Onde colocar um proxy do servidor de federação
Você pode colocar proxies do servidor de federação do AD FS (Serviços de Federação do Active Directory) em uma rede de perímetro para fornecer uma camada de proteção contra usuários mal-intencionados que podem vir da Internet. Proxies do servidor de federação são ideais para o ambiente de rede de perímetro, porque eles não têm acesso às chaves particulares usadas para criar tokens. No entanto, os proxies do servidor de federação podem rotear com eficiência solicitações de entrada para os servidores de federação que estejam autorizados a produzir esses tokens.
Não é necessário colocar um proxy do servidor de federação dentro da rede corporativa para o parceiro de conta ou para o parceiro do recurso, porque os computadores cliente conectados à rede corporativa podem se comunicar diretamente com o servidor de federação. Nesse cenário, o servidor de federação também fornece a funcionalidade de proxy do servidor de federação para computadores cliente provenientes da rede corporativa.
Uma vez que isso é típico com redes de perímetro, um firewall voltado para a intranet é estabelecido entre a rede de perímetro e a rede corporativa, e um firewall voltado para a Internet geralmente é estabelecido entre a rede de perímetro e a Internet. Nesse cenário, o proxy do servidor de federação fica entre ambos esses firewalls na rede de perímetro.
Configurando os servidores de firewall para um proxy do servidor de federação
Para o processo de redirecionamento do proxy do servidor de federação ser bem-sucedido, todos os servidores de firewall devem ser configurados para permitir o tráfego HTTPS (Secure Hypertext Transfer Protocol). O uso do HTTPS é necessário porque os servidores de firewall devem publicar o proxy do servidor de federação, usando a porta 443, para que o proxy do servidor de federação na rede de perímetro possa acessar o servidor de federação na rede corporativa.
Observação
Todas as comunicações e para computadores cliente também ocorre por HTTPS.
Além disso, o servidor de firewall voltado para a Internet, como um computador executando o Microsoft Internet Security and Acceleration (ISA) Server, usa um processo conhecido como publicação de servidor para distribuir solicitações de clientes de Internet para o perímetro apropriado e servidores de rede corporativa, como proxies do servidor de federação ou servidores de federação.
Regras de publicação de servidor determinam como funciona a publicação de servidor – essencialmente, filtrando todas as solicitações de entrada e saída pelo computador do ISA Server. Regras de publicação de servidor mapeiam solicitações de cliente recebidas para os servidores apropriados atrás do computador do ISA Server. Para obter informações sobre como configurar o ISA Server para publicar um servidor, confira Criar uma regra de publicação na Web segura.
No mundo federado do AD FS, as solicitações do cliente geralmente são feitas para uma URL específica, por exemplo, uma URL de identificador do servidor de federação, como http://fs.fabrikam.com. Como essas solicitações do cliente são provenientes da Internet, o servidor de firewall voltado para a Internet deve estar configurado para publicar a URL de identificador do servidor de federação para cada proxy do servidor de federação implantado na rede de perímetro.
Configurando o ISA Server para permitir SSL
Para facilitar comunicações seguras do AD FS, configure o ISA Server para permitir comunicações do protocolo SSL entre os seguintes:
Servidores de federação e proxies do servidor de federação. Um canal SSL é necessário para todas as comunicações entre servidores de federação e proxies do servidor de federação. Portanto, você deve configurar o ISA Server para permitir uma conexão SSL entre a rede corporativa e a rede de perímetro.
Computadores cliente, servidores de federação e proxies do servidor de federação. Para que a comunicação possa ocorrer entre os computadores cliente e os servidores de federação ou entre os computadores cliente e proxies do servidor de federação, você pode colocar um computador com o ISA Server na frente do servidor de federação ou do proxy do servidor de federação.
Se a organização executar a autenticação de cliente SSL no servidor de federação ou no proxy do servidor de federação, quando você colocar um computador executando o ISA Server na frente do servidor de federação ou do proxy do servidor de federação, o servidor deverá ser configurado para passagem da conexão SSL porque a conexão SSL deve ser encerrada no servidor de federação ou no proxy do servidor de federação.
Se a organização não executar a autenticação de cliente SSL no servidor de federação ou no proxy do servidor de federação, uma opção adicional será encerrar a conexão SSL no computador que está executando o ISA Server e, em seguida, restabelecer uma conexão SSL com o servidor de federação ou o proxy do servidor de federação.
Observação
O servidor de federação ou o proxy do servidor de federação exige que a conexão seja protegida pelo SSL para proteger o conteúdo do token de segurança.