Kemp Technologies
+7 (495) 988-06-61
info@kemptech.ru
Главная Дополнительно Технические публикации Балансировка нагрузки с помощью служб федерации Active Directory (ADFS)

Балансировка нагрузки с помощью служб федерации Active Directory (ADFS)

Использование устройства KEMP LoadMaster™

Джо Лепоре, инженер по предпродажной подготовке KEMP Technologies

Что такое ADFS 2.0?

Служба федерации Active Directory (ADFS) - решение Microsoft для идентификации и контроля доступа. Данная служба была включена в качестве опции в Microsoft Windows Server® 2003 R2 и в настоящее время встроена в Windows Server® 2008. ADFS помогает установить доверительные отношения и снижает необходимость в обеспечении и управлении учетными записями пользователя. Реализация данной функции обеспечивает браузерным клиентам (внутри сети или за ее пределами) прямой доступ или «Доступ с однократным вводом пароля» к одному или нескольким защищенным приложениям с выходом в Интернет (например, таким облачным сервисам, как Office 365).

 

Доверительные отношения используются для проектирования цифровой идентификации пользователя и прав доступа к проверенным партнерам; доверительные отношения могут быть развернуты в нескольких организациях для упрощения корпоративных коммерческих операций (B2B) между проверенными организациями-партнерами.

ADFS 2.0 Основные компоненты:

Серверы – Прокси – Хранилище конфигурации (база данных)

ADFS-сервер: отвечает за аутентификацию пользователей и выдачу утверждений. Сервер должен иметь возможность соединения с контроллером домена. Он авторизует пользователей из нескольких доменов по проверенному соединению windows. ADFS-сервер может быть настроен в виде кластера для обеспечения высокой отказоустойчивости.

ADFS прокси-сервер: авторизует пользователей из сети Интернет и защищает ADFS-сервер от сетевых угроз. Несколько прокси-серверов ADFS могут быть настроены в виде кластера для обеспечения высокой отказоустойчивости.

База данных конфигурации ADFS: в базе данных хранятся все доверительные данные проверяющей стороны, сертификаты, доверительные данные провайдера утверждений, описание утверждений, конфигурация службы, атрибуты. Все содержимое базы данных может храниться как база данных SQL или внутренняя база данных Windows (максимум 5 серверов), но не как обе базы одновременно.

Балансировка нагрузки ADFS 2.0 (прокси и серверы)

3 основных способа балансировки нагрузки:

  • DNS round robin
  • Средство балансировки сетевой нагрузки Windows (WNLB)
  • Аппаратная балансировка сетевой нагрузки (KEMP)


Балансировка нагрузки ADFS Servers 2.0

Active_Directory_(ADFS)1.jpg

Трафик и схема процессов фермы со сбалансированной нагрузкой KEMP ADFS 2.0

1. С помощью веб-браузера пользователь внутреннего корпоративного сайта выходит на внешний ресурс ADFS.

2. Внешний веб-сервер отказывает в соединении, так как отсутствует маркер аутентификации ADFS, после чего пользователь перенаправляется к внешнему партнеру по ресурсам ADFS.

3. Пользователь переадресуется в службу федерации собственной организации.

4. ADFS-сервер авторизует имя пользователя и пароль для active directory.

5. ADFS-сервер присваивает пользователю подписанный маркер безопасности и набор утверждений для внешнего партнера по ресурсам ADFS.

6. Корпоративный пользователь подключается к службе федерации партнера по ресурсам, где маркер и утверждение проходят проверку.

7. Пользователь получает доступ после предъявления нового маркера безопасности для доступа к ресурсу.

Заключение

Устройство KEMP LoadMaster может использоваться для балансировки нагрузки серверов ADFS 2.0, ферм прокси-серверов и для обеспечения высокой степени доступности, лучшей производительности и масштабируемости, так как для ADFS требуется безопасность на транспортном уровне и на уровне защищенных сокетов (TLS/SSL). Аппаратная балансировка нагрузки обеспечит функциональность для тестирования приложения или возможности установления соединения службы. Больший набор способов масштабирования (предпочтение последнему соединению).