Microsoft Active Directoryフェデレーションサービス(ADFS)の負荷分散、高可用性、および自動化された障害回復

投稿者 Zevenet | 19年2018月XNUMX日

ADFSとは何ですか?

Active Directoryフェデレーションサービス、または一般的に知られている ADFSこれは、固有のドメインまたは複数のドメインを持つ組織間のシステムおよびアプリケーションに対してシングルサインオンおよびWebベースの認証を提供するためのMicrosoftのソリューションです。

ADFSは、2つのセキュリティゾーンまたはスコープ間で信頼を確立することによって2つの組織間で実装されるアプリケーションレベルのセキュリティとフェデレーションIDを保証するために、クレームベースのアクセス制御承認モデルを使用します。

2つのフェデレーションサーバーが必要です。 ユーザーアカウンティングと認証 それらを識別するために(主にActive Directoryドメインサービスで) リソース承認とユーザーアクセス検証。 このアーキテクチャにより、他のセキュリティ範囲またはレルムに属するユーザーは、データベースやパスワードを共有せずに直接アクセスを制御できます。

ADFSは、特定のユーザー名とパスワードでユーザーを検証するためにHTTPSを介して通信するように設計されています。これが有効な場合、サービスはサードパーティのアプリケーションで使用できる一意のトークンを返します。

特定のユーザーが1つのサイトのアプリケーションにアクセスしようとすると、ユーザーからメインサイトのADFSプロキシにログイン要求をリダイレクトし、アプリケーションが制御に使用するトークンを返します。ユーザーがアクセスします。

その環境の問題は、単一障害点であり、組織が成長した後のスケーラビリティの欠如です。

ADFSスケーラブル環境

ADFSサービスの高可用性、負荷分散、および自動ディザスタリカバリを提供するために、以下に示すような環境を提案しています。

このアプローチでは、サイト内サービスに負荷分散と高可用性を実装していますが、サイト内のADFSサービスに自動化された障害回復を提供するサイト間アーキテクチャとして構築することもできます。

ADFS負荷分散構成

単純な負荷分散仮想サービスを作成する LSLB | L4xNAT ファームは、生のTCP接続としてHTTPS要求を負荷分散することを許可します。

メディア サービス/製品 タブで、選択したディスパッチャアルゴリズムを選択し、バックエンドセクションでADFSプロキシを設定します。

最後に、ADFSv2の詳細ヘルスチェックを設定します。

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.aspx -e 200 -S -s html 

ADFSv3の場合

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.htm -e 200 -S -s html 

注:ヘルスチェックコマンドで、ADFSドメインを変更してください。

高可用性および自動化された災害復旧構成におけるADFS

Zevenetクラスタリングソリューションはすべての接続とセッションをリアルタイムで複製するので、クラスタを構築することでクライアントは中断することなくノード間を透過的に切り替えることができます。 クラスタサービスは、アプリケーション配信層で高可用性を提供しますが、セクションを通じて簡単に構成できる自動障害回復機能も提供します。 システム| クラスタ.

ADFSの強化されたセキュリティ

Zevenet Intrusion Prevention and Detection SystemはADFSサービスに追加のセキュリティ層を追加しているので、私たちのサイトからの接続要求が信頼されていることを確認することができます。

さらに、ADFS用のSSLオフロードも近日中に利用可能になる予定です。そのため、完全なセキュリティ層は、SSL証明書を LSLB | HTTP HTTPSリスナーを含むファーム。

上の共有:

GNU Free Documentation Licenseの条項に基づくドキュメンテーション。

この記事は役に立ちましたか?

関連記事