Considérations sur la topologie du déploiement d'AD FS

Cette rubrique décrit des considérations importantes relatives à la planification et à la conception de la topologie de déploiement de services de fédération Active Directory (AD FS) appropriée à votre environnement de production. Elle constitue une base pour examiner et évaluer les considérations qui influent sur la disponibilité des fonctionnalités ou capacités après le déploiement AD FS. Par exemple, le type de base de données que vous choisissez pour stocker la base de données de configuration AD FS détermine si vous pouvez implémenter certaines fonctionnalités SAML (Security Assertion Markup Language) qui nécessitent SQL Server.

Détermination du type de base de données de configuration AD FS à utiliser

Le service AD FS utilise une base de données pour stocker la configuration et, dans certains cas, les données transactionnelles liées au service de fédération. Vous pouvez utiliser le logiciel AD FS pour sélectionner soit la base de données interne Windows (WID) intégrée, soit Microsoft SQL Server 2005 ou une version ultérieure, pour stocker les données dans le service de fédération.

En règle générale, les deux types de base de données sont relativement équivalents. Toutefois, vous devez prendre connaissance de certaines différences avant de vous pencher sur les diverses topologies de déploiement que vous pouvez utiliser avec le service AD FS. Le tableau suivant décrit les fonctionnalités et indique si elles sont prises en charge dans une base de données interne Windows et dans une base de données SQL Server.

Fonctionnalités AD FS

Fonctionnalité Prise en charge par la base de données interne Windows ? Prise en charge par SQL Server ? Pour en savoir plus sur cette fonctionnalité
Déploiement d'une batterie de serveurs de fédération Oui, dans la limite de 30 serveurs de fédération par pool Oui. Vous pouvez déployer un nombre illimité de serveurs de fédération dans une batterie. Déterminer votre topologie de déploiement d’AD FS
Résolution des artefacts SAML Remarque : cette fonctionnalité n’est pas requise pour Microsoft Online Services, Microsoft Office 365, Microsoft Exchange ou Microsoft Office SharePoint. Non Oui Rôle de la base de données de configuration AD FS

Meilleures pratiques pour sécuriser la planification et le déploiement d’AD FS

Détection de relecture de jetons SAML/WS-Federation Non Oui Rôle de la base de données de configuration AD FS

Meilleures pratiques pour sécuriser la planification et le déploiement d’AD FS

Fonctionnalités de base de données

Fonctionnalité Prise en charge par la base de données interne Windows ? Prise en charge par SQL Server ? Pour en savoir plus sur cette fonctionnalité
Redondance de base de données simple avec réplication par réception, dans laquelle un ou plusieurs serveurs hébergeant une copie en lecture seule de la base de données demandent des modifications qui sont effectuées sur un serveur source hébergeant une copie en lecture/écriture de la base de données Oui Non Rôle de la base de données de configuration AD FS
Redondance des bases de données à l’aide de solutions de haute disponibilité, telles que le clustering de basculement ou la mise en miroir (au niveau de la couche base de données uniquement) Remarque : toutes les topologies de déploiement AD FS prennent en charge le clustering au niveau de la couche service AD FS. Non Oui Rôle de la base de données de configuration AD FS

Vue d'ensemble des solutions à haute disponibilité

Considérations concernant SQL Server

Vous devez prendre en compte les facteurs suivants si vous choisissez SQL Server comme base de données de configuration pour le déploiement d'AD FS.

  • Fonctionnalités SAML et leur impact sur la taille et sur la croissance de la base de données. Quand la résolution d'artefacts SAML ou la détection de relecture de jetons SAML est activée, AD FS stocke des informations dans la base de données de configuration SQL Server pour chaque jeton AD FS émis. La croissance de la base de données SQL Server qu'entraîne cette activité n'est pas considérée comme significative et dépend de la période de rétention de la relecture de jetons configurée. La taille de chaque enregistrement d'artefact est approximativement de 30 kilo-octets (Ko).

  • Nombre de serveurs nécessaires pour votre déploiement. Vous devrez ajouter au moins un serveur supplémentaire (selon le nombre total de serveurs requis pour déployer votre infrastructure AD FS) qui agira en tant qu’hôte dédié de l’instance de SQL Server. Si vous envisagez d'utiliser le clustering avec basculement ou la mise en miroir pour fournir les fonctionnalités de tolérance de panne et d'extensibilité pour la base de données de configuration SQL Server, au moins deux serveurs SQL sont nécessaires.

Impact du type de base de données de configuration sélectionné sur les ressources matérielles

L'impact sur les ressources matérielles d'un serveur de fédération déployé dans une batterie utilisant la base de données interne Windows n'est pas significatif par rapport à un serveur de fédération déployé dans une batterie utilisant la base de données SQL Server. Toutefois, gardez à l'esprit que quand vous utilisez la base de données interne Windows pour la batterie, chaque serveur de fédération appartenant à celle-ci doit stocker et gérer les changements de réplication pour sa copie locale de la base de données de configuration AD FS tout en effectuant les opérations normales nécessaires au service de fédération.

À l'opposé, les serveurs de fédération déployés dans une batterie qui utilise la base de données SQL Server ne contiennent pas nécessairement une instance locale de la base de données de configuration AD FS. Ils sont donc susceptibles de solliciter un peu moins les ressources matérielles.

Vérification que votre environnement de production peut prendre en charge un déploiement d'AD FS

Outre les serveurs de fédération que vous déploierez, et selon la configuration de votre environnement de production existant, les serveurs supplémentaires suivants peuvent être requis pour permettre à l’infrastructure nécessaire de prendre en charge votre nouveau déploiement AD FS :

  • Contrôleur de domaine Active Directory

  • Autorité de certification

  • Serveur web destiné à héberger les métadonnées de fédération

  • Équilibrage de la charge réseau

Voir aussi

Guide de conception AD FS dans Windows Server 2012