Udostępnij przez

Rozszerzanie lokalnych usług Active Directory Federation Services na platformę Azure

Azure Load Balancer
Microsoft Entra
Tożsamość Microsoft Entra

Ta architektura referencyjna implementuje bezpieczną sieć hybrydową, która rozszerza sieć lokalną na platformę Azure i używa usług Active Directory Federation Services (AD FS) do przeprowadzania uwierzytelniania federacyjnego i autoryzacji składników działających na platformie Azure.

Architecture

Diagram przedstawiający przykład bezpiecznej architektury sieci hybrydowej z usługami AD FS.

Pobierz plik programu Visio z tą architekturą.

Workflow

Poniższy przepływ pracy odpowiada poprzedniemu diagramowi:

  • Podsieć usług Active Directory Domain Services (AD DS): Serwery usług AD DS znajdują się we własnej podsieci, w której reguły sieciowej grupy zabezpieczeń pełnią rolę zapory.

  • Serwery usług AD DS: Kontrolery domeny, które działają jako maszyny wirtualne na platformie Azure. Te serwery zapewniają uwierzytelnianie tożsamości lokalnych w domenie.

  • Podsieć usług AD FS: Serwery usług AD FS znajdują się we własnej podsieci i używają reguł sieciowej grupy zabezpieczeń jako zapory.

  • Serwery usług AD FS: Serwery usług AD FS zapewniają autoryzację federacyjną i uwierzytelnianie. W ramach tej architektury wykonują następujące zadania:

    • Odbieraj tokeny zabezpieczające zawierające oświadczenia zgłoszone przez serwer federacyjny partnera w imieniu użytkownika partnera. Usługi AD FS sprawdza, czy tokeny są prawidłowe przed przekazaniem oświadczeń do aplikacji internetowej działającej na platformie Azure w celu autoryzowania żądań.

      Aplikacja działająca na platformie Azure jest znana jako jednostka uzależniona. Serwer federacyjny partnera musi wystawiać oświadczenia, że aplikacja internetowa rozumie. Serwery federacyjne partnerów są nazywane partnerami kont , ponieważ przesyłają żądania dostępu w imieniu uwierzytelnionych kont w organizacji partnerskiej. Serwery usług AD FS są nazywane partnerami zasobów , ponieważ zapewniają dostęp do zasobów (aplikacji internetowej).

    • Uwierzytelnianie i autoryzacja żądań przychodzących od użytkowników zewnętrznych korzystających z przeglądarki internetowej lub urządzenia wymagającego dostępu do aplikacji internetowych przy użyciu usług AD DS i usługi rejestracji urządzeń w usłudze Active Directory (DRS).

    Serwery usług AD FS są konfigurowane jako farmy, do których dostęp jest uzyskiwany za pośrednictwem modułu równoważenia obciążenia platformy Azure. Ta implementacja zwiększa dostępność i skalowalność. Serwery usług AD FS nie są widoczne bezpośrednio w Internecie. Cały ruch internetowy jest filtrowany za pośrednictwem serwerów proxy aplikacji internetowej usług AD FS (WAP) i strefy zdemilitaryzowanej (DMZ), znanej również jako sieć obwodowa.

    Aby uzyskać więcej informacji, zobacz Omówienie usług AD FS.

  • Podsieć serwera proxy usług AD FS: Serwery proxy usług AD FS mogą być zawarte w ich własnej podsieci i używać reguł sieciowej grupy zabezpieczeń w celu ochrony. Serwery w tej podsieci są uwidocznione w Internecie za pośrednictwem zestawu wirtualnych urządzeń sieciowych, które zapewniają zaporę między siecią wirtualną platformy Azure a Internetem.

  • Serwery WAP usług AD FS: Te maszyny wirtualne służą jako serwery usług AD FS dla żądań przychodzących od organizacji partnerskich i urządzeń zewnętrznych. Serwery WAP działają jako filtr, który chroni serwery usług AD FS z bezpośredniego dostępu z Internetu. Podobnie jak w przypadku serwerów usług AD FS wdrażanie serwerów WAP w farmie z równoważeniem obciążenia zapewnia większą dostępność i skalowalność niż wdrażanie kolekcji serwerów autonomicznych. Aby uzyskać więcej informacji, zobacz Instalowanie i konfigurowanie serwera WAP.

