Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) ist eine Microsoft-Lösung für den Identitätszugriff. Es war eine optionale Komponente von Microsoft Windows Server® 2003 R2 und ist jetzt in Windows Server® 2008, Windows Server® 2012 und Windows Server 2012 integriert R2. AD FS unter Windows 2012 R2 wird manchmal auch als AD FS 3.0 bezeichnet.
Die Kemp LoadMaster-Produktfamilie bietet Hochverfügbarkeit für AD FS- und AD FS-Proxyfarmen (WAP). AD FS-Proxyserver ermöglichen die Beendigung des externen Datenverkehrs in der DMZ und bieten eine zusätzliche Schutzebene vor externen Bedrohungen. AD FS-Proxyserver Helfen Sie auch internen AD FS-Servern, eindeutig zu identifizieren, welche Authentifizierungsversuche extern sind. Dies wird durch Einfügen des x-ms-proxy-Anspruchs in die AD FS-Anforderung erreicht.
AD FS-Administratoren können erweiterte Anspruchsregeln konfigurieren, die eine präzise Steuerung von Benutzerauthentifizierungseinschränkungen ermöglichen, z. B. das Erfordernis, dass Benutzer Teil einer bestimmten Gruppe sein müssen, oder dass Benutzer sich über bestimmte IP-Netzwerke authentifizieren müssen. Wenn solche Behauptungen Regeln auf AD FS-Servern konfiguriert sind, ist es wichtig zu identifizieren, ob der Benutzer versucht, sich von einem externen Standort aus zu authentifizieren, oder ob es sich um einen internen Benutzer handelt.
In Bereitstellungen, in denen solche erweiterten Anspruchsregeln nicht verwendet werden, können Kemp LoadMaster-Geräte in der DMZ platziert werden und Authentifizierungsanforderungen an interne AD FS-Server weiterleiten, ohne dass zusätzliche AD FS-Proxyserver (WAP) erforderlich sind. Dies kann Kunden helfen Sparen Sie Hardware-, Software- und Verwaltungskosten, die mit der Wartung zusätzlicher AD FS-Proxyserver verbunden sind.
Überblick über das Load Balancing von AD FS
- Der interne Client versucht, auf die AD FS-fähige Ressource zuzugreifen.
- Der Client wird an den Verbunddienst der Ressource umgeleitet.
- Wenn der Verbunddienst der Ressource als vertrauenswürdiger Partner konfiguriert ist, wird der Client an den internen Verbunddienst der Organisation umgeleitet.
- Der AD FS-Server verwendet Active Directory, um den Client zu authentifizieren.
- Der AD FS-Server sendet ein Autorisierungscookie an den Client. Diese enthält das signierte Sicherheitstoken und eine Reihe von Ansprüchen für den Ressourcenpartner.
- Der Client stellt eine Verbindung mit dem Verbunddienst des Ressourcenpartners her, wo das Token und die Ansprüche überprüft werden. Gegebenenfalls kann der Ressourcenpartner ein neues Sicherheitstoken senden.
- Der Client legt der Ressource das neue Autorisierungscookie mit dem Sicherheitstoken vor, um darauf zugreifen zu können.