Dela via

Utöka lokala Active Directory Federation Services till Azure

Azure Load Balancer
Microsoft Entra
Microsoft Entra ID

Den här referensarkitekturen implementerar ett säkert hybridnätverk som utökar ditt lokala nätverk till Azure och använder Active Directory Federation Services (AD FS) för att utföra federerad autentisering och auktorisering för komponenter som körs i Azure.

Architecture

Diagram som visar ett exempel på en säker hybridnätverksarkitektur med AD FS.

Ladda ned en Visio-fil med den här arkitekturen.

Workflow

Följande arbetsflöde motsvarar föregående diagram:

  • Undernät för Active Directory Domain Services (AD DS): AD DS-servrarna finns i ett eget undernät där NSG-regler (Network Security Group) fungerar som en brandvägg.

  • AD DS-servrar: Domänkontrollanter som körs som virtuella datorer i Azure. De här servrarna tillhandahåller autentisering av lokala identiteter i domänen.

  • AD FS-undernät: AD FS-servrarna finns i sitt eget undernät och använder NSG-regler som en brandvägg.

  • AD FS-servrar: AD FS-servrarna tillhandahåller federerad auktorisering och autentisering. I den här arkitekturen utför de följande uppgifter:

    • Ta emot säkerhetstoken som innehåller anspråk från en partnerfederationsserver för en partneranvändares räkning. AD FS verifierar att token är giltiga innan anspråken skickas till webbprogrammet som körs i Azure för att auktorisera begäranden.

      Programmet som körs i Azure kallas den förlitande parten. Partnerfederationsservern måste utfärda anspråk som webbprogrammet förstår. Partnerfederationsservrarna kallas kontopartner eftersom de skickar åtkomstbegäranden för autentiserade konton i partnerorganisationen. AD FS-servrarna kallas resurspartner eftersom de ger åtkomst till resurser (webbprogrammet).

    • Autentisera och auktorisera inkommande begäranden från externa användare som kör en webbläsare eller enhet som behöver åtkomst till webbprogram med hjälp av AD DS och Active Directory-enhetsregistreringstjänsten (DRS).

    AD FS-servrarna är konfigurerade som en servergrupp som nås via en lastbalanserare i Azure. Den här implementeringen förbättrar tillgängligheten och skalbarheten. AD FS-servrarna exponeras inte direkt mot Internet. All Internettrafik filtreras via AD FS-webbprogramproxyservrar (WAP) och en demilitariserad zon (DMZ), även kallat ett perimeternätverk.

    Mer information finns i AD FS-översikt.

  • AD FS-proxyundernät: AD FS-proxyservrarna kan finnas i sitt eget undernät och använda NSG-regler för skydd. Servrarna i det här undernätet exponeras för Internet via en uppsättning virtuella nätverksinstallationer som tillhandahåller en brandvägg mellan ditt virtuella Azure-nätverk och Internet.

  • AD FS WAP-servrar: Dessa virtuella datorer fungerar som AD FS-servrar för inkommande begäranden från partnerorganisationer och externa enheter. WAP-servrarna fungerar som ett filter som skyddar AD FS-servrarna från direkt åtkomst från Internet. Precis som med AD FS-servrarna ger distribution av WAP-servrarna i en servergrupp med belastningsutjämning större tillgänglighet och skalbarhet än att distribuera en samling fristående servrar. Mer information finns i Installera och konfigurera WAP-servern.

  • Partnerorganisation: En partnerorganisation kör ett webbprogram som begär åtkomst till ett webbprogram som körs i Azure. Federationsservern i partnerorganisationen autentiserar begäranden lokalt och skickar säkerhetstoken som innehåller anspråk till AD FS som körs i Azure. AD FS i Azure verifierar säkerhetstoken. Om token är giltiga kan AD FS skicka anspråken till webbprogrammet som körs i Azure för att auktorisera dem.

    Note

    Du kan också konfigurera en VPN-tunnel med hjälp av en Azure-gateway för att ge direkt åtkomst till AD FS för betrodda partner. Begäranden som tas emot från dessa partner skickas inte via WAP-servrarna.