  • Organizacja partnerska: Organizacja partnerska uruchamia aplikację internetową, która żąda dostępu do aplikacji internetowej działającej na platformie Azure. Serwer federacyjny w organizacji partnerskiej uwierzytelnia żądania lokalnie i przesyła tokeny zabezpieczające zawierające oświadczenia do usług AD FS uruchomionych na platformie Azure. Usługi AD FS na platformie Azure weryfikują tokeny zabezpieczające. Jeśli tokeny są prawidłowe, usługi AD FS mogą przekazać oświadczenia do aplikacji internetowej działającej na platformie Azure, aby je autoryzować.

    Note

    Możesz również skonfigurować tunel VPN przy użyciu bramy platformy Azure w celu zapewnienia bezpośredniego dostępu do usług AD FS dla zaufanych partnerów. Żądania otrzymane od tych partnerów nie przechodzą przez serwery WAP.

Components

Ta architektura rozszerza implementację opisaną w temacie Wdrażanie usług AD DS w sieci wirtualnej platformy Azure. Zawiera on następujące składniki:

  • Podsieć usług AD DS to obiekt, który mapuje zakres adresów IP na lokację. To mapowanie umożliwia kontrolerom domeny efektywne bezpośrednie uwierzytelnianie i replikację na podstawie lokalizacji sieciowej klienta.

  • Serwery usług AD DS to kontrolery domeny hostujące usługi Active Directory Domain Services. Zapewniają scentralizowane uwierzytelnianie, wymuszanie zasad i replikację danych katalogu w sieciach przedsiębiorstwa.

  • Podsieć usług AD FS jest zdefiniowanym zakresem adresów IP w sieci lub infrastrukturze wirtualnej, która hostuje serwery usług AD FS lub serwery WAP. Ten zakres adresów IP umożliwia bezpieczny przepływ ruchu i uwierzytelnianie z obsługą lokacji.

  • Serwery usług AD FS to wewnętrzne serwery federacyjne, które wystawiają tokeny zabezpieczające i obsługują żądania uwierzytelniania przy użyciu protokołów tożsamości opartych na oświadczeniach.

  • Podsieć serwera proxy usług AD FS jest segmentem sieci, zwykle w strefie DMZ, który hostuje serwery WAP. Umożliwia bezpieczny przekaźnik ruchu uwierzytelniania zewnętrznego do wewnętrznych serwerów usług AD FS.

  • Serwery WAP usług AD FS to odwrotne serwery proxy wdrożone w sieciach obwodowych, które wstępnie uwierzytelniają żądania użytkowników zewnętrznych i bezpiecznie przesyłają je do usług AD FS w celu uzyskania dostępu federacyjnego.

Szczegóły scenariusza

Usługi AD FS mogą być hostowane lokalnie, ale jeśli aplikacja jest hybrydą, w której niektóre części są implementowane na platformie Azure, może być bardziej wydajne replikowanie usług AD FS w chmurze.

Na poprzednim diagramie przedstawiono następujące scenariusze:

  • Kod aplikacji z organizacji partnerskiej uzyskuje dostęp do aplikacji internetowej hostowanej w sieci wirtualnej platformy Azure.

  • Zewnętrzny, zarejestrowany użytkownik z poświadczeniami przechowywanymi w usługach Active Directory Domain Services (AD DS) uzyskuje dostęp do aplikacji internetowej hostowanej w sieci wirtualnej platformy Azure.

  • Użytkownik połączony z siecią wirtualną przy użyciu autoryzowanego urządzenia uruchamia aplikację internetową hostowaną w sieci wirtualnej platformy Azure.

