de federação e controladores de domínio, considere habilitar a criptografia e autenticação Kerberos. Para LDAP, o LDAP/S não tem suporte para AD LDS/AD DS.

Como criar um servidor de federação

Você pode criar um servidor de federação usando o Assistente de Configuração do Servidor de Federação do AD FS ou a ferramenta de linha de comando Fsconfig.exe. Ao usar uma dessas ferramentas, escolha uma das opções a seguir para criar um servidor de federação.

Para obter informações mais detalhadas sobre como cada uma dessas opções funcionam, consulte The Role of the AD FS Configuration Database.

Para obter mais informações sobre como configurar todos os pré-requisitos necessários para implantar um servidor de federação, consulte Checklist: Setting Up a Federation Server.

Consulte Também

Guia de design do AD FS no Windows Server 2012