Planification de la capacité des serveurs de fédération

  • Article

La planification de capacité des serveurs de fédération aide à estimer les informations suivantes :

  • Les facteurs qui augmentent la taille de la base de données de configuration AD FS

  • La configuration matérielle requise pour chaque serveur de fédération

  • Le nombre de serveurs de fédération à placer dans chaque organisation

Les serveurs de fédération émettent des jetons de sécurité pour les utilisateurs. Ces jetons sont présentés à une partie de confiance pour être consommés. Les serveurs de fédération émettent des jetons de sécurité après avoir authentifié un utilisateur ou reçu un jeton de sécurité délivré par un service FS (Federation Service) partenaire. Un jeton de sécurité est demandé à un service FS lors de la connexion initiale des utilisateurs à des applications fédérées ou à l’expiration de leurs jetons de sécurité pendant qu’ils accèdent aux applications fédérées.

Les serveurs de fédération sont conçus pour prendre en charge les configurations de batterie de serveurs à haute disponibilité qui utilisent la technologie d’équilibrage de charge réseau (NLB) Microsoft. Les serveurs de fédération d’une configuration de batterie de serveurs peuvent traiter les demandes indépendamment, sans accéder aux composants communs de la batterie de serveurs pour chaque demande. Par conséquent, le scale-out d’un déploiement de serveur de fédération implique peu de surcharge.

Recommandations :

  • Dans le cas des déploiements stratégiques ou haute disponibilité, nous vous recommandons, pour assurer la tolérance de panne, de créer dans chaque organisation partenaire une petite batterie de serveurs de fédération comportant au moins deux serveurs de fédération.

  • Compte tenu des exigences de haute disponibilité et de scalabilité des serveurs de fédération, le scale-out constitue la méthode recommandée pour gérer un nombre élevé de demandes par seconde d’un service FS en particulier. Un scale-up au-delà de la configuration de base indiquée dans ce guide est peu susceptible de produire des gains significatifs en matière de gestion de la capacité.

Taille et croissance de la base de données de configuration AD FS

La taille de la base de données de configuration AD FS est généralement considérée comme petite, et ne constitue en principe pas une considération majeure dans les déploiements AD FS. La taille précise dépend grandement du nombre de relations d’approbation et des métadonnées associées, notamment les revendications, les règles de revendication et les paramètres de surveillance configurés pour chaque approbation. Plus le nombre d’entrées d’approbation augmente dans la base de données de configuration, plus il faut d’espace disque supplémentaire.

Pour plus d’informations sur le déploiement de la base de données de configuration AD FS, consultez Considérations relatives à la topologie de déploiement AD FS.

Mémoire, processeur et espace disque requis

Heureusement, les besoins en mémoire, en processeur et en espace disque sont modestes pour les serveurs de fédération. Ils ne sont pas susceptibles de constituer un facteur déterminant dans les décisions matérielles. Pour plus d’informations sur la configuration matérielle requise, consultez Annexe A : Examen des exigences AD FS.

Remarque

Dans les tests effectués par l’équipe produit AD FS à l’aide d’une batterie de serveurs de fédération configurée avec un serveur SQL Server dédié pour stocker la base de données de configuration AD FS, la charge globale sur le serveur SQL Server avait tendance à rester faible. Dans le cadre d’un test utilisant une batterie de quatre serveurs de fédération configurée pour utiliser un seul serveur SQL Server, l’utilisation du processeur n’a pas dépassé 10 % malgré le fait que les serveurs de fédération ont atteint l’utilisation cible.

Estimer le nombre de serveurs de fédération pour votre organisation

Dans le but de simplifier le processus de planification du matériel pour les serveurs de fédération, l’équipe produit AD FS a développé une feuille de calcul du dimensionnement de la planification de capacité AD FS. Cette feuille de calcul Excel inclut des fonctionnalités de type calculatrice qui, à partir des données d’utilisation attendues que vous fournissez sur les utilisateurs de votre organisation, retourne un nombre optimal recommandé de serveurs de fédération pour votre environnement de production AD FS.

Notes

Le nombre de serveurs de fédération recommandé par cette feuille de calcul s’appuie sur les spécifications matérielles et réseau que l’équipe produit AD FS a utilisées lors des tests. Il doit donc être compris dans ce contexte. Pour plus d’informations sur les spécifications employées pendant les tests, consultez la rubrique Planification de la capacité du serveur AD FS.

Utilisation de la feuille de calcul du dimensionnement de la planification de capacité AD FS

Lorsque vous utilisez cette feuille de calcul, vous devez sélectionner la valeur (40 %, 60 % ou 80 %) qui représente le mieux le pourcentage total d’utilisateurs susceptibles d’envoyer des demandes d’authentification à vos serveurs de fédération pendant les périodes d’utilisation maximale.

