Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A implantação do AD FS no Azure fornece diretrizes passo a passo sobre como você pode implantar uma infraestrutura simples do AD FS para sua organização no Azure. Este artigo fornece as próximas etapas para criar uma implantação multigeográfica do AD FS no Azure usando o Gerenciador de Tráfego do Azure. O Gerenciador de Tráfego do Azure ajuda a criar uma infraestrutura do AD FS de alta disponibilidade e alto desempenho geograficamente distribuída para sua organização, disponibilizando o uso de vários métodos de roteamento para atender às diferentes necessidades da infraestrutura.
Uma infraestrutura do AD FS altamente disponível entre regiões geográficas permite:
- Eliminação de um único ponto de falha: Com os recursos de failover do Gerenciador de Tráfego do Azure, você pode obter uma infraestrutura do AD FS altamente disponível mesmo quando um dos data centers em uma parte do mundo fica inoperante
- Melhor desempenho: Você pode usar a implantação sugerida neste artigo para fornecer uma infraestrutura do AD FS de alto desempenho que pode ajudar os usuários a se autenticar mais rapidamente.
Princípios de design
Os princípios básicos de design serão os mesmos listados na seção de princípios de design do artigo sobre implantação do AD FS no Azure. O diagrama acima mostra uma extensão simples da implantação básica para outra região geográfica. Abaixo estão alguns pontos a serem considerados ao estender sua implantação para uma nova região geográfica
- Rede virtual: Você deve criar uma nova rede virtual na região geográfica que deseja implantar uma infraestrutura adicional do AD FS. No diagrama acima, você vê a VNET Geo1 e a VNET Geo2 como as duas redes virtuais em cada região geográfica.
- Controladores de domínio e servidores AD FS em uma nova VNET geográfica: É recomendável implantar controladores de domínio na nova região geográfica para que os servidores do AD FS na nova região não precisem entrar em contato com um controlador de domínio em outra rede distante para concluir uma autenticação e, assim, melhorar o desempenho.
- Contas de armazenamento: As contas de armazenamento são associadas a uma região. Como você implantará computadores em uma nova região geográfica, será necessário criar novas contas de armazenamento para serem usadas na região.
- Grupos de Segurança de Rede: Como contas de armazenamento, os Grupos de Segurança de Rede criados em uma região não podem ser usados em outra região geográfica. Portanto, você precisará criar novos grupos de segurança de rede semelhantes aos da primeira região geográfica para a sub-rede INT e DMZ na nova região geográfica.
- Rótulos DNS para endereços IP públicos: O Gerenciador de Tráfego do Azure pode se referir somente a pontos de extremidade por meio de rótulos DNS. Portanto, você precisa criar rótulos DNS para os endereços IP públicos dos Balanceadores de Carga Externos.
- Gerenciador de Tráfego do Azure: O Gerenciador de Tráfego do Microsoft Azure permite que você controle a distribuição do tráfego do usuário para seus pontos de extremidade de serviço em execução em diferentes datacenters em todo o mundo. O Gerenciador de Tráfego do Azure funciona no nível do DNS. Ele utiliza respostas DNS para direcionar o tráfego de usuários finais para endpoints distribuídos globalmente. Em seguida, os clientes se conectam diretamente a esses endpoints. Com diferentes opções de roteamento de Desempenho, Ponderado e Prioridade, você pode escolher facilmente a opção de roteamento mais adequada para as necessidades da sua organização.
- Conectividade VNet a VNet entre duas regiões: você não precisa ter a conectividade entre as redes virtuais em si. Como cada rede virtual tem acesso a controladores de domínio e tem servidor AD FS e WAP em si, elas podem funcionar sem nenhuma conectividade entre as redes virtuais em regiões diferentes.
Etapas para integrar o Gerenciador de Tráfego do Azure
Implantar o AD FS na nova região geográfica
Siga as etapas e diretrizes na implantação do AD FS no Azure para implantar a mesma topologia na nova região geográfica.
Rótulos DNS para endereços IP públicos dos Balanceadores de Carga Voltados para a Internet (públicos)
Conforme mencionado acima, o Gerenciador de Tráfego do Azure só pode se referir a rótulos DNS como pontos de extremidade e, portanto, é importante criar rótulos DNS para os endereços IP públicos dos Balanceadores de Carga Externos. A captura de tela abaixo mostra como você pode configurar seu rótulo DNS para o endereço IP público.
Implantando o Gerenciador de Tráfego do Azure
Siga as etapas abaixo para criar um perfil do gerenciador de tráfego. Para obter mais informações, você também pode consultar Gerenciar um perfil do Gerenciador de Tráfego do Azure.
