Поделиться через

Когда следует создавать прокси-сервер федерации

  • Статья

Создание прокси-сервера федерации в организации добавляет дополнительные уровни безопасности в развертывание службы федерации Active Directory (AD FS) (AD FS). При желании рекомендуется развернуть прокси-сервер федерации в сети периметра организации:

  • Запретить внешним клиентским компьютерам напрямую обращаться к серверам федерации. Развернув прокси-сервер федерации в сети периметра, вы эффективно изолируете серверы федерации, чтобы их можно было получить только на клиентских компьютерах, которые вошли в корпоративную сеть через прокси-сервер федерации, которые действуют от имени внешних клиентских компьютеров. Прокси-серверы федерации не имеют доступ к закрытым ключам, которые используются для создания токенов. Дополнительные сведения см. в статье Where to Place a Federation Server Proxy (Место размещения прокси-сервера федерации).

  • Требуется предоставить удобный способ разграничения взаимодействия входа в систему для пользователей из Интернета и пользователей из корпоративной сети с помощью встроенной проверки подлинности Windows. Прокси-сервер федерации собирает учетные данные или сведения о домашней области с клиентских компьютеров Интернета с помощью страниц homerealmdiscovery.aspx обнаружения поставщика удостоверений , которые хранятся на прокси-сервере федерации.

    В отличие от этого, клиентские компьютеры, поступающие из корпоративной сети, сталкиваются с другим интерфейсом на основе конфигурации сервера федерации. Сервер федерации корпоративной сети часто настраивается для интегрированной проверки подлинности Windows, что обеспечивает простой вход для пользователей в корпоративной сети.

Роль прокси-сервера федерации в организации зависит от того, размещаете ли прокси-сервер федерации в партнерской организации учетной записи или в партнерской организации ресурсов. Например, когда прокси-сервер федерации помещается в сеть периметра партнера учетной записи, его роль — сбор учетных данных пользователя от клиентов браузера. Когда прокси-сервер федерации помещается в сеть периметра партнера по ресурсам, он ретранслирует запросы маркеров безопасности на сервер федерации ресурсов и создает маркеры безопасности организации в ответ на маркеры безопасности, предоставляемые ее партнерами по учетной записи.

Дополнительные сведения см. в разделах Review the Role of the Federation Server Proxy in the Account Partner и Review the Role of the Federation Server Proxy in the Resource Partner.

Создание прокси-сервера федерации

Прокси-сервер федерации можно создать с помощью мастера настройки прокси-сервера федерации AD FS или средства командной строки Fsconfig.exe. Инструкции см. в разделе Configure a Computer for the Federation Server Proxy Role.

Общие сведения об установке всех необходимых компонентов для развертывания прокси-сервера федерации см. в разделе Checklist: Setting Up a Federation Server Proxy.

См. также

Руководство по разработке служб федерации Active Directory в Windows Server 2012