A função do banco de dados de configuração do AD FS

  • Artigo

O banco de dados de configuração do AD FS armazena todos os dados de configuração que representam uma única instância dos Serviços de Federação do Active Directory (AD FS), ou seja, do Serviço de Federação. O banco de dados de configuração do AD FS define o conjunto de parâmetros que um Serviço de Federação requer para identificar parceiros, certificados, repositórios de atributo, declarações e diversos dados sobre essas entidades associadas. É possível armazenar tais dados de configuração em um banco de dados Microsoft SQL Server® ou no recurso WID (Windows Internal Database) incluído no Windows Server 2012 ou superior.

Observação

Todo o conteúdo do banco de dados de configuração do AD FS pode ser armazenado em uma instância do WID ou do banco de dados do SQL, mas não em ambas. Isso significa que não é possível ter alguns servidores de federação usando o WID e outros usando um banco de dados do SQL Server para a mesma instância do banco de dados de configuração do AD FS.

Use as informações fornecidas mais adiante neste tópico juntamente com o conteúdo oferecido em Considerações de topologia de implantação do AD FS para saber mais sobre as vantagens e desvantagens de escolher o WID ou o SQL Server para armazenar o banco de dados de configuração do AD FS:

o WID usa armazenamento de dados relacional e não possui uma IU (interface do usuário) de gerenciamento própria. Em vez disso, os administradores podem modificar o conteúdo do banco de dados de configuração do AD FS usando o Snap-in de gerenciamento do AD FS, o Fsconfig.exe ou cmdlets do Windows PowerShell™.

Usando o WID para armazenar o banco de dados de configuração do AD FS

Você pode criar o banco de dados de configuração do AD FS usando o WID como armazenamento com a ferramenta de linha de comando Fsconfig.exe ou o Assistente de configuração de servidor de federação do AD FS. Ao usar uma dessas ferramentas, escolha uma das opções a seguir para criar sua topologia do servidor de federação. Todas essas opções usam o WID para armazenar o banco de dados de configuração do AD FS:

  • Criar um servidor de federação autônomo

  • Criar o primeiro servidor de federação em um farm de servidores de federação

  • Adicionar um servidor de federação a um farm de servidores de federação

Se você selecionar a opção autônoma, o WID será usado para armazenar uma única instância do banco de dados de configuração do AD FS. Esta instância não poderá ser compartilhada entre diversos servidores de federação. Ele destina-se somente a ambientes de laboratório de teste. Para ver mais informações sobre a opção de servidor de federação autônomo ou sobre como configurá-lo, consulte Servidor de federação autônomo usando o WID ou Criar um servidor de federação autônomo.

Se você selecionar a opção de primeiro servidor de federação em um farm de servidores de federação, o WID será configurado visando a escalabilidade para permitir que servidores de federação adicionais sejam adicionados ao farm posteriormente. Para ver mais informações sobre como implantar um farm no WID ou como configurá-lo, consulte Farm de servidores de federação usando o WID ou Criar o primeiro servidor de federação em um farm de servidores de federação

Se você selecionar a opção de adicionar um servidor de federação, o WID será configurado para replicar as alterações do banco de dados de configuração realizadas no novo servidor de federação em intervalos definidos. Para mais informações sobre como adicionar um servidor de federação a um farm do WID, consulte Farm de servidores de federação usando o WID ou Adicionar um servidor de federação a um farm de servidores de federação.

Observação

Ao implantar um farm de servidor de federação usando o WID, alguns recursos do AD FS podem não estar disponíveis. Para ter acesso ao conjunto completo de recursos ao configurar seu farm de servidores, considere usar o Microsoft SQL Server para armazenar o banco de dados de configuração do AD FS. Para mais informações, consulte Considerações de topologia de implantação do AD FS.

Como funciona um farm de servidores de federação do WID

Esta seção descreve os conceitos mais importantes que mostram como o farm de servidores de federação do WID replica os dados entre os servidores de federação primários e secundários. .

Servidor de federação primário

Um servidor de federação é um computador que executa o Windows Server 2012 ou superior que foi configurado com a função de servidor de federação usando o Assistente de Configuração do Serviços de Federação AD FS e que tem uma cópia de leitura/gravação do banco de dados de configuração. O servidor de federação primário será sempre criado quando você usa o Assistente de Configuração de Servidor de Federação AD FS e seleciona a opção de criar um novo Serviço de Federação e transformar o computador no primeiro servidor de federação no farm. Todos os demais servidores de federação deste farm, também chamados de servidores de federação secundários, deverão sincronizar as alterações realizadas no servidor primário para uma cópia do banco de dados de configuração do AD FS armazenado localmente.

