放置同盟伺服器 Proxy 的位置
您可以將 Active Directory Federation Services (AD FS) 同盟伺服器放置在周邊網路,以提供一個對抗可能來自網際網路的惡意使用者的保護層。 同盟伺服器 proxy 非常適合於周邊網路環境,因為它們沒有用來建立權杖之私用金鑰的存取權。 不過,同盟伺服器 Proxy 可以有效率地將傳入要求路由傳送至同盟伺服器,它已獲授權可以產生這些權杖。
不需要為帳戶夥伴或資源夥伴將同盟伺服器 Proxy 放置在公司網路內,因為連線到公司網路的用戶端電腦可以與同盟伺服器直接通訊。 在這個案例中,同盟伺服器也為來自公司網路的用戶端電腦提供同盟伺服器 Proxy 功能。
對於周邊網路而言是典型,在周邊網路和公司網路之間建立內部網路對向防火牆,而在周邊網路與網際網路之間則通常會建立網際網路對向防火牆。 在這個案例中,同盟伺服器 Proxy 網站同時介於周邊網路上的這兩個防火牆之間。
針對同盟伺服器 proxy 設定您的防火牆伺服器
若要讓同盟伺服器 Proxy 重新導向流程成功,所有防火牆伺服器必須設定成允許安全超文字傳輸通訊協定 (HTTPS) 流量。 必須使用 HTTPS,因為防火牆伺服器必須使用埠 443 發佈同盟伺服器 Proxy,以便周邊網路中的同盟伺服器 Proxy 可以存取公司網路中的同盟伺服器。
注意
與用戶端電腦之間的所有往來通訊也透過 HTTPS 發生。
此外,網際網路對向防火牆伺服器,例如執行 Microsoft Internet Security and Acceleration (ISA) Server 的電腦,會使用稱為伺服器發佈的程序,將網際網路用戶端要求散佈到適當的周邊和公司網路伺服器,例如同盟伺服器 Proxy 或同盟伺服器。
伺服器發佈規則會決定伺服器發佈的運作方式 — 基本上,篩選通過 ISA Server 電腦的所有連入和連出要求。 伺服器發佈規則將連入用戶端要求對應至適當的 ISA Server 電腦背後的伺服器。 如需有關如何設定 ISA Server 以發佈伺服器的詳細資訊,請參閱建立安全的 Web 發佈規則。
在 AD FS 的同盟世界中,這些用戶端要求通常會對特定 URL 提出,例如同盟伺服器識別碼 URL (例如 http://fs.fabrikam.com.) 因為這些用戶端要求來自網際網路,所以網際網路對向防火牆伺服器必須設定為針對部署在周邊網路中的每個同盟伺服器 Proxy 發佈同盟伺服器識別項 URL。
設定 ISA Server 以允許 SSL
為了促進安全的 AD FS 通訊,您必須設定 ISA Server 以允許下列項目之間的安全通訊端層 (SSL) 通訊:
同盟伺服器和同盟伺服器 Proxy。 同盟伺服器與同盟伺服器 Proxy 之間的所有通訊都需要 SSL 通道。 因此,您必須設定 ISA Server 以允許公司網路與周邊網路之間的 SSL 連線。
用戶端電腦、同盟伺服器和同盟伺服器 Proxy。 如此一來,通訊可以在用戶端電腦和同盟伺服器之間發生,或在用戶端電腦和同盟伺服器 Proxy 之間發生,您可以將執行 ISA Server 的電腦放置在同盟伺服器或同盟伺服器 Proxy 前面。
如果您的組織在同盟伺服器或同盟伺服器 Proxy 上執行 SSL 用戶端驗證,當您將執行 ISA Server 的電腦放置在同盟伺服器或同盟伺服器 Proxy 前面時,必須設定伺服器以通過 SSL 連線,因為 SSL 連線必須在同盟伺服器或同盟伺服器 Proxy 終止。
如果您的組織不會在同盟伺服器或同盟伺服器 Proxy 上執行 SSL 用戶端驗證,額外選項是在執行 ISA Server 的電腦上終止 SSL 連線,然後重新建立與同盟伺服器或同盟伺服器 Proxy 的 SSL 連線。
注意
同盟伺服器或同盟伺服器 Proxy 要求連線是經過 SSL 保護的,以保護安全性權杖的內容。