Compartilhar via

Estender os Serviços de Federação do Active Directory local para o Azure

Azure Load Balancer
Microsoft Entra
Microsoft Entra ID

Essa arquitetura de referência implementa uma rede híbrida segura que estende sua rede local para o Azure e usa o AD FS (Serviços de Federação do Active Directory) para executar autenticação federada e autorização para componentes executados no Azure.

Architecture

Diagrama que mostra um exemplo de uma arquitetura de rede híbrida segura com o AD FS.

Baixe um Arquivo Visio dessa arquitetura.

Workflow

O fluxo de dados a seguir corresponde ao diagrama anterior:

  • Sub-rede do AD DS (Active Directory Domain Services): Os servidores do AD DS estão contidos em sua própria sub-rede em que as regras do NSG (grupo de segurança de rede) servem como um firewall.

  • Servidores do AD DS: Controladores de domínio executados como VMs (máquinas virtuais) no Azure. Esses servidores fornecem autenticação de identidades locais dentro do domínio.

  • Sub-rede do AD FS: Os servidores do AD FS estão localizados em sua própria sub-rede e usam regras NSG como um firewall.

  • Servidores do AD FS: Os servidores do AD FS fornecem autorização e autenticação federadas. Nessa arquitetura, eles executam as seguintes tarefas:

    • Receba tokens de segurança que contêm declarações feitas por um servidor de federação de parceiros em nome de um usuário parceiro. O AD FS verifica se os tokens são válidos antes de passar as declarações para o aplicativo Web em execução no Azure para autorizar solicitações.

      O aplicativo executado no Azure é conhecido como a terceira parte confiável. O servidor de federação do parceiro deve emitir declarações que o aplicativo Web entende. Os servidores de federação de parceiros são conhecidos como parceiros de conta porque enviam solicitações de acesso em nome de contas autenticadas na organização parceira. Os servidores do AD FS são conhecidos como parceiros de recursos porque fornecem acesso aos recursos (o aplicativo Web).

    • Autentique e autorize solicitações de entrada de usuários externos que executam um navegador da Web ou dispositivo que precisa de acesso a aplicativos Web usando o AD DS e o DRS (serviço de registro de dispositivo) do Active Directory.

    Os servidores do AD FS são configurados como um farm acessado por meio de um Azure Load Balancer. Essa implementação melhora a disponibilidade e escalabilidade. Os servidores do AD FS não são expostos diretamente à Internet. Todo o tráfego de Internet é filtrado por meio de servidores WAP (proxy de aplicativo Web) do AD FS e uma zona desmilitarizada (DMZ), também conhecida como uma rede de perímetro.

    Para obter mais informações, consulte a visão geral do AD FS.

  • Sub-rede proxy do AD FS: Os servidores proxy do AD FS podem ser contidos em sua própria sub-rede e usar regras NSG para proteção. Os servidores nessa sub-rede são expostos à Internet por meio de um conjunto de dispositivos virtuais de rede que fornecem um firewall entre sua rede virtual do Azure e a Internet.

  • Servidores WAP do AD FS: Essas VMs servem como servidores do AD FS para solicitações de entrada de organizações parceiras e dispositivos externos. Os servidores WAP atuam como um filtro que protege os servidores do AD FS do acesso direto da Internet. Assim como acontece com os servidores do AD FS, implantar os servidores WAP em um farm com balanceamento de carga oferece maior disponibilidade e escalabilidade do que implantar uma coleção de servidores autônomos. Para obter mais informações, consulte Instalar e configurar o servidor WAP.

  • Organização de parceiros: Uma organização parceira executa um aplicativo Web que solicita acesso a um aplicativo Web em execução no Azure. O servidor de federação na organização parceira autentica as solicitações localmente e envia tokens de segurança que contêm declarações para o AD FS em execução no Azure. O AD FS no Azure valida os tokens de segurança. Se os tokens forem válidos, o AD FS poderá passar as declarações para o aplicativo Web em execução no Azure para autorizá-los.