Ta architektura referencyjna koncentruje się na federacji pasywnej, w której serwery federacyjne decydują, jak i kiedy uwierzytelnić użytkownika. Użytkownik udostępnia informacje logowania podczas uruchamiania aplikacji. Ten mechanizm jest najczęściej używany przez przeglądarki internetowe i dotyczy protokołu, który przekierowuje przeglądarki do strony, na której użytkownik jest uwierzytelniany. Usługi AD FS obsługują również aktywną federację, gdzie aplikacja przejmuje odpowiedzialność za dostarczanie poświadczeń bez dalszej interakcji użytkownika, ale ten scenariusz wykracza poza zakres tej architektury.

Aby zapoznać się z innymi zagadnieniami, zobacz Integrowanie lokalnych domen usługi Active Directory z identyfikatorem Entra firmy Microsoft.

Potencjalne przypadki użycia

Przykładowe typowe zastosowania tej architektury:

  • Aplikacje hybrydowe, w których obciążenia są uruchamiane częściowo lokalnie i częściowo na platformie Azure.

  • Rozwiązania używające federacyjnej autoryzacji do obsługi aplikacji internetowych na potrzeby organizacji partnerskich.

  • Systemy, które obsługują dostęp z poziomu przeglądarek internetowych działających poza zaporą używaną w organizacji.

  • Systemy, które umożliwiają użytkownikom na dostęp do aplikacji internetowych poprzez nawiązanie połączenia z autoryzowanych urządzeń zewnętrznych, takich jak komputery zdalne i inne urządzenia przenośne.

Recommendations

Poniższe zalecenia można zastosować do większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.

Zalecenia dotyczące sieci

Skonfiguruj interfejs sieciowy dla każdej maszyny wirtualnej hostujących usługi AD FS i serwery WAP, które mają statyczne prywatne adresy IP.

Nie udostępniaj publicznych adresów IP maszyn wirtualnych usług AD FS. Aby uzyskać więcej informacji, zobacz sekcję Zagadnienia dotyczące zabezpieczeń .

Ustaw adres IP preferowanych i pomocniczych serwerów usługi nazw domen (DNS) dla interfejsów sieciowych dla każdego usług AD FS i maszyny wirtualnej WAP, aby odwoływać się do maszyn wirtualnych usług AD DS. Maszyny wirtualne usług AD DS powinny mieć uruchomiony system DNS. Ten krok jest niezbędny, aby umożliwić dołączenie poszczególnych maszyn wirtualnych do domeny.

Instalowanie usług AD FS

Artykuł Wdrażanie farmy serwerów federacyjnych zawiera szczegółowe instrukcje dotyczące sposobu instalowania i konfigurowania usług AD FS. Przed skonfigurowaniem pierwszego serwera usług AD FS w farmie wykonaj następujące zadania:

  1. Uzyskać publicznie zaufany certyfikat w celu przeprowadzenia uwierzytelniania serwera. Nazwa podmiotu musi zawierać nazwę używaną przez klientów w celu uzyskania dostępu do usługi federacyjnej. Ten identyfikator może być nazwą DNS zarejestrowaną dla modułu równoważenia obciążenia, taką jak adfs.contoso.com. Unikaj używania nazw symboli wieloznacznych, takich jak *.contoso.com ze względów bezpieczeństwa. Użyj tego samego certyfikatu na wszystkich maszynach wirtualnych serwera usług AD FS. Możesz kupić certyfikat z zaufanego urzędu certyfikacji, ale jeśli organizacja korzysta z usług certyfikatów Active Directory, możesz utworzyć własny.

    Usługa DRS używa alternatywnej nazwy podmiotu , aby umożliwić dostęp z urządzeń zewnętrznych. Ta nazwa DNS powinna być zgodna z formatem enterpriseregistration.contoso.com.

    Aby uzyskać więcej informacji, zobacz Uzyskiwanie i konfigurowanie certyfikatu secure Sockets Layer dla usług AD FS.

