Что такое ADFS и как это работает?

Службы федерации Active Directoryили широко известный как ADFS, является решением от Microsoft для обеспечения единой регистрации и веб-аутентификации для систем и приложений между организациями с уникальными или несколькими доменами.

ADFS использует модель авторизации управления доступом на основе утверждений для обеспечения безопасности на уровне приложений и идентификации федерации, которая реализуется между двумя организациями путем установления доверия между двумя зонами безопасности или областями.

Требуются два сервера федерации, один для учет и аутентификация пользователей (в основном с доменными службами Active Directory), чтобы идентифицировать их и другой для авторизация ресурсов и проверка доступа пользователей, Эта архитектура позволяет пользователю, принадлежащему к другой области безопасности или области, управлять своим доступом напрямую, не разделяя базы данных или пароли между ними.

Служба ADFS предназначена для связи по HTTPS с целью проверки пользователя с заданным именем пользователя и паролем, затем, если это действительно так, служба возвращает уникальный токен, который может использоваться сторонними приложениями.

Когда определенный пользователь пытается получить доступ к приложению на одном сайте, он перенаправляет запрос на вход от пользователя на прокси-сервер ADFS основного сайта в форме имени пользователя и пароля, а затем возвращает токен, который будет использоваться приложением для управления пользователь получает доступ.

Проблема этой среды - единственная точка отказа и недостаточная масштабируемость по мере роста организации.

ADFS масштабируемая среда

Чтобы обеспечить высокую доступность, балансировку нагрузки и автоматическое аварийное восстановление служб ADFS, мы предлагаем среду, подобную показанной ниже.

Этот подход реализует балансировку нагрузки и высокую доступность для сервисов на площадке, но он может быть построен как межсайтовая архитектура, которая также обеспечивает автоматическое аварийное восстановление для служб ADFS с географическим расположением.

Конфигурация балансировки нагрузки ADFS

Создание простого виртуального сервиса балансировки нагрузки с LSLB | L4xNAT ферма позволит балансировать нагрузку HTTPS-запросов в виде необработанных TCP-соединений.

В разделе Услуги на вкладке выберите выбранный алгоритм диспетчера и настройте прокси-серверы ADFS в разделе бэкэндов.

Наконец, настройте расширенные проверки работоспособности для ADFSv2:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.aspx -e 200 -S -s html 

для ADFSv3:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.htm -e 200 -S -s html 

Примечание. В командах проверки работоспособности измените домен ADFS.

ADFS в конфигурации высокой доступности и автоматического аварийного восстановления

Поскольку решение для кластеризации Zevenet реплицирует все соединения и сеансы в режиме реального времени, при создании кластера клиенты могут прозрачно переключаться с одного узла на другой без сбоев. Служба кластера обеспечивает высокую доступность на уровне доставки приложений, а также возможности автоматического аварийного восстановления, которые можно легко настроить через раздел Система | кластер.

ADFS повышенная безопасность

Система предотвращения и обнаружения вторжений Zevenet добавляет дополнительный уровень безопасности к службам ADFS, поэтому мы можем обеспечить доверие к запросам на подключение от наших сайтов.

Кроме того, SSLoffload для ADFS будет доступен в ближайшее время, поэтому Zevenet может предоставить полный уровень безопасности, загрузив сертификат SSL в LSLB | HTTP ферма с прослушивателем HTTPS.