Components

Den här arkitekturen utökar implementeringen som beskrivs i Distribuera AD DS i ett virtuellt Azure-nätverk. Den innehåller följande komponenter:

  • Ett AD DS-undernät är ett objekt som mappar ett IP-adressintervall till en plats. Med den här mappningen kan domänkontrollanter effektivt dirigera autentisering och replikering baserat på en klients nätverksplats.

  • AD DS-servrar är domänkontrollanter som är värdar för Active Directory Domain Services. De tillhandahåller centraliserad autentisering, principframtvingande och katalogdatareplikering mellan företagsnätverk.

  • Ett AD FS-undernät är ett definierat IP-adressintervall inom nätverket eller den virtuella infrastrukturen som är värd för AD FS-servrar eller WAP-servrar. Det här IP-adressintervallet möjliggör säkert trafikflöde och platsmedveten autentisering.

  • AD FS-servrar är interna federationsservrar som utfärdar säkerhetstoken och hanterar autentiseringsbegäranden med hjälp av anspråksbaserade identitetsprotokoll.

  • Ett AD FS-proxyundernät är ett nätverkssegment, vanligtvis i en DMZ, som är värd för WAP-servrar. Det möjliggör säker vidarebefordran av extern autentiseringstrafik till interna AD FS-servrar.

  • AD FS WAP-servrar är omvända proxyservrar som distribueras i perimeternätverk som förautentiserar externa användarbegäranden och vidarebefordrar dem på ett säkert sätt till AD FS för federerad åtkomst.

Information om scenario

AD FS kan finnas lokalt, men om ditt program är en hybrid där vissa delar implementeras i Azure kan det vara mer effektivt att replikera AD FS i molnet.

I föregående diagram visas följande scenarier:

  • Programkod från en partnerorganisation får åtkomst till ett webbprogram som finns i ditt virtuella Azure-nätverk.

  • En extern, registrerad användare med autentiseringsuppgifter som lagras i Active Directory Domain Services (AD DS) får åtkomst till ett webbprogram som finns i ditt virtuella Azure-nätverk.

  • En användare som är ansluten till ditt virtuella nätverk med hjälp av en auktoriserad enhet kör ett webbprogram som finns i ditt virtuella Azure-nätverk.

Den här referensarkitekturen fokuserar på passiv federation, där federationsservrarna bestämmer hur och när en användare ska autentiseras. Användaren tillhandahåller inloggningsinformation när programmet startas. Den här mekanismen används oftast av webbläsare och omfattar ett protokoll som dirigerar om webbläsaren till en plats där användaren autentiseras. AD FS stöder också aktiv federation, där ett program tar på sig ansvaret för att tillhandahålla autentiseringsuppgifter utan ytterligare användarinteraktion, men det scenariot ligger utanför omfånget för den här arkitekturen.

Andra överväganden finns i Integrera lokala Active Directory-domäner med Microsoft Entra-ID.

Potentiella användningsfall

Vanliga användningsområden för den här arkitekturen inkluderar:

  • Hybridprogram där arbetsbelastningar delvis körs lokalt, delvis i Azure.

  • Lösningar som använder sammansluten auktorisering för att exponera webbprogram till partnerorganisationer.

  • System som har stöd för åtkomst från webbläsare som körs utanför organisationens brandvägg.

  • System som gör att användarna får tillgång till webbprogram genom att ansluta från auktoriserade externa enheter som fjärranslutna datorer, bärbara datorer och andra mobila enheter.

Recommendations

Du kan tillämpa följande rekommendationer på de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Nätverksrekommendationer

Konfigurera nätverksgränssnittet för var och en av de virtuella datorer som är värdar för AD FS- och WAP-servrar som har statiska privata IP-adresser.

Ge inte de virtuella AD FS-datorerna offentliga IP-adresser. Mer information finns i avsnittet Säkerhetsöverväganden .