Servidores de federação secundários

Os servidores de federação secundários armazenam uma cópia do banco de dados de configuração do AD FS do servidor de federação primário, porém estas cópias são apenas de leitura. Os servidores de federação secundários conectam-se e sincronizam os dados com o servidor de federação primário no farm sondando-o em intervalos regulares para verificar se os dados foram alterados. Os servidores de federação secundária existem para proporcionar proteção contra falhas ao servidor de federação primário e também para equilibrar as cargas de solicitações de acesso efetuadas nos diferentes sites em todo o ambiente de rede.

Como o banco de dados de configuração do AD FS é sincronizado?

Devido à importante função exercida pelo banco de dados de configuração do AD FS, ele é disponibilizado em todos os servidores de federação na rede para oferecer proteção contra falhas e equilíbrio de carga ao processar solicitações (quando balanceadores de carga na rede são usados). Contudo, para que os servidores de federação secundária possuam esta capacidade, o banco de dados de configuração do AD FS armazenado no servidor de federação primário deve ser sincronizado.

Ao adicionar um servidor de federação ao farm, o novo computador que será um servidor de federação secundário conecta-se ao servidor de federação primário para replicar a cópia do banco de dados de configuração do AD FS. A partir deste ponto, o novo servidor de federação continua a obter atualizações do servidor de federação primário regularmente, como mostrado na ilustração a seguir.

AD FS configuration

Cada servidor de federação secundário sonda o primário a cada cinco minutos em busca de alterações. Você pode ajustar este valor de cinco minutos ou forçar uma sincronização imediata a qualquer momento usando um cmdlet do Windows PowerShell. Para obter mais informações sobre como fazer isso, confira Administração do AD FS com o Windows PowerShell.

O processo de sincronização do WID também dá suporte a transferências incrementais para oferecer transferências mais eficientes de alterações intermediárias. O processo de transferência incremental exige um tráfego significativamente menor em uma rede e as transferências são concluídas muito mais rápido.

Observação

Há suporte para a migração de um banco de dados de configuração do AD FS do WID para uma instância do SQL Server. Para obter mais informações sobre como fazer isso, confira AD FS: Migrar o Banco de Dados de Configuração do AD FS para SQL Server no site Wiki do TechNet.

Como gerenciar as propriedades de sincronização do AD FS

Esta Seção descreve como exibir e editar as propriedades de sincronização do banco de dados de configuração do AD FS. .

O cmdlet Get-ADFSSyncProperties obtém as propriedades de sincronização do banco de dados de configuração dos Serviços de Federação do Active Directory (AD FS).

PS C:\> Get-ADFSSyncProperties

No Servidor AD FS Primário, esse cmdlet mostrará apenas que a Função é o Computador Primário. Em um membro secundário, ele mostrará o restante da configuração, incluindo Nome de Domínio Totalmente Qualificado da Última Sincronização do Computador Primário, Status e Hora da Última Sincronização, Duração da Sondagem, o nome do computador primário atualmente configurado, a porta do computador primário e a função do Computador Secundário.

O cmdlet Set-ADFSSyncProperties modifica a frequência de sincronização para o banco de dados de configuração do Serviços de Federação do Active Directory (AD FS). O cmdlet também especifica qual servidor de federação é o servidor primário no farm de servidores de federação.

Observação

Se o servidor de federação primário ficar inativo e offline, todos os servidores de federação secundários continuarão a processar as solicitações normalmente. Contudo, nenhuma alteração poderá ser realizada no Serviço de Federação até que o servidor primário seja restaurado. Você também pode nominar um servidor de federação secundário para tornar-se o primário usando o Windows PowerShell. Se você nomear um novo servidor primário, os servidores restantes deverão ser modificados para refletir o novo servidor primário. Ter duas primárias com um farm de WID afetará a estabilidade do farm e possivelmente perderá dados.

Modificar a duração da sondagem para um farm

PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"

Esse comando modifica a sincronização do banco de dados para 3.600 segundos. O comando faz a alteração no servidor de federação primário.

Alterar um servidor de secundário para primário

PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"

Esse comando altera um servidor do AD FS em um farm de WID de secundário para primário.

Alterar um servidor primário para um servidor secundário

PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"

Esse comando altera um servidor do AD FS primário em um farm de WID para um servidor secundário. Você deve especificar o nome de domínio totalmente qualificado do servidor primário. Não fazer isso pode fazer com que nem todos os servidores AD FS secundários sejam sincronizados corretamente. Observação: o servidor primário deve estar acessível via HTTP na porta 80 do servidor secundário.

