ADFS とは何ですか? どのように機能しますか? #

Active Directoryフェデレーションサービス、または一般的に知られている ADFSは、固有のドメインまたは複数のドメインを持つ組織間のシステムとアプリケーションにシングル サインオンと Web ベースの認証を提供する Microsoft のソリューションです。

ADFS は、クレーム ベースのアクセス制御承認モデルを使用して、2 つのセキュリティ ゾーンまたはスコープ間の信頼を確立することによって 2 つの組織間に実装されるアプリケーション レベルのセキュリティとフェデレーション ID を確保します。

2台のフェデレーションサーバーが必要です。1台は ユーザーのアカウントと認証 （主にActive Directoryドメインサービスを使用）を識別し、 リソースの承認とユーザーアクセスの検証このアーキテクチャにより、別のセキュリティ スコープまたはレルムに属するユーザーは、データベースやパスワードを共有することなく、直接アクセスを制御できます。

ADFS は、指定されたユーザー名とパスワードを使用してユーザーを検証するために HTTPS 経由で通信するように設計されています。これが有効な場合、サービスはサードパーティのアプリケーションで使用できる一意のトークンを返します。

特定のユーザーが 1 つのサイト内のアプリケーションにアクセスしようとすると、ユーザー名とパスワードの形式でユーザーからのログイン要求がメイン サイトの ADFS プロキシにリダイレクトされ、アプリケーションがユーザーのアクセスを制御するために使用するトークンが返されます。

この環境の問題は、単一障害点と、組織が拡大すると拡張性が欠如することです。

ADFSスケーラブル環境 #

ADFS サービスの高可用性、負荷分散、自動災害復旧を実現するために、以下に示すような環境を提案しています。

このアプローチは、サイト内サービスに対して負荷分散と高可用性を実装しますが、地理的に配置された ADFS サービスに対して自動災害復旧も提供するサイト間アーキテクチャとして構築することもできます。

ADFS負荷分散構成 #

シンプルな負荷分散仮想サービスの作成 LSLB | L4xNAT ファームは、HTTPS リクエストを生の TCP 接続として負荷分散することを可能にします。

サービス タブで、選択したディスパッチャ アルゴリズムを選択し、バックエンド セクションで ADFS プロキシを構成します。

最後に、ADFSv2 の高度なヘルスチェックを構成します。

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.aspx -e 200 -S -s html 

ADFSv3の場合:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.htm -e 200 -S -s html 

注: ヘルス チェック コマンドで、ADFS ドメインを変更します。

高可用性と自動災害復旧構成の ADFS #

As RELIANOID クラスタリングソリューションは、すべての接続とセッションをリアルタイムで複製し、クライアントが中断することなく透過的にノード間を切り替えられるクラスタを構築します。クラスタサービスは、アプリケーションデリバリーレイヤーで高可用性を実現するだけでなく、セクションから簡単に設定できる自動災害復旧機能も提供します。 システム | クラスター.

ADFS強化セキュリティ #

RELIANOID 侵入防止および検知システムは、ADFS サービスに追加のセキュリティ レイヤーを追加するため、サイトからの接続要求が信頼できることを保証できます。

さらに、ADFSのSSLオフロードがまもなく利用可能になり、完全なセキュリティ層が提供されるようになります。 RELIANOID SSL証明書をロードすることで LSLB | HTTP HTTPS リスナーを備えたファーム。