Ange IP-adressen för de önskade och sekundära DNS-servrarna (Domain Name Service) för nätverksgränssnitten för varje VIRTUELL AD FS- och WAP-dator för att referera till de virtuella AD DS-datorerna. De virtuella AD DS-datorerna ska köra DNS. Det här steget krävs för att göra det möjligt för varje virtuell dator att ansluta till domänen.

AD FS-installation

Artikeln Distribuera en federationsservergrupp innehåller detaljerade instruktioner för hur du installerar och konfigurerar AD FS. Utför följande uppgifter innan du konfigurerar den första AD FS-servern i servergruppen:

  1. Skaffa ett offentligt betrott certifikat för serverautentisering. Ämnesnamnet måste innehålla det namn som klienter använder för att få åtkomst till federationstjänsten. Den här identifieraren kan vara DET DNS-namn som registrerats för lastbalanseraren, till exempel adfs.contoso.com. Undvik att använda jokerteckennamn, till exempel *.contoso.com av säkerhetsskäl. Använd samma certifikat på alla AD FS-serverns virtuella datorer. Du kan köpa ett certifikat från en betrodd certifikatutfärdare, men om din organisation använder Active Directory Certificate Services kan du skapa egna.

    DRS använder alternativt ämnesnamn för att aktivera åtkomst från externa enheter. Det här DNS-namnet ska följa formatet enterpriseregistration.contoso.com.

    Mer information finns i Hämta och konfigurera ett Secure Sockets Layer-certifikat för AD FS.

  2. Generera en ny rotnyckel för nyckeldistributionstjänsten (KDS) på domänkontrollanten. Ange den effektiva tiden till den aktuella tiden minus 10 timmar. Den här konfigurationen minskar den fördröjning som kan uppstå vid distribution och synkronisering av nycklar i domänen. Det här steget är nödvändigt för att skapa grupptjänstkontot som används för att köra AD FS-tjänsten. Följande PowerShell-kommando visar hur du genererar en ny KDS-rotnyckel med en tidsförskjutning:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

  3. Lägg till varje virtuell dator för AD FS-servern till domänen.

Note

Om du vill installera AD FS måste domänkontrollanten som kör den primära domänkontrollantens flexibla roll för en enda huvudåtgärd för domänen köras och vara tillgänglig från de virtuella AD FS-datorerna.

AD FS-förtroende

Upprätta federationsförtroende mellan din AD FS-installation och federationsservrarna för alla partnerorganisationer. Konfigurera all nödvändig anspråksfiltrering och mappning.

  • DevOps-personal inom varje partnerorganisation måste lägga till en förlitande part för de webbprogram som är tillgängliga via AD FS-servrarna.

  • DevOps-personal i din organisation måste konfigurera förtroende mellan anspråk och leverantör för att göra det möjligt för AD FS-servrarna att lita på de anspråk som partnerorganisationer tillhandahåller.

  • DevOps-personal i din organisation måste också konfigurera AD FS för att skicka anspråk till organisationens webbprogram.

Mer information finns i Upprätta ett federationsförtroende.

Publicera organisationens webbprogram och gör dem tillgängliga för externa partners med hjälp av förautentisering via WAP-servrarna. Mer information finns i Publicera program med AD FS-förautentisering.

AD FS har stöd för tokenomvandling och utökning. Microsoft Entra-ID:t tillhandahåller inte den här funktionen. När du konfigurerar förtroenderelationerna med HJÄLP av AD FS kan du utföra följande uppgifter:

  • Konfigurera anspråksomvandlingar för auktoriseringsregler. Du kan till exempel mappa gruppsäkerhet från en representation som används av en icke-Microsoft-partnerorganisation till något som AD DS kan auktorisera i din organisation.

  • Omvandla anspråk från ett format till ett annat. Du kan till exempel mappa från SAML 2.0 till SAML 1.1 om programmet endast har stöd för SAML 1.1-anspråk.

