Compartilhar via

Quando criar um servidor de federação

Ao criar um servidor de federação nos Serviços de Federação do Active Directory (AD FS), você fornece um meio pelo qual sua organização pode:

  • Envolva-se na comunicação baseada em SSO (logon único) da Web com outra organização (que também tem pelo menos um servidor de federação) e, quando necessário, com os funcionários em sua própria organização (que precisam de acesso pela Internet).

  • Habilite os serviços de front-end para representar os usuários nos serviços de infraestrutura usando a delegação de identidade. Para obter mais informações, consulte Quando usar a delegação de identidade.

As seções a seguir descrevem algumas das principais decisões para determinar quando e onde criar um ou mais servidores de federação.

Determinar a função organizacional para o servidor de federação

Para tomar uma decisão informada sobre quando criar um novo servidor de federação, primeiro você deve determinar em qual organização o servidor residirá. A função que um servidor de federação desempenha em uma organização depende se você coloca o servidor de federação na organização do parceiro de conta ou na organização do parceiro de recursos.

Quando um servidor de federação é colocado na rede corporativa do parceiro de conta, sua função é autenticar as credenciais do usuário de clientes do navegador, serviço Web ou seletor de identidade e enviar tokens de segurança para os clientes. Para obter mais informações, consulte Review the Role of the Federation Server in the Account Partner.

Quando um servidor de federação é colocado na rede corporativa do parceiro de recurso, sua função é autenticar usuários, com base em um token de segurança emitido por um servidor de federação na organização do parceiro de recurso ou sua função é redirecionar solicitações de token de aplicativos Web configurados ou serviços Web para a organização de parceiros de conta à qual o cliente pertence. Para obter mais informações, consulte Examinar a função do servidor de federação no Parceiro de Recursos.

Determinar qual design do AD FS implantar

Você cria servidores de federação em sua organização sempre que quiser implantar qualquer um dos seguintes designs do AD FS:

Se necessário, uma organização que implanta um design de SSO web federado pode configurar um único servidor de federação para que ele atue tanto na função de parceiro de conta quanto na função de parceiro de recurso. Nesse caso, o servidor de federação pode produzir tokens SAML (Security Assertion Markup Language), com base em contas de usuário em sua própria organização, ou redirecionar solicitações de token para a organização, com base no local em que residem as contas dos usuários.

Observação

Para o design de SSO web federado, deve haver pelo menos um servidor de federação no parceiro de conta e pelo menos um servidor de federação no parceiro de recursos.

Diferenças entre um servidor de federação e um proxy de servidor de federação

Um servidor de federação pode oferecer páginas da Web para login, políticas, autenticação e descoberta da mesma forma que um proxy de servidor de federação. As principais diferenças entre um servidor de federação e um proxy de servidor de federação têm a ver com quais operações um servidor de federação pode executar que um proxy de servidor de federação não pode executar.

Veja a seguir as operações que somente um servidor de federação pode executar:

  • O servidor de federação executa as operações criptográficas que produzem o token. Embora os proxies do servidor de federação não possam produzir tokens, eles podem ser usados para rotear ou redirecionar os tokens para clientes e, quando necessário, de volta para o servidor de federação. Para obter mais informações sobre como usar servidores de federação, consulte Quando criar um proxy de servidor de federação.

  • Os servidores de federação dão suporte ao uso da Autenticação Integrada do Windows para clientes na rede corporativa; os proxies do servidor de federação não. Para obter mais informações sobre como usar a Autenticação Integrada do Windows com o servidor de federação, consulte Quando criar um farm de servidores de federação.

Cuidado

A comunicação entre servidores de federação e bancos de dados de configuração do SQL Server, lojas de atributos do SQL Server, controladores de domínio e instâncias do AD LDS não possui proteção de integridade ou confidencialidade por padrão. Para atenuar isso, considere proteger o canal de comunicação entre esses servidores usando IPSEC ou usar uma conexão fisicamente segura entre todos esses servidores. Para comunicação entre servidores de federação e servidores SQL, considere usar a proteção SSL na cadeia de conexão. Para conexões entre servidores de federação e controladores de domínio, considere ativar a assinatura e a criptografia Kerberos. Para LDAP, não há suporte para LDAP/S para AD LDS/AD DS.

Como criar um servidor de federação

Você pode criar um servidor de federação usando o Assistente de Configuração do Servidor de Federação do AD FS ou a ferramenta de linha de comando Fsconfig.exe. Ao usar qualquer uma dessas ferramentas, você pode selecionar qualquer uma das opções a seguir para criar um servidor de federação.

Para obter informações mais detalhadas sobre como cada uma dessas opções funcionam, consulte a função do Banco de Dados de Configuração do AD FS.

Para obter mais informações sobre como configurar todos os pré-requisitos necessários para implantar um servidor de federação, consulte Checklist: Configurando um servidor de federação.

Consulte Também

Guia de design do AD FS no Windows Server 2012