O que é o ADFS e como funciona?

Serviços de Federação do Active Directoryou comumente conhecido como ADFS, é uma solução da Microsoft para fornecer autenticação baseada em web e logon único a sistemas e aplicativos entre organizações com domínios exclusivos ou múltiplos.

O ADFS usa o modelo de autorização de controle de acesso baseado em declarações para garantir a segurança em nível de aplicativo e a identidade da federação, que é implementada entre duas organizações, estabelecendo uma relação de confiança entre duas zonas de segurança ou escopos.

Dois servidores de federação são necessários, um para contabilização e autenticação de usuários (principalmente com os Serviços de Domínio do Active Directory) para identificá-los e outro para autorização de recursos e validação de acesso do usuário. Essa arquitetura permite que um usuário que pertence a outro escopo ou domínio de segurança controle seu acesso diretamente, sem compartilhar bancos de dados ou senhas entre eles.

O ADFS foi projetado para se comunicar por HTTPS a fim de validar o usuário com um determinado nome de usuário e senha e, se isso for válido, o serviço retornará um token exclusivo que pode ser usado por aplicativos de terceiros.

Quando um determinado usuário tenta acessar um aplicativo em um site, ele redireciona a petição de login do usuário para o proxy principal do site ADFS em uma forma de nome de usuário e senha e, em seguida, retorna um token que será usado pelo aplicativo para controlar o usuário acessa.

O problema desse ambiente é o ponto único de falha e a falta de escalabilidade quando a organização cresce.

Ambiente escalável do ADFS

Para fornecer alta disponibilidade, balanceamento de carga e recuperação automática de desastres de serviços ADFS, estamos propondo um ambiente como o mostrado abaixo.

Essa abordagem está implementando balanceamento de carga e alta disponibilidade para serviços no site, mas pode ser construída como uma arquitetura entre sites que também fornece recuperação automatizada de desastres para serviços do AD FS localizados geograficamente.

Configuração de balanceamento de carga do ADFS

Criar um serviço virtual de balanceamento de carga simples com LSLB | L4xNAT farm permitirá balancear a carga das solicitações HTTPS como conexões TCP brutas.

Na série Serviços guia, selecione o algoritmo despachante selecionado e configure os proxies do ADFS na seção backends.

Por fim, configure as verificações de integridade avançadas para ADFSv2:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.aspx -e 200 -S -s html 

para ADFSv3:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.htm -e 200 -S -s html 

Nota: Nos comandos de verificação de integridade, altere seu domínio do ADFS.

ADFS em alta disponibilidade e configuração automatizada de recuperação de desastre

Como a solução de clustering da Zevenet replica todas as conexões e sessões em tempo real, construindo um cluster, os clientes podem mudar de forma transparente de um nó para outro sem interrupção. O serviço de cluster fornece alta disponibilidade na camada de entrega de aplicativos, mas também uma capacidade de recuperação de desastres automática que pode ser configurada facilmente através da seção Sistema | Grupo.

Segurança aprimorada do ADFS

O Sistema de Detecção e Prevenção de Intrusões Zevenet adiciona uma camada de segurança adicional aos serviços do ADFS, para que possamos garantir que as solicitações de conexão de nossos sites sejam confiáveis.

Além disso, o SSLoffload para ADFS estará disponível em breve, para que a camada de segurança completa possa ser entregue pela Zevenet, carregando o certificado SSL em um LSLB | HTTP farm com ouvinte HTTPS.