    Note

    Você também pode configurar um túnel VPN usando um gateway do Azure para fornecer acesso direto ao AD FS para parceiros confiáveis. As solicitações recebidas desses parceiros não passam pelos servidores WAP.

Components

Essa arquitetura estende a implementação descrita em Implantar o AD DS em uma rede virtual do Azure. Ele contém os seguintes componentes:

  • Uma sub-rede do AD DS é um objeto que mapeia um intervalo de endereços IP para um site. Esse mapeamento permite que os controladores de domínio direcionem com eficiência a autenticação e a replicação com base no local de rede de um cliente.

  • Os servidores AD DS são controladores de domínio que hospedam o Active Directory Domain Services. Eles fornecem autenticação centralizada, imposição de política e replicação de dados de diretório em redes empresariais.

  • Uma sub-rede do AD FS é um intervalo de endereços IP definido na rede ou na infraestrutura virtual que hospeda servidores AD FS ou servidores WAP. Esse intervalo de endereços IP permite o fluxo de tráfego seguro e a autenticação com reconhecimento de site.

  • Os servidores do AD FS são servidores de federação internos que emitem tokens de segurança e lidam com solicitações de autenticação usando protocolos de identidade baseados em declarações.

  • Uma sub-rede proxy do AD FS é um segmento de rede, normalmente em um DMZ, que hospeda servidores WAP. Ele permite a retransmissão segura do tráfego de autenticação externa para servidores internos do AD FS.

  • Os servidores WAP do AD FS são servidores proxy reverso implantados em redes de perímetro que pré-autenticam solicitações de usuário externo e os encaminham com segurança para o AD FS para acesso federado.

Detalhes do cenário

O AD FS poderá ser hospedado localmente, mas se o aplicativo for um híbrido com algumas partes implementadas no Azure, pode ser mais eficiente replicar o AD FS na nuvem.

O diagrama anterior mostra os cenários a seguir:

  • O código do aplicativo de uma organização parceira acessa um aplicativo Web hospedado dentro de sua rede virtual do Azure.

  • Um usuário externo registrado com credenciais armazenadas no AD DS (Active Directory Domain Services) acessa um aplicativo Web hospedado dentro de sua rede virtual do Azure.

  • Um usuário conectado à sua rede virtual usando um dispositivo autorizado executa um aplicativo Web hospedado dentro de sua rede virtual do Azure.

Essa arquitetura de referência se concentra na federação passiva, na qual os servidores de federação decidem como e quando autenticar um usuário. O usuário fornece informações de entrada quando o aplicativo é iniciado. Esse mecanismo geralmente é usado por navegadores da Web e envolve um protocolo que redireciona o navegador para um site em que o usuário é autenticado. O AD FS também dá suporte à federação ativa, em que um aplicativo assume a responsabilidade de fornecer credenciais sem interação adicional do usuário, mas esse cenário está fora do escopo dessa arquitetura.

Para outras considerações, consulte Integrar domínios do Active Directory local com a ID do Microsoft Entra.

Possíveis casos de uso

Alguns usos típicos dessa arquitetura:

  • Aplicativos híbridos nos quais as cargas de trabalho são executadas parcialmente localmente e parcialmente no Azure.

  • Soluções que usam a autorização federada para expor aplicativos Web a organizações parceiras.

  • Sistemas que dão suporte a acesso de navegadores da Web em execução fora do firewall organizacional.

  • Sistemas que permitem que os usuários acessem aplicativos Web se conectando de dispositivos externos autorizados, como computadores remotos, notebooks e outros dispositivos móveis.

Recommendations

Você pode aplicar as recomendações a seguir à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Recomendações de rede

Configure o adaptador de rede para cada uma das VMs que hospedam servidores AD FS e WAP que têm endereços IP privados estáticos.

Não forneça endereços IP públicos às VMs do AD FS. Para obter mais informações, consulte a seção Considerações de segurança .

