Поделиться через


Место размещения сервера федерации

В качестве рекомендации по обеспечению безопасности поместите серверы федерации Active Directory (AD FS) за брандмауэром и подключите их к корпоративной сети, чтобы предотвратить воздействие из Интернета. Это важно, так как серверы федерации имеют полную авторизацию для предоставления маркеров безопасности. Таким образом, они должны иметь ту же защиту, что и контроллер домена. Если сервер федерации скомпрометирован, злоумышленник может выдавать токены полного доступа ко всем веб-приложениям и серверам федерации, которые защищены службами федерации Active Directory (AD FS) во всех организациях партнёров по ресурсам.

Note

В рамках обеспечения безопасности рекомендуется избегать, чтобы серверы федерации были напрямую доступными в Интернете. Рекомендуется предоставлять серверам федерации прямой доступ к Интернету только при настройке тестовой лабораторной среды или когда в вашей организации отсутствует пограничная сеть.

Для типичных корпоративных сетей брандмауэр, подключенный к интрасети, устанавливается между корпоративной сетью и сетью периметра, а брандмауэр, подключенный к Интернету, часто устанавливается между сетью периметра и Интернетом. В этой ситуации сервер федерации находится внутри корпоративной сети, и он недоступен напрямую интернет-клиентами.

Note

Клиентские компьютеры, подключенные к корпоративной сети, могут напрямую взаимодействовать с сервером федерации через встроенную проверку подлинности Windows.

Прокси-сервер для федерационного сервера следует поместить в сеть периметра, прежде чем настраивать межсетевые экраны для использования с AD FS. Дополнительные сведения см. в статье Where to Place a Federation Server Proxy (Место размещения прокси-сервера федерации).

Настройка серверов брандмауэра для сервера федерации

Таким образом, чтобы серверы федерации могли взаимодействовать напрямую с прокси-серверами федерации, сервер брандмауэра интрасети должен быть настроен для разрешения трафика протокола HTTPS с прокси-сервера федерации на сервер федерации. Это требование, так как сервер брандмауэра интрасети должен публиковать сервер федерации с помощью порта 443, чтобы прокси-сервер федерации в сети периметра смог получить доступ к серверу федерации.

Кроме того, сервер брандмауэра, подключенный к интрасети, например сервер под управлением Internet Security and Acceleration (ISA) Server, использует процесс, известный как публикация сервера, для распределения запросов интернет-клиентов к соответствующим корпоративным серверам федерации. Это означает, что необходимо на сервере интрасети вручную создать правило публикации сервера под управлением ISA Server, которое публикует URL-адрес кластерного федерационного сервера, например, http://fs.fabrikam.com..

Дополнительные сведения о том, как настроить публикацию сервера в периметральной сети см. в разделе Место размещения прокси-сервера федерации. Сведения о настройке ISA Server для публикации сервера см. в статье Создание правила безопасной веб-публикации.

See Also

Руководство по разработке AD FS в Windows Server 2012