ADFS-Lastausgleich (Microsoft Active Directory Federation Services), Hochverfügbarkeit und automatisierte Notfallwiederherstellung

GESCHRIEBEN VON Zevenet | 19. April 2018

Was ist ADFS und wie funktioniert es?

Active Directory-Verbunddiensteoder allgemein bekannt als ADFS, ist eine Lösung von Microsoft, die Systemen und Anwendungen zwischen Organisationen mit einer oder mehreren Domänen Single Sign-On und webbasierte Authentifizierung bietet.

ADFS verwendet das anspruchsbasierte Berechtigungsmodell für die Zugriffssteuerung, um die Sicherheit auf Anwendungsebene und die Verbundidentität sicherzustellen, die zwischen zwei Organisationen implementiert wird, indem eine Vertrauensstellung zwischen zwei Sicherheitszonen oder -bereichen eingerichtet wird.

Es sind zwei Verbundserver erforderlich, einer für Benutzerkonten und Authentifizierung (hauptsächlich mit Active Directory-Domänendiensten), um sie zu identifizieren und ein anderes für Ressourcenautorisierung und Benutzerzugriffsprüfung. Diese Architektur ermöglicht es einem Benutzer, der zu einem anderen Sicherheitsbereich oder Bereich gehört, seinen Zugriff direkt zu steuern, ohne Datenbanken oder Kennwörter zwischen ihnen zu teilen.

ADFS kommuniziert über HTTPS, um den Benutzer mit einem bestimmten Benutzernamen und Kennwort zu überprüfen. Wenn dies gültig ist, gibt der Dienst ein eindeutiges Token zurück, das von Anwendungen von Drittanbietern verwendet werden kann.

Wenn ein bestimmter Benutzer versucht, auf eine Anwendung auf einer Site zuzugreifen, leitet er die Anmeldeanforderung vom Benutzer an den ADFS-Proxy des Hauptsites in Form von Benutzernamen und Kennwort um und gibt dann ein Token zurück, das von der Anwendung zur Steuerung verwendet wird der Benutzer greift zu.

Das Problem dieser Umgebung ist der zentrale Punkt des Ausfalls und die mangelnde Skalierbarkeit, sobald das Unternehmen wächst.

ADFS skalierbare Umgebung

Um eine hohe Verfügbarkeit, einen Lastenausgleich und eine automatische Notfallwiederherstellung von ADFS-Diensten zu gewährleisten, schlagen wir eine Umgebung wie die unten gezeigte vor.

Bei diesem Ansatz werden Lastverteilung und Hochverfügbarkeit für In-Site-Services implementiert. Sie können jedoch auch als standortübergreifende Architektur erstellt werden, die auch eine automatisierte Notfallwiederherstellung für ADFS-Services mit geografischem Standort bietet.

ADFS-Lastausgleichskonfiguration

Erstellen eines einfachen virtuellen Lastverteilungsdienstes mit LSLB | L4xNAT Die Farm erlaubt es, die HTTPS-Anforderungen als unformatierte TCP-Verbindungen auszugleichen.

In den Dienstleistungen Wählen Sie auf der Registerkarte den ausgewählten Dispatcher-Algorithmus aus und konfigurieren Sie die ADFS-Proxys im Backends-Bereich.

Konfigurieren Sie schließlich die erweiterten Integritätsprüfungen für ADFSv2:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.aspx -e 200 -S -s html 

für ADFSv3:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.htm -e 200 -S -s html 

Hinweis: Ändern Sie in den Befehlen der Integritätsprüfung Ihre ADFS-Domäne.

ADFS in Hochverfügbarkeits- und automatisierter Disaster Recovery-Konfiguration

Da die Zevenet-Clustering-Lösung alle Verbindungen und Sitzungen in Echtzeit repliziert und ein Cluster erstellt, können die Clients transparent und ohne Unterbrechung von einem Knoten zu einem anderen wechseln. Der Clusterdienst bietet eine hohe Verfügbarkeit auf Anwendungsbereitstellungsschicht, aber auch automatische Disaster-Recovery-Funktionen, die einfach über den Abschnitt konfiguriert werden können System | Cluster.

ADFS erhöhte Sicherheit

Das Zevenet Intrusion Prevention and Detection System fügt den ADFS-Diensten eine zusätzliche Sicherheitsschicht hinzu, sodass wir sicherstellen können, dass die Verbindungsanforderungen unserer Sites vertrauenswürdig sind.

In Kürze wird außerdem SSLoffload für ADFS verfügbar sein, sodass die vollständige Sicherheitsschicht von Zevenet bereitgestellt werden kann, indem das SSL-Zertifikat in a geladen wird LSLB | HTTP Farm mit HTTPS-Listener.

Teilen:

Dokumentation unter den Bedingungen der GNU Free Documentation License.

War dieser Artikel hilfreich?

Verwandte Artikel