Ensuite, vous devez sélectionner la valeur (1 minute, 15 minutes ou 1 heure) qui représente le mieux la durée de la période d’utilisation maximale attendue. Par exemple, vous pouvez estimer à 40 % la valeur du nombre total d’utilisateurs qui se connecteront sur un laps de temps de 15 minutes, ou à 60 % la part de ceux qui se connecteront dans une période d’une heure. Ensemble, ces valeurs définissent le profil de charge maximale à partir duquel sera calculée la recommandation de dimensionnement.

Ensuite, vous devez spécifier le nombre total d’utilisateurs qui auront besoin d’un accès par authentification unique à l’application cible prenant en charge les revendications, selon le type d’utilisateur :

  • Utilisateurs qui se connectent à Active Directory à partir d’un ordinateur local connecté physiquement au réseau d’entreprise (par le biais de l’authentification intégrée Windows)

  • Utilisateurs qui se connectent à Active Directory à distance à partir d’un ordinateur non connecté physiquement au réseau d’entreprise (par le biais de l’authentification intégrée Windows ou du nom d’utilisateur et du mot de passe)

  • Utilisateurs d’une autre organisation qui tentent d’accéder à l’application cible prenant en charge les revendications à partir d’un partenaire approuvé

  • Utilisateurs d’un fournisseur d’identité SAML 2.0 qui tentent d’accéder à l’application cible prenant en charge les revendications

Utilisation de la feuille de calcul

Vous pouvez suivre la procédure ci-dessous pour chaque instance de batterie de serveurs de fédération que vous envisagez de déployer afin de déterminer le nombre recommandé de serveurs de fédération.

  1. Téléchargez, puis ouvrez la feuille de calcul du dimensionnement de la planification de capacité AD FS pour Windows Server 2012 R2 ou la feuille de calcul du dimensionnement de la planification de capacité AD FS pour Windows Server 2016.

  2. Cliquez sur la cellule située à droite de la cellule Pendant la période d’utilisation maximale du système, je m’attends à ce que ce pourcentage d’utilisateurs s’authentifient, puis utilisez les flèches déroulantes pour sélectionner votre niveau estimé d’utilisation du système dans le cadre du déploiement, soit 40 %, 60 % ou 80 %.

  3. Cliquez sur la cellule située à droite de la cellule au cours de la période suivante, puis utilisez les flèches déroulantes pour sélectionner la durée de la charge maximale : 1 minute, 15 minutes ou 1 heure.

  4. Dans la cellule située à droite de la cellule Entrez le nombre estimé d’applications internes (par exemple SharePoint 2007 ou 2010, ou les applications web prenant en charge les revendications), tapez le nombre d’applications internes que vous utiliserez dans votre organisation.

  5. Dans la cellule située à droite de la cellule Entrez le nombre estimé d’applications en ligne (par exemple Office 365 Exchange Online, SharePoint Online ou Lync Online), tapez le nombre d’applications et de services en ligne que vous utiliserez dans votre organisation.

  6. Sous la cellule Nombre d’utilisateurs, tapez un nombre sur chaque ligne applicable à un exemple de scénario d’application auquel vos utilisateurs auront besoin d’accéder par authentification unique. Cette colonne doit contenir le nombre d’utilisateurs définis, et non le nombre maximal d’utilisateurs par seconde. Si les tentatives d’accès à l’application doivent d’abord passer par la page de découverte du domaine d’accueil, tapez Y. Si vous ne savez pas quoi sélectionner, tapez Y.

  7. Passez en revue les valeurs recommandées suivantes fournies :

    1. Pour connaître le nombre total de serveurs de fédération recommandés, reportez-vous à la cellule située en bas à droite, de couleur grise.

    2. Pour connaître le nombre de serveurs recommandés pour chaque exemple de scénario d’application, reportez-vous à la cellule de la ligne de couleur grise.

Remarque

La valeur qui sera automatiquement calculée dans la cellule située à droite de la cellule intitulée Nombre total de serveurs de fédération recommandés en bas de la feuille de calcul contient une formule qui ajoute un tampon supplémentaire de 20 % au total de toutes les valeurs de chacune des lignes qui la précèdent. La formule ajoutée à la cellule Nombre total de serveurs de fédération recommandés ajoute ce tampon au nombre total recommandé de serveurs de fédération déployés, de sorte qu’il soit très improbable que la charge globale de la batterie atteigne son point de saturation.

Voir aussi

Guide de conception AD FS dans Windows Server 2012