Apa itu ADFS dan bagaimana cara kerjanya?

Layanan Federasi Direktori Aktif, atau yang biasa dikenal dengan ADFS, adalah solusi dari Microsoft untuk menyediakan Sistem Masuk Tunggal dan otentikasi berbasis web ke sistem dan aplikasi antara organisasi dengan domain unik atau banyak.

ADFS menggunakan model otorisasi kontrol akses berbasis klaim untuk memastikan keamanan tingkat aplikasi dan identitas federasi, yang diterapkan antara dua organisasi dengan membangun kepercayaan antara dua zona atau cakupan keamanan.

Diperlukan dua server federasi, satu untuk akuntansi dan otentikasi pengguna (terutama dengan Layanan Domain Direktori Aktif) untuk mengidentifikasi mereka dan lainnya untuk otorisasi sumber daya dan validasi akses pengguna. Arsitektur ini memungkinkan pengguna yang termasuk dalam lingkup keamanan atau wilayah lain untuk mengontrol akses mereka secara langsung tanpa berbagi database atau kata sandi di antara mereka.

ADFS dirancang untuk berkomunikasi melalui HTTPS untuk memvalidasi pengguna dengan nama pengguna dan kata sandi yang diberikan, kemudian, jika ini valid maka layanan mengembalikan token unik yang dapat digunakan oleh aplikasi pihak ketiga.

Ketika pengguna tertentu mencoba mengakses ke suatu aplikasi di satu situs, maka ia akan mengalihkan permohonan masuk dari pengguna ke proxy ADFS situs utama dalam bentuk nama pengguna dan kata sandi dan kemudian mengembalikan token yang akan digunakan oleh aplikasi untuk mengontrol pengguna mengakses.

Masalah lingkungan itu adalah satu-satunya titik kegagalan dan kurangnya skalabilitas begitu organisasi tumbuh.

Lingkungan scalable ADFS

Untuk menyediakan ketersediaan tinggi, load balancing, dan pemulihan bencana otomatis layanan ADFS, kami mengusulkan lingkungan seperti yang ditunjukkan di bawah ini.

Pendekatan ini menerapkan keseimbangan beban dan ketersediaan tinggi untuk layanan di lokasi, tetapi dapat dibangun sebagai arsitektur antar-lokasi yang juga menyediakan pemulihan bencana otomatis untuk layanan ADFS yang berlokasi di lokasi geografis.

Konfigurasi penyeimbangan beban ADFS

Membuat layanan virtual penyeimbangan beban sederhana dengan LSLB | L4xNAT tambak akan memungkinkan untuk memuat menyeimbangkan permintaan HTTPS sebagai koneksi TCP mentah.

Dalam majalah Layanan tab, pilih algoritma dispatcher yang dipilih dan konfigurasikan proxy ADFS di bagian backends.

Akhirnya, konfigurasikan pemeriksaan kesehatan lanjutan untuk ADFSv2:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.aspx -e 200 -S -s html 

untuk ADFSv3:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.htm -e 200 -S -s html 

Catatan: Dalam perintah pemeriksaan kesehatan, ubah domain ADFS Anda.

ADFS dalam ketersediaan tinggi dan konfigurasi pemulihan bencana otomatis

Karena solusi pengelompokan Zevenet mereplikasi semua koneksi dan sesi secara real time, membangun sebuah cluster yang klien dapat secara transparan beralih dari satu node ke yang lain tanpa gangguan. Layanan cluster menyediakan ketersediaan tinggi pada lapisan pengiriman aplikasi tetapi juga kemampuan pemulihan bencana otomatis yang dapat dikonfigurasi dengan mudah melalui bagian ini Sistem | Gugus.

ADFS meningkatkan keamanan

Zevenet Intrusion Prevention and Detection System menambahkan lapisan keamanan tambahan ke layanan ADFS, sehingga kami dapat memastikan bahwa permintaan koneksi dari situs kami dipercaya.

Selain itu, SSLoffload untuk ADFS akan segera tersedia sehingga lapisan keamanan lengkap dapat dikirimkan oleh Zevenet dengan memuat sertifikat SSL dalam LSLB | HTTP bertani dengan pendengar HTTPS.