  2. Na kontrolerze domeny wygeneruj nowy klucz główny dla usługi dystrybucji kluczy (KDS). Ustaw czas obowiązywania na bieżący czas minus 10 godzin. Ta konfiguracja zmniejsza opóźnienie, które może wystąpić podczas dystrybucji i synchronizowania kluczy w domenie. Ten krok jest niezbędny do obsługi tworzenia konta usługi grupy używanego do uruchamiania usługi AD FS. Następujące polecenie programu PowerShell pokazuje, jak wygenerować nowy klucz główny KDS z przesunięciem czasu:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

  3. Dodaj wszystkie maszyny wirtualne serwera usług AD FS do domeny.

Note

Aby zainstalować usługi AD FS, kontroler domeny, na którym działa podstawowa emulator domeny elastycznej roli operacji głównej dla domeny, musi być uruchomiony i dostępny z maszyn wirtualnych usług AD FS.

Relacja zaufania usług AD FS

Ustanów relację zaufania federacji między instalacją usług AD FS a serwerami federacyjnymi wszystkich organizacji partnerskich. Skonfiguruj wszystkie wymagane oświadczenia filtrowania i mapowania.

  • Pracownicy działu DevOps w każdej organizacji partnerskiej muszą dodać zaufane relacje jednostki uzależnionej dla aplikacji internetowych, do których można uzyskać dostęp za pośrednictwem serwerów usług AD FS.

  • Pracownicy działu DevOps w Twojej organizacji muszą skonfigurować zaufanie dostawcy oświadczeń, aby serwery usług AD FS mogły zaufać oświadczeniom dostarczanym przez organizacje partnerskie.

  • Pracownicy działu DevOps w Twojej organizacji muszą również skonfigurować usługi AD FS w celu przekazywania oświadczeń do aplikacji internetowych organizacji.

Aby uzyskać więcej informacji, zobacz Ustanawianie relacji zaufania federacji.

Opublikuj aplikacje internetowe swojej organizacji i udostępnij je partnerom zewnętrznym przy użyciu wstępnego uwierzytelniania serwerów WAP. Aby uzyskać więcej informacji, zobacz Publikowanie aplikacji przy użyciu wstępnego uwierzytelniania usług AD FS.

Usługi AD FS obsługują transformację i rozszerzenia tokenu. Identyfikator Entra firmy Microsoft nie udostępnia tej funkcji. Za pomocą usług AD FS podczas konfigurowania relacji zaufania można wykonać następujące zadania:

  • Skonfigurować przekształcenia oświadczeń dla reguł autoryzacji. Na przykład można mapować zabezpieczenia grupy z reprezentacji używanej przez organizację partnerów firmy innej niż Microsoft na coś, co usługi AD DS mogą autoryzować w organizacji.

  • Przekształcić oświadczenia z jednego formatu na inny. Można na przykład mapować z języka SAML 2.0 na język SAML 1.1, jeśli Twoja aplikacja obsługuje wyłącznie oświadczenia języka SAML 1.1.

Monitorowanie usług AD FS

Pakiet administracyjny programu Microsoft System Center dla usług AD FS 2012 R2 zapewnia aktywne i reaktywne monitorowanie wdrożenia usług AD FS dla serwera federacyjnego. Ten pakiet administracyjny monitoruje następujące aspekty wdrożenia usług AD FS:

  • Zdarzenia rejestrowane przez usługę AD FS w dziennikach zdarzeń

  • Dane wydajności zbierane przez liczniki wydajności usług AD FS

  • Ogólna kondycja systemu usług AD FS i aplikacji internetowych (jednostek uzależnionych) i dla krytycznych problemów i ostrzeżeń

Inną opcją jest monitorowanie usług AD FS przy użyciu programu Microsoft Entra Connect Health. Program Connect Health zapewnia monitorowanie lokalnej infrastruktury tożsamości. Umożliwia utrzymanie niezawodnego połączenia z usługami online platformy Microsoft 365 i firmy Microsoft. Zapewnia to niezawodność, zapewniając możliwości monitorowania kluczowych składników tożsamości. Sprawia również, że kluczowe punkty danych dotyczące tych składników są dostępne.

Considerations

Te zagadnienia obejmują implementację filarów platformy Azure Well-Architected Framework, która jest zestawem wytycznych, których można użyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Well-Architected Framework.

Reliability

Niezawodność pomaga zapewnić, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz Design review checklist for Reliability(Lista kontrolna dotycząca niezawodności).

