Hvad er ADFS og hvordan det virker?

Active Directory Federation Services, eller almindeligvis kendt som ADFS, er en løsning fra Microsoft til at give Single Sign On og web-baseret godkendelse til systemer og applikationer mellem organisationer med unikke eller flere domæner.

ADFS bruger den kravbaserede adgangskontrol autorisationsmodel for at sikre applikationsniveauet sikkerhed og føderation identitet, som implementeres mellem to organisationer ved at etablere en tillid mellem to sikkerhedszoner eller scopes.

Der kræves to føderationsservere, en til brugerregnskab og godkendelse (hovedsagelig med Active Directory Domain Services) for at identificere dem og en anden til ressourcer godkendelse og brugeradgang validering. Denne arkitektur tillader en bruger, der tilhører et andet sikkerhedsomfang eller rige at styre deres adgang direkte uden at dele databaser eller adgangskoder mellem dem.

ADFS er designet til at kommunikere via HTTPS for at validere brugeren med et givet brugernavn og kodeord. Såfremt dette er gyldigt, returnerer tjenesten et unikt token, der kan bruges af tredjeparts applikationer.

Når en bestemt bruger forsøger at få adgang til en applikation på et websted, omdirigerer det loginbogen fra brugeren til ADFS-proxyen til hovedstedet i en form for brugernavn og adgangskode, og returnerer derefter et token, som applikationen bruger til at kontrollere brugeren får adgang.

Problemet med dette miljø er det eneste punkt i fiasko og manglen på skalerbarhed, når organisationen vokser.

ADFS skalerbart miljø

For at give høj tilgængelighed, belastningsbalancering og automatisk katastrofegenopretning af ADFS-tjenester foreslår vi et miljø, som det er vist nedenfor.

Denne tilgang er implementering af belastningsbalancering og høj tilgængelighed for in-site-tjenester, men det kan bygges som en inter-site-arkitektur, som også giver automatiseret katastrofeinddrivelse for geo-lokaliserede ADFS-tjenester.

ADFS load balancing konfiguration

Oprettelse af en simpel lastbalancering virtuel service med LSLB | L4xNAT gård vil tillade at balancere HTTPS-anmodningerne som rå TCP-forbindelser.

I boksen Services fanebladet, vælg afsendelsesalgoritmen valgt og konfigurer ADFS proxies i backends sektionen.

Endelig konfigurere de avancerede sundhedskontroller for ADFSv2:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.aspx -e 200 -S -s html 

for ADFSv3:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.htm -e 200 -S -s html 

Bemærk: I kommandoer til sundhedskontrol skal du ændre dit ADFS-domæne.

ADFS i høj tilgængelighed og automatiseret katastrofe opsving konfiguration

Da Zevenet clustering løsning replikerer alle forbindelser og sessioner i realtid, opbygger en klynge, kan klienterne transparenter skifte fra et knudepunkt til et andet uden forstyrrelse. Klyngetjenesten giver høj tilgængelighed på applikationsleveringslaget, men også en automatisk katastrofegenoprettelsesevne, som let kan konfigureres gennem sektionen System | Cluster.

ADFS forbedret sikkerhed

Zevenet Intrusion Prevention and Detection System tilføjer et ekstra sikkerhedslag til ADFS-tjenesterne, så vi kan sikre, at forbindelsesforespørgsler fra vores websteder er tillid til.

Desuden vil SSLoffload for ADFS være tilgængelig snart, så det komplette sikkerhedslag kunne leveres af Zevenet ved at indlæse SSL-certifikatet i en LSLB | HTTP gård med HTTPS lytter.