Microsoft Active Directory联合身份验证服务(ADFS)负载平衡,高可用性和自动灾难恢复

张贴 Zevenet | 19年2018月XNUMX日

什么是ADFS及其工作原理?

活动目录联合服务,或俗称 ADFS的,是Microsoft提供的解决方案,可为具有唯一或多个域的组织之间的系统和应用程序提供单点登录和基于Web的身份验证。

ADFS使用基于声明的访问控制授权模型,以确保应用程序级别的安全性和联合身份,这是通过在两个安全区域或范围之间建立信任来在两个组织之间实现的。

需要两个联合服务器,一个用于 用户会计和身份验证 (主要使用Active Directory域服务)来识别它们和另一个 资源授权和用户访问验证。 此体系结构允许属于另一个安全范围或领域的用户直接控制其访问,而无需在它们之间共享数据库或密码。

ADFS旨在通过HTTPS进行通信,以便使用给定的用户名和密码验证用户,然后,如果这有效,则服务返回可由第三方应用程序使用的唯一令牌。

当某个用户尝试访问一个站点中的应用程序时,它会以用户名和密码的形式将登录请求从用户重定向到主站点ADFS代理,然后返回将由应用程序用来控制的令牌用户访问。

一旦组织发展,该环境的问题就是单点故障和缺乏可扩展性。

ADFS可扩展环境

为了提供ADFS服务的高可用性,负载平衡和自动灾难恢复,我们提出了如下所示的环境。

此方法实现了现场服务的负载平衡和高可用性,但它可以构建为站点间体系结构,还可以为位于地理位置的ADFS服务提供自动灾难恢复。

ADFS负载平衡配置

使用创建简单的负载平衡虚拟服务 LSLB | L4xNAT 服务器场将允许将HTTPS请求作为原始TCP连接进行负载平衡。

服务内容 选项卡,选择所选的调度程序算法并在后端部分中配置ADFS代理。

最后,配置ADFSv2的高级运行状况检查:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.aspx -e 200 -S -s html 

对于ADFSv3:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.htm -e 200 -S -s html 

注意:在运行状况检查命令中,更改ADFS域。

ADFS具有高可用性和自动灾难恢复配置

由于Zevenet集群解决方案实时复制所有连接和会话,因此构建集群时,客户端可以透明地从一个节点切换到另一个节点而不会中断。 群集服务在应用程序交付层提供高可用性,但也提供可通过该部分轻松配置的自动灾难恢复功能 系统| 簇.

ADFS增强了安全性

Zevenet入侵防御和检测系统为ADFS服务添加了额外的安全层,因此我们可以确保来自站点的连接请求是可信的。

此外,ADFS的SSLoffload即将推出,因此Zevenet可以通过加载SSL证书来提供完整的安全层。 LSLB | HTTP 具有HTTPS侦听器的服务器场。

分享到:

根据GNU自由文档许可条款的文档。

本文是否有帮助?

相关文章