Utwórz farmę usług AD FS z co najmniej dwoma serwerami, aby zwiększyć dostępność usługi. Użyj różnych kont magazynu dla każdej maszyny wirtualnej usług AD FS w farmie. Takie podejście pomaga zagwarantować, że awaria na jednym koncie magazynu nie sprawi, że cała farma będzie niedostępna.

Utwórz oddzielne zestawy dostępności platformy Azure dla maszyn wirtualnych usług AD FS i WAP. Upewnij się, że w każdym zestawie istnieją co najmniej dwie maszyny wirtualne. Każdy zestaw dostępności musi mieć co najmniej dwie domeny aktualizacji i dwie domeny błędów.

Skonfiguruj moduły równoważenia obciążenia dla maszyn wirtualnych usług AD FS i maszyn wirtualnych WAP, wykonując następujące czynności:

  • Użyj modułu równoważenia obciążenia platformy Azure, aby zapewnić zewnętrzny dostęp do maszyn wirtualnych WAP i wewnętrznego modułu równoważenia obciążenia w celu rozłożenia obciążenia między serwery usług AD FS w farmie.

  • Przekaż tylko ruch wyświetlany na porcie 443 (HTTPS) do serwerów usług AD FS lub WAP.

  • Przypisz statyczny adres IP do modułu równoważenia obciążenia.

  • Utwórz sondę kondycji przy użyciu protokołu HTTP względem /adfs/probe. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowej sondy kondycji HTTP/HTTPS dla usługi Azure Load Balancer.

    Note

    Serwery usług AD FS używają protokołu oznaczania nazwy serwera, co powoduje niepowodzenie sond punktów końcowych HTTPS z modułu równoważenia obciążenia.

  • Dodaj rekord DNS A do domeny dla modułu równoważenia obciążenia usług AD FS. Określ adres IP modułu równoważenia obciążenia i nadaj mu nazwę w domenie, na przykład adfs.contoso.com. Ten rekord DNS jest nazwą, która jest używana przez klientów i serwery WAP do uzyskiwania dostępu do farmy serwerów usług AD FS.

Do przechowywania informacji o konfiguracji usług AD FS możesz używać zarówno usługi SQL Server, jak i wewnętrznej bazy danych systemu Windows. Wewnętrzna baza danych systemu Windows zapewnia podstawową nadmiarowość. Zmiany są zapisywane bezpośrednio w tylko jednej z baz danych usług AD FS klastra AD FS, podczas gdy inne serwery w celu zachowania aktualności swoich baz danych używają replikacji puli. Za pomocą programu SQL Server można zapewnić pełną nadmiarowość bazy danych i wysoką dostępność przy użyciu klastra trybu failover lub dublowania.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nieprawidłowym użyciem cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotyczącazabezpieczeń.

Usługi AD FS używają protokołu HTTPS, dlatego upewnij się, że reguły sieciowej grupy zabezpieczeń dla podsieci zawierającej maszyny wirtualne warstwy internetowej zezwalają na żądania HTTPS. Te żądania mogą pochodzić z sieci lokalnej, podsieci, które zawierają warstwę internetową, warstwę biznesową, warstwę danych, prywatną strefę DMZ, publiczną strefę DMZ i podsieć zawierającą serwery usług AD FS.

Zapobiegaj bezpośredniemu narażeniu serwerów usług AD FS na Internet. Serwery usług AD FS to komputery przyłączone do domeny, które mają pełną autoryzację do przydzielania tokenów zabezpieczających. Jeśli serwer zostanie naruszony, złośliwy użytkownik może wystawić tokeny pełnego dostępu do wszystkich aplikacji internetowych i wszystkich serwerów federacyjnych chronionych przez usługi AD FS. Jeśli system musi obsługiwać żądania od gości, którzy nie łączą się z zaufanych witryn partnerskich, użyj serwerów WAP do obsługi tych żądań. Aby uzyskać więcej informacji, zobacz Gdzie umieścić federacyjny serwer proxy.