Defina o endereço IP dos servidores DNS (serviço de nome de domínio) preferenciais e secundários para os adaptadores de rede para cada VM do AD FS e WAP para fazer referência às VMs do AD DS. As VMs do AD DS devem estar executando o DNS. Essa etapa é necessária para habilitar cada VM para ingressar no domínio.

Instalação do AD FS

O artigo Implantar um farm de servidores de federação fornece instruções detalhadas sobre como instalar e configurar o AD FS. Execute as seguintes tarefas antes de configurar o primeiro servidor do AD FS em seu farm:

  1. Obtenha um certificado confiável publicamente para executar a autenticação do servidor. O nome da entidade deve conter o nome que os clientes usam para acessar o serviço de federação. Esse identificador pode ser o nome DNS registrado para o balanceador de carga, como adfs.contoso.com. Evite usar nomes curinga, como *.contoso.com por motivos de segurança. Use o mesmo certificado em todas as VMs de servidor do AD FS. Você pode comprar um certificado de uma autoridade de certificação confiável, mas se sua organização usar os Serviços de Certificados do Active Directory, você poderá criar o seu próprio.

    O DRS usa o nome alternativo da entidade para habilitar o acesso de dispositivos externos. Esse nome DNS deve seguir o formato enterpriseregistration.contoso.com.

    Para obter mais informações, consulte Obter e configurar um certificado de camada de soquetes seguros para o AD FS.

  2. No controlador de domínio, gere uma nova chave raiz para o KDS (Serviço de Distribuição de Chaves). Defina o tempo de efetivo para o tempo atual menos 10 horas. Essa configuração reduz o atraso que pode ocorrer na distribuição e sincronização de chaves no domínio. Essa etapa é necessária para dar suporte à criação da conta de serviço de grupo usada para executar o serviço do AD FS. O seguinte comando do PowerShell demonstra como gerar uma nova chave raiz KDS com um deslocamento de tempo:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

  3. Adicione cada VM de servidor do AD FS no domínio.

Note

Para instalar o AD FS, o controlador de domínio que executa a função de operação mestra única flexível do controlador de domínio primário para o domínio deve estar em execução e acessível nas VMs do AD FS.

Relação de confiança do AD FS

Estabeleça a confiança de federação entre a instalação do AD FS e os servidores de federação de qualquer organização parceira. Configure qualquer filtragem e mapeamento de declarações necessárias.

  • A equipe de DevOps em cada organização parceira deve adicionar um objeto de confiança de terceira parte confiável para os aplicativos Web acessíveis por meio dos servidores do AD FS.

  • A equipe de DevOps em sua organização deve configurar a relação de confiança do provedor de declarações para permitir que os servidores do AD FS confiem nas declarações que as organizações parceiras fornecem.

  • A equipe de DevOps na organização também deve configurar o AD FS para transmitir declarações para os aplicativos Web da organização.

Para obter mais informações, consulte Estabelecer uma relação de confiança de federação.

Publique os aplicativos Web da organização e disponibilize-os a parceiros externos usando a pré-autenticação por meio dos servidores do WAP. Para obter mais informações, consulte Publicar aplicativos usando a pré-autenticação do AD FS.

O AD FS dá suporte para aumento e transformação de token. O Microsoft Entra ID não fornece esse recurso. Ao usar o AD FS, ao configurar as relações de confiança, você pode realizar as seguintes tarefas:

  • Configurar transformações de declaração para regras de autorização. Por exemplo, você pode mapear a segurança do grupo de uma representação usada por uma organização parceira não Microsoft para algo que o AD DS pode autorizar em sua organização.

  • Transforme declarações de um formato para outro. Por exemplo, você poderá mapear de SAML 2.0 para SAML 1.1 se seu aplicativo somente der suporte para declarações SAML 1.1.

