Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O banco de dados de configuração do AD FS armazena todos os dados de configuração que representam uma única instância dos Serviços de Federação do Ative Directory (AD FS) (ou seja, o Serviço de Federação). O banco de dados de configuração do AD FS define o conjunto de parâmetros que um Serviço de Federação requer para identificar parceiros, certificados, repositórios de atributos, declarações e vários dados sobre essas entidades associadas. Você pode armazenar esses dados de configuração em um banco de dados do Microsoft SQL Server® ou no recurso WID (Banco de Dados Interno do Windows) incluído no Windows Server 2012 ou superior.
Note
Todo o conteúdo do banco de dados de configuração do AD FS pode ser armazenado em uma instância do WID ou em uma instância do banco de dados SQL, mas não ambos. Isso significa que você não pode ter alguns servidores de federação usando WID e outros usando um banco de dados SQL Server para a mesma instância do banco de dados de configuração do AD FS.
Você pode usar as seguintes informações neste tópico, juntamente com o conteúdo fornecido em Considerações sobre topologia de implantação do AD FS , para saber mais sobre as vantagens e desvantagens de escolher WID ou SQL Server para armazenar o banco de dados de configuração do AD FS:
O WID usa um armazenamento de dados relacional e não tem sua própria interface do usuário (UI) de gerenciamento. Em vez disso, os administradores podem modificar o conteúdo do banco de dados de configuração do AD FS usando a extensão de Gerenciamento do AD FS, o Fsconfig.exe ou os comandos do Windows PowerShell™.
Usando WID para armazenar o banco de dados de configuração do AD FS
Você pode criar a base de dados de configuração do AD FS utilizando o WID como repositório de dados, através da ferramenta de linha de comando Fsconfig.exe ou do Assistente de Configuração do Servidor de Federação do AD FS. Ao usar qualquer uma dessas ferramentas, você pode escolher qualquer uma das opções a seguir para criar sua topologia de servidor de federação. Cada uma dessas opções usa WID para armazenar o banco de dados de configuração do AD FS:
Criar um servidor de federação autônomo
Criar o primeiro servidor de federação em um farm de servidores de federação
Adicionar um servidor de federação a um grupo de servidores de federação
Se você selecionar a opção autônoma, o WID será usado para armazenar uma única instância do banco de dados de configuração do AD FS. Essa instância não pode ser compartilhada entre vários servidores de federação. É apenas destinado a laboratórios de teste. Para obter mais informações sobre a opção de servidor de federação autônomo ou como configurar um, consulte Stand-Alone Federation Server usando WID ou Criar um servidor de federação Stand-Alone.
Se você selecionar a primeira opção de servidor de federação em um farm de servidores de federação, o WID será configurado para escalabilidade que permitirá que servidores de federação adicionais sejam adicionados ao farm posteriormente. Para obter mais informações sobre como implantar um farm WID ou como configurar um, consulte Farm de servidores de federação usando WID ou Criar o primeiro servidor de federação em um farm de servidores de federação
Se você selecionar a opção adicionar um servidor de federação, o WID será configurado para replicar as alterações do banco de dados de configuração para o novo servidor de federação em intervalos definidos. Para obter mais informações sobre como adicionar um servidor de federação a um farm de WID, consulte Farm de servidores de federação usando WID ou Adicionar um servidor de federação a um farm de servidores de federação.
Note
Quando você implanta um farm de servidores de federação usando WID, alguns recursos do AD FS podem não estar disponíveis. Para ter acesso ao conjunto completo de recursos ao configurar seu farm de servidores, considere usar o Microsoft SQL Server para armazenar o banco de dados de configuração do AD FS. Para obter mais informações, consulte Considerações sobre topologia de implantação do AD FS.
Como funciona um farm de servidores de federação WID
Esta seção descreve conceitos importantes que descrevem como o farm de servidores de federação WID replica dados entre um servidor de federação primário e servidores de federação secundários. .
Servidor de federação primário
Um servidor de federação primário é um computador que executa o Windows Server 2012 ou superior que foi configurado com a função de servidor de federação usando o Assistente de Configuração do Servidor de Federação do AD FS e que tem uma cópia de leitura/gravação do banco de dados de configuração do AD FS. O servidor de federação primário é sempre criado quando você usa o Assistente de Configuração do Servidor de Federação do AD FS e seleciona a opção para criar um novo Serviço de Federação e tornar esse computador o primeiro servidor de federação no farm. Todos os outros servidores de federação neste farm, também conhecidos como servidores de federação secundários, devem sincronizar as alterações feitas no servidor de federação primário com uma cópia do banco de dados de configuração do AD FS armazenado localmente.