AD FS-övervakning

Microsoft System Center Management Pack för AD FS 2012 R2 ger både proaktiv och reaktiv övervakning av AD FS-distributionen för federationsservern. Det här hanteringspaketet övervakar följande aspekter av AD FS-distributionen:

  • Händelser som AD FS-tjänsten registrerar i sina händelseloggar

  • Prestandadata som AD FS-prestandaräknare samlar in

  • Den övergripande hälsan för AD FS-systemet och webbprogram (förlitande parter) och för kritiska problem och varningar

Ett annat alternativ är att övervaka AD FS med hjälp av Microsoft Entra Connect Health. Connect Health tillhandahåller övervakning av din lokala identitetsinfrastruktur. Det gör att du kan upprätthålla en tillförlitlig anslutning till Microsoft 365- och Microsofts onlinetjänster. Den uppnår den här tillförlitligheten genom att tillhandahålla övervakningsfunktioner för dina viktiga identitetskomponenter. Det gör också de viktigaste datapunkterna om dessa komponenter tillgängliga.

Considerations

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. Mer information finns iWell-Architected Framework.

Reliability

Tillförlitlighet hjälper till att säkerställa att ditt program kan uppfylla de åtaganden som du gör gentemot dina kunder. Mer information finns i checklistan för Designgranskning för tillförlitlighet.

Skapa en AD FS-servergrupp med minst två servrar för att öka tillgängligheten för tjänsten. Använd olika lagringskonton för varje virtuell AD FS-dator i servergruppen. Den här metoden hjälper till att säkerställa att ett fel i ett enda lagringskonto inte gör hela servergruppen otillgänglig.

Skapa separata Azure-tillgänglighetsuppsättningar för AD FS och virtuella WAP-datorer. Se till att det finns minst två virtuella datorer i varje uppsättning. Varje tillgänglighetsuppsättning måste ha minst två uppdateringsdomäner och två feldomäner.

Konfigurera lastbalanserarna för de virtuella AD FS-datorerna och de virtuella WAP-datorerna genom att utföra följande steg:

  • Använd en Azure-lastbalanserare för att ge extern åtkomst till de virtuella WAP-datorerna och en intern lastbalanserare för att distribuera belastningen över AD FS-servrarna i servergruppen.

  • Skicka endast trafik som visas på port 443 (HTTPS) till AD FS- eller WAP-servrarna.

  • Ge lastbalanseraren en statisk IP-adress.

  • Skapa en hälsoavsökning med hjälp av HTTP mot /adfs/probe. Mer information finns i Skapa en anpassad HTTP/HTTPS-hälsoavsökning för Azure Load Balancer.

    Note

    AD FS-servrar använder protokollet Servernamnsindikering, vilket gör att HTTPS-slutpunktsavsökningar från lastbalanseraren misslyckas.

  • Lägg till en DNS A-post i domänen för AD FS-lastbalanseraren. Ange IP-adressen för lastbalanseraren och ge den ett namn i domänen, till exempel adfs.contoso.com. Den här DNS-posten är det namn som klienter och WAP-servrar använder för att komma åt AD FS-servergruppen.

Du kan använda SQL Server eller Windows Internal Database för att lagra AD FS-konfigurationsinformationen. Windows Internal Database ger grundläggande redundans. Ändringar skrivs direkt till endast en av AD FS-databaserna i AD FS-klustret, medan de andra servrarna använder pull-replikering för att se till att databaserna är uppdaterade. Användning av SQL Server kan ge fullständig databasredundans och hög tillgänglighet med hjälp av redundanskluster eller spegling.

Security

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i checklistan för Designgranskning för Security.

AD FS använder HTTPS, så se till att NSG-reglerna för det undernät som innehåller de virtuella datorerna på webbnivån tillåter HTTPS-begäranden. Dessa begäranden kan komma från det lokala nätverket, de undernät som innehåller webbnivån, affärsnivå, datanivå, privat DMZ, offentlig DMZ och undernätet som innehåller AD FS-servrarna.

