Qu'est-ce que ADFS et comment ça marche? #
Services de fédération Active Directory, ou communément appelé ADFS, est une solution de Microsoft pour fournir une authentification unique et basée sur le Web aux systèmes et applications entre organisations disposant de domaines uniques ou multiples.
ADFS utilise le modèle d'autorisation de contrôle d'accès basé sur les revendications afin de garantir la sécurité au niveau de l'application et l'identité de fédération, qui est implémentée entre deux organisations en établissant une confiance entre deux zones ou portées de sécurité.
Deux serveurs de fédération sont requis, un pour comptabilité et authentification des utilisateurs (principalement avec les services de domaine Active Directory) pour les identifier et un autre pour autorisation des ressources et validation de l'accès des utilisateurs. Cette architecture permet à un utilisateur appartenant à une autre étendue de sécurité ou à un autre domaine de contrôler directement leur accès sans partager de bases de données ni de mots de passe.
ADFS est conçu pour communiquer via HTTPS afin de valider l'utilisateur avec un nom d'utilisateur et un mot de passe donnés. Par conséquent, s'il est valide, le service renvoie un jeton unique pouvant être utilisé par des applications tierces.
Lorsqu'un certain utilisateur tente d'accéder à une application d'un site, il redirige la requête de connexion de l'utilisateur vers le proxy ADFS du site principal sous la forme d'un nom d'utilisateur et d'un mot de passe, puis renvoie un jeton qui sera utilisé par l'application pour contrôler. l'utilisateur accède.
Le problème de cet environnement est le seul point d'échec et le manque d'évolutivité une fois que l'entreprise se développe.
Environnement évolutif ADFS #
Afin de fournir une haute disponibilité, un équilibrage de charge et une reprise après sinistre automatique des services ADFS, nous proposons un environnement comme illustré ci-dessous.
Cette approche met en œuvre l'équilibrage de charge et la haute disponibilité pour les services sur site, mais elle peut être construite sous la forme d'une architecture inter-site offrant également une reprise après sinistre automatisée pour les services ADFS géolocalisés.
Configuration d'équilibrage de charge ADFS #
Création d’un service virtuel d’équilibrage de charge simple avec LSLB | L4xNAT La batterie permettra d'équilibrer la charge des requêtes HTTPS en tant que connexions TCP brutes.
Dans l' Services onglet, sélectionnez l’algorithme de répartition sélectionné et configurez les proxys ADFS dans la section backends.
Enfin, configurez les contrôles de santé avancés pour ADFSv2:
./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.aspx -e 200 -S -s html
pour ADFSv3:
./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.htm -e 200 -S -s html
Remarque: Dans les commandes de vérification de l'état, modifiez votre domaine ADFS.
ADFS en configuration haute disponibilité et reprise après sinistre automatisée #
As RELIANOID La solution de clustering réplique toutes les connexions et sessions en temps réel, créant ainsi un cluster que les clients peuvent basculer de manière transparente d'un nœud à un autre sans interruption. Le service de cluster offre une haute disponibilité au niveau de la couche de mise à disposition des applications, mais également des capacités de reprise automatique après sinistre qui peuvent être facilement configurées via la section Système | Grappe.
ADFS sécurité renforcée #
RELIANOID Le système de prévention et de détection des intrusions ajoute une couche de sécurité supplémentaire aux services ADFS, afin que nous puissions garantir que les demandes de connexion de nos sites sont fiables.
De plus, SSLoffload pour ADFS sera bientôt disponible afin que la couche de sécurité complète puisse être fournie par RELIANOID en chargeant le certificat SSL dans un LSLB | HTTP ferme avec écouteur HTTPS.