Umieść serwery usług AD FS i serwery WAP w oddzielnych podsieciach, które mają własne zapory. Do zdefiniowania reguł zapory możesz użyć reguł sieciowej grupy zabezpieczeń. Wszystkie zapory powinny zezwalać na ruch na porcie 443 (HTTPS).

Ogranicz bezpośredni dostęp do logowania do serwerów usług AD FS i WAP. Tylko pracownicy działu DevOps powinni mieć możliwość nawiązania połączenia. Nie dołączaj serwerów WAP do domeny.

Rozważ użycie zestawu wirtualnych urządzeń sieciowych, które rejestrują szczegółowe informacje o ruchu przechodzącym przez krawędź sieci wirtualnej do celów inspekcji.

Optymalizacja kosztów

Optymalizacja kosztów koncentruje się na sposobach zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dlaoptymalizacji kosztów.

Usługi domenowe Microsoft Entra

Rozważ użycie usług Microsoft Entra Domain Services jako usługi udostępnionej, z której korzysta wiele obciążeń, aby obniżyć koszty. Aby uzyskać więcej informacji, zobacz Cennik usług Domain Services.

AD FS

Aby uzyskać informacje o wersjach zapewnianych przez firmę Microsoft Entra ID, zobacz cennik firmy Microsoft Entra. Funkcja usług AD FS jest dostępna we wszystkich wersjach.

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca doskonałości operacyjnej.

Pracownicy działu DevOps powinni być przygotowani do wykonywania następujących zadań:

  • Zarządzanie serwerami federacyjnymi, w tym zarządzanie farmą usług AD FS, zarządzanie zasadami zaufania na serwerach federacyjnych i zarządzanie certyfikatami używanymi przez usługi federacyjne

  • Zarządzanie serwerami WAP, w tym zarządzanie farmą i certyfikatami WAP

  • Zarządzanie aplikacjami internetowymi, w tym konfigurowanie jednostek uzależnionych, metod uwierzytelniania i mapowań oświadczeń

  • Tworzenie kopii zapasowych składników usług AD FS

Aby zapoznać się z innymi zagadnieniami dotyczącymi metodyki DevOps, zobacz Wdrażanie usług AD DS w sieci wirtualnej platformy Azure.

Efektywność operacyjna

Wydajność odnosi się do możliwości skalowania obciążenia w celu efektywnego zaspokojenia wymagań użytkowników. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu pod kątem wydajności.

Przedstawione poniżej zagadnienia, podsumowane w artykule Planowanie wdrożenia usług AD FS, stanowią punkt wyjścia do analizy rozmiarów farm usług AD FS:

  • Jeśli masz mniej niż 1000 użytkowników, nie twórz dedykowanych serwerów. Zamiast tego zainstaluj usługi AD FS na każdym z serwerów usług AD DS w chmurze. Upewnij się, że masz co najmniej dwa serwery usług AD DS, aby zachować dostępność. Utwórz pojedynczy serwer WAP.

  • Jeśli masz od 1000 do 15 000 użytkowników, utwórz dwa dedykowane serwery usług AD FS i dwa dedykowane serwery WAP.

  • Jeśli masz od 15 000 do 60 000 użytkowników, utwórz od trzech do pięciu dedykowanych serwerów usług AD FS i co najmniej dwóch dedykowanych serwerów WAP.

W tych zagadnieniach założono, że używasz dwóch czterordzeniowych maszyn wirtualnych (w warstwie Standardowa D4_v2 lub lepszej) na platformie Azure.

Jeśli używasz wewnętrznej bazy danych systemu Windows do przechowywania danych konfiguracji usług AD FS, możesz ograniczyć do ośmiu serwerów usług AD FS w farmie. Jeśli uważasz, że w przyszłości może być potrzebnych więcej, użyj programu SQL Server. Aby uzyskać więcej informacji, zobacz Rola bazy danych konfiguracji usług AD FS.

Contributors

Firma Microsoft utrzymuje ten artykuł. Następujący współautorzy napisali ten artykuł.

Główny autor:

Aby wyświetlić niepubliczne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Dalsze kroki