Förhindra direkt exponering av AD FS-servrarna på Internet. AD FS-servrar är domänanslutna datorer som har fullständig behörighet att bevilja säkerhetstoken. Om en server utsätts för risk kan en användare med skadliga avsikter utfärda token med fullständig åtkomst till alla webbprogram och till alla federationsservrar som skyddas av AD FS. Om systemet måste hantera begäranden från gäster som inte ansluter från betrodda partnerwebbplatser använder du WAP-servrar för att hantera dessa begäranden. Mer information finns i Var du placerar en federationsserverproxy.

Placera AD FS-servrar och WAP-servrar i separata undernät som har egna brandväggar. Du kan använda NSG-regler för att definiera brandväggsregler. Alla brandväggar ska tillåta trafik på port 443 (HTTPS).

Begränsa direkt inloggningsåtkomst till AD FS- och WAP-servrarna. Endast DevOps-personal ska kunna ansluta. Anslut inte WAP-servrarna till domänen.

Överväg att använda en uppsättning virtuella nätverksinstallationer som loggar detaljerad information om trafik som passerar gränsen för ditt virtuella nätverk i granskningssyfte.

Kostnadsoptimering

Kostnadsoptimering fokuserar på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i checklistan Designgranskning för kostnadsoptimering.

Microsoft Entra domäntjänster

Överväg att ha Microsoft Entra Domain Services som en delad tjänst som flera arbetsbelastningar förbrukar för att sänka kostnaderna. Mer information finns i Priser för Domain Services.

AD FS

Information om de utgåvor som Microsoft Entra ID tillhandahåller finns i Microsoft Entra-priser. AD FS-funktionen är tillgänglig i alla utgåvor.

Operativ skicklighet

Operational Excellence omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i checklistan för Designgranskning för Operational Excellence.

DevOps-personal bör vara beredd att utföra följande uppgifter:

  • Hantera federationsservrarna, inklusive att hantera AD FS-servergruppen, hantera förtroendeprinciper på federationsservrarna och hantera de certifikat som federationstjänsterna använder

  • Hantera WAP-servrarna, inklusive hantering av WAP-servergruppen och certifikat

  • Hantera webbprogram som att konfigurera förlitande parter, autentiseringsmetoder och anspråksmappningar

  • Säkerhetskopiera AD FS-komponenter

Andra DevOps-överväganden finns i Distribuera AD DS i ett virtuellt Azure-nätverk.

Prestandaeffektivitet

Prestandaeffektivitet syftar på arbetsbelastningens förmåga att skala för att effektivt uppfylla användarnas krav. Mer information finns i checklistan för Designgranskning för prestandaeffektivitet.

Följande överväganden, som är en sammanfattning från artikeln Plan your AD FS deployment (Planera AD FS-distributionen), ger en utgångspunkt för att välja storlek på AD FS-servergrupper:

  • Om du har färre än 1 000 användare ska du inte skapa dedikerade servrar. Installera i stället AD FS på var och en av AD DS-servrarna i molnet. Kontrollera att du har minst två AD DS-servrar för att upprätthålla tillgängligheten. Skapa en enskild WAP-server.

  • Om du har mellan 1 000 och 15 000 användare skapar du två dedikerade AD FS-servrar och två dedikerade WAP-servrar.

  • Om du har mellan 15 000 och 60 000 användare skapar du mellan tre och fem dedikerade AD FS-servrar och minst två dedikerade WAP-servrar.

Dessa överväganden förutsätter att du använder dubbla vm-storlekar med fyra kärnor (Standard D4_v2 eller bättre) i Azure.

Om du använder windows interna databas för att lagra AD FS-konfigurationsdata är du begränsad till åtta AD FS-servrar i servergruppen. Om du tror att du kan behöva mer i framtiden använder du SQL Server. Mer information finns i Rollen för AD FS-konfigurationsdatabasen.

Contributors

Microsoft ansvarar för den här artikeln. Följande deltagare skrev den här artikeln.

Huvudförfattare:

Om du vill se linkedin-profiler som inte är offentliga loggar du in på LinkedIn.

Nästa steg