Batterie de serveurs de fédération utilisant la base de données interne Windows
La topologie par défaut pour Services ADFS (AD FS) est une batterie de serveurs de fédération, utilisant le Base de données interne Windows (WID), qui se compose de cinq serveurs de fédération maximum hébergeant le service de fédération de votre organisation. Dans cette topologie, les services AD FS utilisent la base de données interne Windows comme magasin pour la base de données de configuration AD FS pour tous les serveurs de fédération membres de la batterie. La batterie réplique et maintient les données du service de fédération de la base de données de configuration à travers chaque serveur de la batterie.
La création du premier serveur de fédération d’une batterie consiste aussi à créer un nouveau service de fédération. Quand vous utilisez la base de données interne Windows (WID) comme base de données de configuration AD FS, le premier serveur de fédération que vous créez dans la batterie est appelé serveur de fédération principal. Cela signifie que cet ordinateur est configuré avec une copie en lecture/écriture de la base de données de configuration AD FS.
Tous les autres serveurs de fédération que vous configurez pour cette batterie sont désignés comme serveurs de fédération secondaires, car ils doivent répliquer les changements apportés sur le serveur de fédération principal dans leurs copies en lecture seule de la base de données de configuration AD FS qu’ils stockent localement.
Remarque
Il est recommandé d’utiliser au moins deux serveurs de fédération dans une configuration à équilibrage de charge.
Points à prendre en considération pour le déploiement
Cette section décrit différentes considérations relatives à l’audience visée, aux avantages et aux limitations associés à cette topologie de déploiement.
À qui s’adresse cette topologie ?
Organisations avec 100 relations d’approbation configurées ou moins qui ont besoin de fournir à leurs utilisateurs internes (connectés à des ordinateurs physiquement connectés au réseau d’entreprise) un accès par authentification unique (SSO) aux applications ou services fédérés
Organisations qui souhaitent fournir à leurs utilisateurs internes un accès SSO à Microsoft Online Services ou Microsoft Office 365
Plus petites organisations qui ont besoin de services redondants et évolutifs
Notes
Les organisations avec des bases de données plus volumineuses doivent envisager d’utiliser la batterie de serveurs de fédération à l’aide de la topologie de déploiement SQL Server, qui est décrite plus loin dans cette section. Les organisations dont les utilisateurs se connectent depuis l’extérieur du réseau doivent envisager d’utiliser la topologie Batterie de serveurs de fédération utilisant la base de données interne Windows et des proxys ou la topologie Batterie de serveurs de fédération utilisant SQL Server.
Quels sont les avantages de l’utilisation de cette topologie ?
Fourniture d’accès SSO aux utilisateurs internes
Redondance du service de données et de fédération (chaque serveur de fédération réplique les modifications apportées aux autres serveurs de fédération dans la même batterie de serveurs)
La batterie de serveurs peut être mise à l’échelle en ajoutant jusqu’à cinq serveurs de fédération
WID incluse dans Windows, donc aucun besoin d’acheter SQL Server
Quelles sont les limitations de l’utilisation de cette topologie ?
Une batterie de serveurs WID a une limite de 30 serveurs de fédération. Pour plus d'informations, consultez Considérations sur la topologie du déploiement d'AD FS.
Une batterie WID ne prend pas en charge la détection des relectures de jetons ni la résolution d’artefacts (qui font partie du protocole SAML (Security Assertion Markup Language)).
Recommandations relatives au positionnement des serveurs et à la disposition réseau
Lorsque vous êtes prêt à démarrer le déploiement de cette topologie sur votre réseau, vous devez prévoir de placer tous les serveurs de fédération dans votre réseau d’entreprise derrière un hôte d’équilibrage de charge réseau (NLB) pouvant être configuré pour un cluster NLB avec un nom DNS (Domain Name System) de cluster et une adresse IP de cluster dédiés.
Notes
Ce nom DNS de cluster doit correspondre au nom du service de fédération, par exemple, fs.fabrikam.com.
L’hôte NLB peut utiliser les paramètres définis dans ce cluster NLB pour allouer les demandes clientes aux serveurs de fédération individuels. L’illustration suivante montre comment la société fictive Fabrikam, Inc. configure la première phase de son déploiement à l’aide d’une batterie de serveurs de fédération comprenant deux ordinateurs (fs1 et fs2) avec la base de données interne Windows (WID), le positionnement d’un serveur DNS et un hôte NLB unique câblé au réseau d’entreprise.
Note
En cas de défaillance sur cet hôte NLB unique, les utilisateurs ne peuvent pas accéder aux applications ou services fédérés. Ajoutez de nouveaux hôtes NLB si vos contraintes d’entreprise ne vous autorisent pas à avoir un seul point de défaillance.
Pour plus d’informations sur la configuration de votre environnement de mise en réseau à utiliser avec des serveurs de fédération, consultez Configuration requise pour la résolution des noms pour les serveurs de fédération dans le Guide de conception AD FS.