Servidores de federação secundários
Os servidores de federação secundários armazenam uma cópia do banco de dados de configuração do AD FS do servidor de federação primário, mas essas cópias são somente leitura. Os servidores de federação secundários se conectam e sincronizam os dados com o servidor de federação primário no farm, sondando-os em intervalos regulares para verificar se os dados foram alterados. Os servidores de federação secundários existem para fornecer tolerância a falhas para o servidor de federação primário enquanto atuam para balancear a carga de solicitações de acesso feitas em sites diferentes em todo o ambiente de rede.
Como o banco de dados de configuração do AD FS é sincronizado
Devido à função importante que o banco de dados de configuração do AD FS desempenha, ele é disponibilizado em todos os servidores de federação na rede para fornecer tolerância a falhas e recursos de balanceamento de carga ao processar solicitações (quando balanceadores de carga de rede são usados). No entanto, para que os servidores de federação secundários sirvam nessa capacidade, o banco de dados de configuração do AD FS armazenado no servidor de federação primário deve ser sincronizado.
Quando você adiciona um servidor de federação ao farm, o novo computador que se tornará um servidor de federação secundário se conecta ao servidor de federação primário para replicar a cópia do banco de dados de configuração do AD FS. A partir deste ponto, o novo servidor de federação continua a receber atualizações do servidor de federação primário regularmente, conforme mostrado na ilustração a seguir.
Cada servidor de federação secundário sonda o servidor de federação primário a cada cinco minutos em busca de alterações. Você pode ajustar esse valor padrão de cinco minutos ou forçar uma sincronização imediata a qualquer momento usando um cmdlet do Windows PowerShell. Para obter mais informações sobre como fazer isso, consulte Administração do AD FS com o Windows PowerShell.
O processo de sincronização WID também suporta transferências incrementais para transferências mais eficientes de alterações intermediárias. O processo de transferência incremental requer substancialmente menos tráfego em uma rede, e as transferências são concluídas muito mais rapidamente.
Note
Há suporte para a migração de um banco de dados de configuração do AD FS do WID para uma instância do SQL Server. Para obter mais informações sobre como fazer isso, consulte AD FS: migrar seu banco de dados de configuração do AD FS para o SQL Server no site Wiki do TechNet.
Como gerenciar as propriedades de sincronização do AD FS
Esta seção descreve como exibir e editar as propriedades de sincronização do banco de dados de configuração do AD FS. .
O cmdlet Get-ADFSSyncProperties obtém as propriedades de sincronização para o banco de dados de configuração dos Serviços de Federação do Ative Directory (AD FS).
PS C:\> Get-ADFSSyncProperties
No Servidor AD FS Primário, este cmdlet mostrará apenas que a Função é o Computador Principal. Em um membro Secundário, ele mostrará o restante da configuração, incluindo Nome de Domínio Totalmente Qualificado da Última Sincronização do Computador Principal, Status e Hora da Última Sincronização, Duração da Sondagem, o Nome do computador Principal configurado no momento, a Porta do Computador Principal e a Função do Computador Secundário.
O cmdlet Set-ADFSSyncProperties modifica a frequência de sincronização do banco de dados de configuração dos Serviços de Federação do Ative Directory (AD FS). O cmdlet também especifica qual servidor de federação é o servidor primário no conjunto de servidores de federação.
Note
Se um servidor de federação primário falhar e estiver offline, todos os servidores de federação secundários continuarão a processar solicitações normalmente. No entanto, nenhuma nova alteração pode ser feita no Serviço de Federação até que o servidor de federação primário tenha sido colocado online novamente. Você também pode nomear um servidor de federação secundário para se tornar o servidor de federação primário usando o Windows PowerShell. Se você nomear um novo servidor primário, os servidores restantes deverão ser modificados para refletir o novo servidor primário. Ter 2 servidores primários com um WID farm afetará a estabilidade do farm e pode levar à perda de dados.
Modificar a duração da sondagem para uma fazenda
PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"
Este comando modifica a sincronização do banco de dados para 3600 segundos. O comando faz a alteração no servidor de federação primário.
Alterar um servidor de secundário para primário
PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"
Este comando altera um servidor AD FS em um farm WID de secundário para primário.
Alterar um servidor primário para um servidor secundário
PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"
Este comando altera um servidor AD FS primário em um farm WID para um servidor secundário. Você deve especificar o nome de domínio totalmente qualificado do servidor primário. Não fazer isso pode resultar em nem todos os servidores AD FS secundários sincronizados corretamente. Nota: O servidor primário deve ser acessível via HTTP na porta 80 a partir do servidor secundário.
