المحتويات
ما هو ADFS وكيف يعمل؟
خدمات اتحاد الدليل النشطأو المعروف باسم ADFS، هو حل من Microsoft لتوفير المصادقة على الدخول الفردي والمصادقة على الويب للأنظمة والتطبيقات بين المؤسسات ذات المجالات الفريدة أو المتعددة.
يستخدم ADFS نموذج تفويض التحكم بالوصول المستند إلى المطالبات لضمان أمان مستوى التطبيق وهوية الاتحاد ، والذي يتم تنفيذه بين مؤسستين من خلال إنشاء ثقة بين منطقتين أو نطاقات أمان.
مطلوب اثنين من خوادم الاتحاد ، واحدة ل حسابات المستخدمين والمصادقة (بشكل رئيسي مع خدمات مجال خدمة Active Directory) لتحديدها و أخرى لـ إذن الموارد والتحقق من وصول المستخدم. تسمح هذه البنية للمستخدم الذي ينتمي إلى نطاق أو مجال أمان آخر بالتحكم في الوصول مباشرة دون مشاركة قواعد البيانات أو كلمات المرور بينهما.
تم تصميم ADFS للتواصل عبر HTTPS من أجل التحقق من صحة المستخدم باستخدام اسم مستخدم وكلمة مرور محددين ، ثم إذا كانت هذه الخدمة صالحة ، فستعرض الخدمة رمزًا مميزًا فريدًا يمكن استخدامه بواسطة تطبيقات الجهات الخارجية.
عندما يحاول مستخدم معين الوصول إلى تطبيق في موقع واحد ، فإنه يعيد توجيه طلب تسجيل الدخول من المستخدم إلى وكيل ADFS للموقع الرئيسي في شكل اسم المستخدم وكلمة المرور ، ثم يقوم بإرجاع رمز مميز سيستخدمه التطبيق للتحكم وصول المستخدم.
مشكلة هذه البيئة هي نقطة الفشل وغياب القابلية للتوسع بمجرد تنامي المنظمة.
بيئة قابلة للتطوير ADFS
من أجل توفير التوافر العالي وموازنة التحميل والتعافي التلقائي بعد الكوارث لخدمات ADFS ، فإننا نقترح بيئة كما هو موضح أدناه.
يقوم هذا الأسلوب بتطبيق موازنة الحمل والتوافر العالي للخدمات في الموقع ، ولكن يمكن أن يتم بناؤه كمعمارية بينية والتي توفر أيضًا الاسترداد التلقائي بعد الكوارث لخدمات ADFS جغرافية الموقع.
تكوين توازن تحميل ADFS
إنشاء حساب افتراضي بسيط مع موازنة الخدمة LSLB | L4xNAT ستسمح المزرعة بتحميل توازن طلبات HTTPS كاتصالات TCP الأولية.
في مجلة خدماتنا حدد ، حدد خوارزمية المرسل وتكوين وكلاء ADFS في قسم الخلفيات.
أخيرًا ، قم بتكوين الاختبارات الصحية المتقدمة لـ ADFSv2:
./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.aspx -e 200 -S -s html
لـ ADFSv3:
./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.htm -e 200 -S -s html
ملاحظة: في أوامر التحقق من الصحة ، قم بتغيير مجال ADFS الخاص بك.
ADFS في توفر عالٍ والتهيئة الآلية لاستعادة القدرة على العمل بعد الكوارث
كما يكرر حل Zevenet clustering جميع الاتصالات والجلسات في الوقت الحقيقي ، وبناء كتلة يمكن للعملاء التبديل بشفافية من عقدة إلى أخرى دون انقطاع. توفر خدمة الكتلة توفرًا عاليًا في طبقة تسليم التطبيقات ولكن أيضًا قدرات تلقائية لاستعادة القدرة على العمل بعد الكوارث والتي يمكن تهيئتها بسهولة من خلال القسم النظام | العنقودية.
ADFS تعزيز الأمن
يضيف نظام Zevenet للوقاية من التطفل والكشف عنه طبقة أمان إضافية لخدمات ADFS ، حتى نتمكن من التأكد من موثوقية طلبات الاتصال من مواقعنا.
بالإضافة إلى ذلك ، سيكون SSLoffload لـ ADFS متاحًا قريبًا بحيث يمكن تسليم طبقة الأمان الكاملة من خلال Zevenet عن طريق تحميل شهادة SSL في LSLB | HTTP مزرعة مع المستمع HTTPS.