フェデレーション サーバー プロキシのキャパシティ プランニング
フェデレーション サーバー プロキシのキャパシティ プランニングでは、次のことを推定することができます。
各フェデレーション サーバー プロキシの適切なハードウェア要件。
各組織に配置するフェデレーション サーバーとフェデレーション サーバー プロキシの数。
フェデレーション サーバー プロキシは、企業ネットワーク内の保護されたフェデレーション サーバーからフェデレーション ユーザーにセキュリティ トークンをリダイレクトします。 フェデレーション サーバー プロキシを展開する目的は、外部ユーザーがフェデレーション サーバーに接続できるようにすることです。 実際には、トークンに署名したり、AD FS 構成データベースのデータに書き込んだりすることはありません。 そのため、フェデレーション サーバー プロキシのハードウェア要件は、通常、フェデレーション サーバーのハードウェア要件を下回っています。
フェデレーション サーバー プロキシに対する要求はすべて、フェデレーション サーバーまたはフェデレーション サーバー ファームに要求されるため、フェデレーション サーバーとフェデレーション サーバー プロキシのキャパシティ プランニングは並列で実行する必要があります。
フェデレーション サーバー プロキシの 1 秒あたりのピーク時のサインイン数を推定するには、フェデレーション サーバー プロキシ経由でサインインするフェデレーション ユーザーの使用パターンを理解している必要があります。 多くの展開では、フェデレーション サーバー プロキシを使用してサインインするフェデレーション ユーザーは、インターネット上に存在します。 AD FS によって保護される既存の Web アプリケーションで、これらのフェデレーション ユーザーの使用パターンを確認することで、1秒あたりのピーク時のサインイン数を推定できます。
注意
運用環境のデプロイでは、展開する各フェデレーション サーバー ファーム インスタンスに対して、少なくとも 2 つのフェデレーション サーバー プロキシを使用することをお勧めします。
組織に必要なフェデレーション サーバー プロキシの数を推定する
必要な AD FS フェデレーション サーバー プロキシ コンピューターの数を推定するには、まず、組織に展開するフェデレーション サーバーの合計数を決定する必要があります。 この方法の詳細については、「フェデレーション サーバーのキャパシティ プランニング」を参照してください。
フェデレーション サーバーの数を決定したら、このサーバーの数を、(企業ネットワークの外部にある) 外部ユーザーから予想される受信フェデレーション認証要求の割合 (%) で乗算します。 この計算の値によって、外部ユーザーに対する受信認証要求を処理するフェデレーション サーバー プロキシの推定数が示されます。
たとえば、推奨されるフェデレーション サーバーの数が 3 で、外部ユーザーからの認証要求の合計数が、フェデレーション認証要求の合計数の約 60% であることが予想される場合、計算は 1.8 (3 X .60) と等しくなります。これは、2 に切り上げることができます。 この場合、3 つのフェデレーション サーバーに対する外部ユーザー認証要求の負荷に対応するために、2 つのフェデレーション サーバー プロキシ コンピューターを展開する必要があります。
AD FS 製品チームによって実行されるテストでは、各フェデレーション サーバー プロキシの全体的な CPU 使用率が、同じファームのフェデレーション サーバーで確認された CPU 使用率を大幅に下回っていることがわかりました。 1 つのテストでは、1 つのフェデレーション サーバー CPU が完全に飽和状態であることを示していましたが、同じファームに対してプロキシ サービスを提供しているフェデレーション サーバー プロキシの CPU の使用率は 20% のみでした。 したがって、このテストでは、フェデレーション サーバー プロキシの CPU の負荷が、このセクションで前述した同様のハードウェア仕様を使用していると、約 3 台のフェデレーション サーバーの処理負荷を適切に処理できることが明らかになりました。
ただし、フォールト トレランスのためには、展開する各フェデレーション サーバー ファームに対して、少なくとも 2 つのフェデレーション サーバー プロキシを使用することをお勧めします。