Monitoramento do AD FS

O Pacote de Gerenciamento do Microsoft System Center para AD FS 2012 R2 fornece monitoramento proativo e reativo da implantação do AD FS para o servidor de federação. Este pacote de gerenciamento monitora os seguintes aspectos da implantação do AD FS:

  • Eventos que o serviço do AD FS registra em seus logs de eventos

  • Os dados de desempenho coletados pelos contadores de desempenho do AD FS

  • A integridade geral do sistema do AD FS e aplicativos Web (partes confiáveis) e para problemas críticos e avisos

Outra opção é monitorar o AD FS usando o Microsoft Entra Connect Health. O Connect Health fornece monitoramento da infraestrutura de identidade local. Ele permite que você mantenha uma conexão confiável com os serviços online do Microsoft 365 e da Microsoft. Ele obtém essa confiabilidade fornecendo recursos de monitoramento para seus principais componentes de identidade. Ele também torna os principais pontos de dados sobre esses componentes acessíveis.

Considerations

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Well-Architected Framework.

Reliability

A confiabilidade ajuda a garantir que seu aplicativo possa cumprir os compromissos que você faz aos seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design parade confiabilidade.

Crie um farm do AD FS com um mínimo de dois servidores para aumentar a disponibilidade do serviço. Use contas de armazenamento diferentes para cada VM do AD FS no farm. Essa abordagem ajuda a garantir que uma falha em uma única conta de armazenamento não torne todo o farm inacessível.

Crie conjuntos de disponibilidade do Azure separados para as VMs do AD FS e do WAP. Verifique se há no mínimo duas VMs em cada conjunto. Cada conjunto de disponibilidade deve ter no mínimo dois domínios de atualização e dois domínios de falha.

Configure os balanceadores de carga para as VMs do AD FS e as VMs WAP executando as seguintes etapas:

  • Use um balanceador de carga do Azure para fornecer acesso externo às VMs WAP e a um balanceador de carga interno para distribuir a carga entre os servidores do AD FS no farm.

  • Passe apenas o tráfego que aparece na porta 443 (HTTPS) para os servidores AD FS ou WAP.

  • Forneça um endereço IP estático ao balanceador de carga.

  • Crie uma investigação de integridade usando HTTP em ./adfs/probe Para obter mais informações, consulte Criar uma investigação de integridade HTTP/HTTPS personalizada para o Azure Load Balancer.

    Note

    Os servidores do AD FS usam o protocolo Indicação de Nome do Servidor, que faz com que as investigações de ponto de extremidade HTTPS do balanceador de carga falhem.

  • Adicione um registro DNS A ao domínio para o balanceador de carga do AD FS. Especifique o endereço IP do balanceador de carga e dê a ele um nome no domínio, como adfs.contoso.com. Esse registro DNS é o nome que os clientes e os servidores WAP usam para acessar o farm de servidores do AD FS.

Você pode usar o SQL Server ou o Banco de Dados Interno do Windows para manter as informações de configuração do AD FS. O Banco de Dados Interno do Windows fornece redundância básica. As alterações são gravadas diretamente em apenas um dos bancos de dados do AD FS no cluster do AD FS, enquanto os outros servidores usam a replicação pull para manter seus bancos de dados atualizados. O uso do SQL Server pode fornecer redundância completa do banco de dados e alta disponibilidade usando clustering ou espelhamento de failover.

Segurança

A segurança oferece garantias contra ataques deliberados e o uso indevido de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design parade segurança.

O AD FS usa HTTPS, portanto, verifique se as regras NSG para a sub-rede que contêm as VMs da camada Web permitem solicitações HTTPS. Essas solicitações podem ser originadas da rede local, das sub-redes que contêm a camada da Web, a camada de negócios, a camada de dados, a DMZ privada, a DMZ pública e a sub-rede que contém os servidores do AD FS.