Criar um perfil do Gerenciador de Tráfego: Dê um nome exclusivo ao perfil do gerenciador de tráfego. Esse nome do perfil faz parte do nome DNS e atua como um prefixo para o rótulo de nome de domínio do Gerenciador de Tráfego. O nome/prefixo é adicionado a .trafficmanager.net para criar um rótulo DNS para o gerenciador de tráfego. A captura de tela abaixo mostra o prefixo DNS do gerenciador de tráfego sendo definido como mysts e o rótulo DNS resultante será mysts.trafficmanager.net.
Método de roteamento de tráfego: Há três opções de roteamento disponíveis no gerenciador de tráfego:
Priority
Performance
Weighted
O desempenho é a opção recomendada para obter uma infraestrutura do AD FS altamente responsiva. No entanto, você pode escolher qualquer método de roteamento mais adequado para suas necessidades de implantação. A funcionalidade do AD FS não é afetada pela opção de roteamento selecionada. Consulte os métodos de roteamento de tráfego do Gerenciador de Tráfego para obter mais informações. Na captura de tela de exemplo acima, você pode ver o método Desempenho selecionado.
Configurar pontos de extremidade: Na página do gerenciador de tráfego, clique em pontos de extremidade e selecione Adicionar. Isso abrirá uma página Adicionar ponto de extremidade semelhante à captura de tela abaixo
Para as diferentes entradas, siga a diretriz abaixo:
Tipo: Selecione o ponto de extremidade do Azure, pois apontaremos para um endereço IP público do Azure.
Nome: Crie um nome que você deseja associar ao ponto de extremidade. Esse não é o nome DNS e não tem nenhuma influência nos registros DNS.
Tipo de recurso de destino: Selecione o endereço IP público como o valor dessa propriedade.
Recurso de destino: Isso lhe dará uma opção para escolher entre os diferentes rótulos DNS disponíveis em sua assinatura. Escolha o rótulo DNS correspondente ao ponto de extremidade que você está configurando.
Adicione um ponto de extremidade para cada região geográfica para a qual você deseja que o Gerenciador de Tráfego do Azure encaminhe o tráfego. Para obter mais informações e etapas detalhadas sobre como adicionar/configurar pontos de extremidade no gerenciador de tráfego, consulte Adicionar, desabilitar, habilitar ou excluir pontos de extremidade
Configurar investigação: Na página gerenciador de tráfego, clique em Configuração. Na página de configuração, você precisa alterar as configurações do monitor para investigar a porta HTTP 80 e o caminho relativo /adfs/probe
Note
Certifique-se de que o status dos endpoints está ONLINE uma vez concluída a configuração. Se todos os pontos de extremidade estiverem no estado 'degradado', o Gerenciador de Tráfego do Azure fará uma melhor tentativa de rotear o tráfego supondo que o diagnóstico esteja incorreto e todos os pontos de extremidade sejam acessíveis.
Modificando registros DNS para o Gerenciador de Tráfego do Azure: Seu serviço de federação deve ser um CNAME para o nome DNS do Gerenciador de Tráfego do Azure. Crie um CNAME nos registros DNS públicos para que quem estiver tentando acessar o serviço de federação realmente chegue ao Gerenciador de Tráfego do Azure.
Por exemplo, para apontar o serviço de federação fs.fabidentity.com para o Gerenciador de Tráfego, você precisaria atualizar seu registro de recurso DNS para ser o seguinte:
fs.fabidentity.com IN CNAME mysts.trafficmanager.net
Testar o roteamento e o login do AD FS
Teste de roteamento
Um teste muito básico para o roteamento seria tentar realizar um ping no nome DNS do serviço de federação a partir de uma máquina em cada região geográfica. Dependendo do método de roteamento escolhido, o ponto de extremidade em que ele realmente executa ping será refletido na exibição de ping. Por exemplo, se você selecionou o roteamento de desempenho, o ponto de extremidade mais próximo à região do cliente será atingido. Veja abaixo o instantâneo de dois pings de dois computadores cliente de região diferentes, um na região Pacífico Asiático e outro no Oeste dos EUA.
Teste de entrada do AD FS
A maneira mais fácil de testar o AD FS é usando a página IdpInitiatedSignon.aspx. Para poder fazer isso, é necessário habilitar o IdpInitiatedSignOn nas propriedades do AD FS. Siga as etapas abaixo para verificar a configuração do AD FS
Execute o cmdlet abaixo no servidor do AD FS, usando o PowerShell, para defini-lo como habilitado. Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
Em qualquer computador externo, acesse
https://<yourfederationservicedns>/adfs/ls/IdpInitiatedSignon.aspxVocê deverá ver a página do AD FS como abaixo:
quando o login for bem-sucedido, você receberá uma mensagem de sucesso, conforme mostrado abaixo.
Links relacionados
- Implantação básica do AD FS no Azure
- Gerenciador de Tráfego do Microsoft Azure
- Métodos de roteamento de tráfego do Gerenciador de Tráfego