Para obter mais informações, consulte : Set-AdfsSyncProperties
Usando o SQL Server para armazenar o banco de dados de configuração do AD FS
Você pode criar o banco de dados de configuração do AD FS usando uma única instância de banco de dados do SQL Server como armazenamento usando a ferramenta de linha de comando Fsconfig.exe. O uso de um banco de dados do SQL Server como o banco de dados de configuração do AD FS oferece os seguintes benefícios em relação ao WID:
Os administradores podem aproveitar os recursos de alta disponibilidade do SQL Server
Ele fornece aumentos adicionais de desempenho para tráfego alto.
Ele fornece suporte de funcionalidades para resolução de artefato SAML e deteção de repetição de token de SAML e deWS-Federation (descrito abaixo).
O termo "servidor de federação primário" não se aplica quando o banco de dados de configuração do AD FS é armazenado em uma instância do banco de dados SQL porque todos os servidores de federação podem ler e gravar igualmente no banco de dados de configuração do AD FS que está usando a mesma instância clusterizada do SQL Server, conforme mostrado na ilustração a seguir.
Você pode usar o SQL Server para configurar dois ou mais servidores para trabalharem juntos como um cluster de servidores para garantir que o AD FS seja altamente disponível para atender solicitações de clientes de entrada. A alta disponibilidade fornece uma arquitetura de expansão na qual você pode aumentar a capacidade do servidor adicionando servidores adicionais. Os pontos únicos de falha são atenuados pelo failover automático do cluster.
Você pode obter alta disponibilidade usando os serviços de balanceamento de carga e failover de rede que as tecnologias de cluster SQL fornecem. Para obter mais informações sobre como configurar o SQL Server para alta disponibilidade, consulte Visão geral de soluções de alta disponibilidade.
Resolução de artefatos SAML
A resolução de artefactos SAML (Security Assertion Markup Language) é um endpoint baseado na parte do protocolo SAML 2.0 que descreve como uma parte confiável pode recuperar um token diretamente de um provedor de afirmações. Na primeira etapa do processo de resolução, um cliente de navegador entra em contato com um servidor de federação de recursos e fornece um artefato. No segundo estágio, os servidores de federação de recursos enviam o artefato para um URL de endpoint de artefato SAML hospedado em uma organização parceira de conta, para resolver a mensagem de artefato. Na etapa final, o servidor de federação de conta emite o token para o servidor de federação em nome do cliente do navegador.
Note
Se for um administrador em uma organização de parceiro de conta, certifique-se de atribuir ou vincular um certificado SSL, que está encadeado a um certificado raiz de um membro do Programa de Certificados Raiz do Windows, ao site de federação passiva no IIS (<ComputerName>\Sites\Default Web Site\adfs\ls) em todos os servidores de federação de conta na farm. Isso é importante para evitar que os servidores de federação de recursos precisem adicionar manualmente o certificado SSL ao armazenamento de certificados de Pessoas Confiáveis de Computadores Locais ou não consigam resolver o artefato publicado em sua organização.
SAML/WS - Deteção de repetição de tokens de federação
O termo repetição de token refere-se ao ato pelo qual um cliente de navegador numa organização parceira de conta tenta enviar o mesmo token que recebeu de um servidor de federação de conta várias vezes para autenticar-se num servidor de federação de recursos. Esse ato ocorre quando um usuário clica no botão Voltar do navegador em um esforço para reenviar a página de autenticação.
O AD FS fornece um recurso conhecido como deteção de repetição de token pelo qual várias solicitações de token usando o mesmo token podem ser detetadas e, em seguida, descartadas. Quando esse recurso está habilitado, a deteção de repetição de token protege a integridade das solicitações de autenticação no perfil passivo WS-Federation e no perfil SAML WebSSO, certificando-se de que o mesmo token nunca seja usado mais de uma vez. Este recurso deve ser ativado em situações em que a segurança é uma preocupação muito alta, como ao usar quiosques.
No exemplo de quiosque, um usuário pode fazer logoff de todos os sites e, posteriormente, um usuário mal-intencionado pode tentar usar o histórico do navegador para reenviar a página de autenticação federada que foi carregada pelo usuário anterior. Esse recurso atenua essa preocupação armazenando informações adicionais sobre cada autenticação bem-sucedida feita por uma organização parceira de conta para detetar repetições subsequentes do token e evitar que várias tentativas de autenticação sejam bem-sucedidas.