Para obter mais informações, confira: Set-AdfsSyncProperties

Usando o SQL Server para armazenar o banco de dados de configuração do AD FS

Você pode criar o banco de dados de configuração do AD FS usando uma única instância de banco de dados do SQL Server como armazenamento usando a ferramenta de linha de comando Fsconfig.exe. Usar um banco de dados do SQL Server como banco de dados de configuração do AD FS oferece as seguintes vantagens em comparação com o WID:

  • Os administradores podem aproveitar os recursos de alta disponibilidade do SQL Server

  • Ele fornece aumentos de desempenho adicionais para alto nível de tráfego.

  • Ele fornece suporte a recursos da resolução do artefato SAML e Detecção de reprodução do token de SAML/Web Services Federation(descrito abaixo).

O termo “servidor de federação primário” não se aplica quando o banco de dados de configuração do AD FS é armazenado em uma instância de banco de dados SQL, pois todos os servidores de federação podem ler e gravar igualmente o banco de dados de configuração do AD FS que está usando a mesma instância do SQL Server em cluster, como mostrado na ilustração a seguir.

AD FS roles

É possível usar o SQL Server para configurar dois ou mais servidores para trabalharem em conjunto como um cluster de servidores a fim de garantir que o AD FS tenha alta disponibilidade para solicitações clientes recebidas do serviço. A alta disponibilidade fornece uma arquitetura expansível para a qual é possível aumentar a capacidade do servidor acrescentando servidores adicionais. Pontos de falha únicos são mitigados pelo failover de cluster automático.

Você pode obter uma alta disponibilidade usando os serviços de balanceamento de carga de rede e failover oferecidos pelas tecnologias de cluster do SQL. Para obter mais informações sobre como configurar o SQL Server para alta disponibilidade, confira Visão geral das soluções de alta disponibilidade.

Resolução do artefato SAML

A resolução do artefato SAML (Security Assertion Markup Language) é um terminal baseado na parte do protocolo SAML 2.0 que descreve como uma parte confiável pode obter um token diretamente de um provedor de declarações. No primeiro estágio do processo de resolução, um cliente de navegador contata um servidor de federação do recurso e fornece um artefato a ele. No segundo estágio, os servidores de federação de recurso enviam o artefato para uma URL de terminal de artefato SAML hospedada em alguma organização do parceiro de conta para resolver a mensagem de artefato. No estágio final, o servidor de federação de conta emite o token para o servidor de federação em nome do navegador cliente.

Observação

Se você for um administrador de uma organização do parceiro de conta, confirme se atribui ou associa um certificado SSL, contendo um certificado raiz de um membro do Programa de certificado raiz do Windows, ao site da web passivo da federação em IIS (<ComputerName>\Sites\Default Web Site\adfs\ls) em todos os servidores de federação de conta no farm. Isso é importante para evitar que os servidores de federação de recurso tenham que adicionar manualmente o certificado de SSL ao repositório de certificados de Computadores locais de pessoas confiáveis ou evitar que não seja possível resolver o artefato publicado na sua organização.

Detecção de reprodução do token SAML/Web Services Federation

O termo reprodução de token refere-se ao ato pelo qual um cliente navegador em uma organização do parceiro de conta tenta enviar o mesmo token recebido de um servidor de federação de conta múltiplas vezes para autenticar-se a um servidor de federação de recurso. Isso ocorre quando um usuário clica no botão Voltar do navegador para tentar reenviar a página de autenticação.

O AD FS oferece um recurso chamado de detecção de reprodução de token com o qual solicitações múltiplas usando o mesmo token são detectadas e descartadas. Quando este recurso é habilitado, a detecção de reprodução de token protege a integridade das solicitações de autenticação no perfil passivo de Web Services Federation e no perfil SAML WebSSO garantindo que o mesmo token nunca seja usado mais de uma vez. Este recurso deve ser habilitado em situações nas quais a segurança é uma grande preocupação, como ao usar quiosques.

No exemplo do quiosque, um usuário pode sair de todos os sites da web e depois um usuário mal-intencionado pode tentar usar o histórico de navegação para reenviar a página de autenticação federada carregada pelo usuário anterior. Este recurso minimiza esta preocupação ao armazenar informações adicionais sobre cada autenticação realizada com êxito por uma organização do parceiro de conta para detectar reproduções posteriores do token e evitar tentativas múltiplas de autenticação bem-sucedida.