Evite a exposição direta dos servidores do AD FS à Internet. Os servidores do AD FS são computadores ingressados no domínio que têm autorização total para conceder tokens de segurança. Se um servidor estiver comprometido, um usuário mal-intencionado poderá emitir tokens de acesso completo a todos os aplicativos Web e a todos os servidores de federação protegidos pelo AD FS. Se o sistema precisar lidar com solicitações de convidados que não se conectam de sites de parceiros confiáveis, use servidores WAP para lidar com essas solicitações. Para obter mais informações, consulte Onde colocar um proxy de servidor de federação.

Coloque servidores do AD FS e servidores WAP em sub-redes separadas que tenham seus próprios firewalls. Você pode usar as regras do NSG para definir as regras de firewall. Todos os firewalls devem permitir o tráfego na porta 443 (HTTPS).

Restrinja o acesso direto de entrada aos servidores AD FS e WAP. Equipe de DevOps só deve ser capaz de se conectar. Não ingresse os servidores do WAP no domínio.

Considere usar um conjunto de dispositivos virtuais de rede que registram informações detalhadas sobre o tráfego que atravessa a borda da rede virtual para fins de auditoria.

Otimização de custos

A Otimização de Custos concentra-se em maneiras de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design parade Otimização de Custos.

Serviços de Domínio do Microsoft Entra

Considere ter o Microsoft Entra Domain Services como um serviço compartilhado que várias cargas de trabalho consomem para reduzir os custos. Para obter mais informações, consulte os preços dos Serviços de Domínio.

AD FS

Para obter informações sobre as edições que a ID do Microsoft Entra fornece, consulte os preços do Microsoft Entra. O recurso do AD FS está disponível em todas as edições.

Excelência operacional

A Excelência Operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução em produção. Para obter mais informações, consulte Lista de verificação de revisão de design parade Excelência Operacional.

A equipe de DevOps deve estar preparada para executar as seguintes tarefas:

  • Gerenciar os servidores de federação, incluindo o gerenciamento do farm do AD FS, o gerenciamento da política de confiança nos servidores de federação e o gerenciamento dos certificados que os serviços de federação usam

  • Gerenciar os servidores WAP, incluindo o gerenciamento do farm wap e certificados

  • Gerenciar aplicativos Web, incluindo a configuração de partes confiáveis, métodos de autenticação e mapeamentos de declarações

  • Fazer backup de componentes do AD FS

Para outras considerações do DevOps, consulte Implantar o AD DS em uma rede virtual do Azure.

Eficiência de desempenho

A Eficiência de Desempenho refere-se à capacidade da carga de trabalho de dimensionar para atender às demandas do usuário com eficiência. Para obter mais informações, consulte Lista de verificação de design parade Eficiência de Desempenho.

As considerações a seguir, resumidas do artigo Planejar sua implantação do AD FS, oferecem um ponto inicial para o dimensionamento de farms do AD FS:

  • Se você tiver menos de 1.000 usuários, não crie servidores dedicados. Em vez disso, instale o AD FS em cada um dos servidores do AD DS na nuvem. Verifique se você tem pelo menos dois servidores do AD DS para manter a disponibilidade. Crie um único servidor do WAP.

  • Se você tiver entre 1.000 e 15.000 usuários, crie dois servidores AD FS dedicados e dois servidores WAP dedicados.

  • Se você tiver entre 15 mil e 60 mil usuários, crie entre três e cinco servidores do AD FS dedicados e pelo menos dois servidores do WAP dedicados.

Essas considerações presumem que você esteja usando um tamanho de VM quad-core dual (D4_v2 padrão ou melhor) no Azure.

Se você usar o Banco de Dados Interno do Windows para armazenar dados de configuração do AD FS, estará limitado a oito servidores do AD FS no farm. Se você acha que pode precisar de mais no futuro, use o SQL Server. Para obter mais informações, consulte a função do banco de dados de configuração do AD FS.

Contributors

A Microsoft mantém este artigo. Os colaboradores a seguir escreveram este artigo.

Autor principal:

Para ver perfis não públicos no LinkedIn, entre no LinkedIn.

Próximas etapas