Microsoft Active Directory שירותי הפצה (ADFS) עומס עומס, זמינות גבוהה והתאוששות מאסון אוטומטית

פורסם על ידי זאבנט | 19 באפריל, 2018

מה זה ADFS וכיצד הוא פועל?

Active Directory שירותי הפדרציה, או הידוע בכינויו ADFS, הוא פתרון של Microsoft כדי לספק כניסה יחידה ואימות מבוסס אינטרנט למערכות ויישומים בין ארגונים עם דומיינים ייחודיים או מרובים.

ADFS משתמשת בטכנולוגיית אישור גישה מבוססת תביעות על מנת להבטיח את רמת האבטחה ברמת היישום ואת זהות הפדרציה, המיושמת בין שני ארגונים על ידי יצירת אמון בין שני אזורי אבטחה או טווחים.

שני שרתי הפדרציה נדרשים, אחד עבור חשבונאות משתמשים אימות (בעיקר עם Active Directory Domain Services) כדי לזהות אותם ועוד אישור משאבים ואימות גישה למשתמש. ארכיטקטורה זו מאפשרת למשתמש המשתייך לתחום או תחום אבטחה אחר לשלוט בגישה שלהם ישירות מבלי לשתף מסדי נתונים או סיסמאות ביניהם.

ADFS נועד לתקשר על HTTPS כדי לאמת את המשתמש עם שם משתמש וסיסמה נתון, ולאחר מכן, אם זה תקף אז השירות מחזיר אסימון ייחודי שניתן להשתמש בו על ידי צד שלישי יישומים.

כאשר משתמש מסוים מנסה לגשת ליישום באתר אחד, לאחר מכן הוא מפנה את עתירת הכניסה מהמשתמש לאתר הראשי של ה- ADFS proxy בצורה של שם משתמש וסיסמה ולאחר מכן מחזיר אסימון שישמש את היישום לשליטה המשתמש ניגש.

הבעיה של סביבה זו היא נקודת הכישלון היחידה וחוסר המדרגיות לאחר שהארגון גדל.

סביבת ADFS להרחבה

על מנת לספק זמינות גבוהה, איזון עומסים והתאוששות אוטומטית מאסון של שירותי ADFS, אנו מציעים סביבה כמו שתוצג להלן.

גישה זו מיישמת איזון עומסים וזמינות גבוהה עבור שירותים באתר, אך היא יכולה להיבנות כארכיטקטורה בין אתרים, אשר מספקת גם התאוששות מאסון אוטומטית עבור שירותי ADFS הממוקמים גיאוגרפית.

תצורת איזון עומס ADFS

יצירת איזון פשוט איזון שירות וירטואלי עם LSLB | L4xNAT החווה תאפשר לטעון איזון בקשות HTTPS כמו חיבורי TCP גלם.

ב שירותים הכרטיסייה, בחר את האלגוריתם מפיץ שנבחרו להגדיר את פרוקסי ADFS בחלק backends.

לבסוף, הגדר את בדיקות הבריאות המתקדמות עבור ADFSv2:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.aspx -e 200 -S -s html 

עבור ADFSv3:

./check_http --sni -H fs.mydomain.com -IHOST -u /adfs/ls/idpinitiatedsignon.htm -e 200 -S -s html 

הערה: בפקודות בדיקת הבריאות, שנה את תחום ה- ADFS שלך.

ADFS בזמינות גבוהה ותצורה אוטומטית להתאוששות מאסון

כמו פתרון אשכולות Zevenet משכפל את כל החיבורים והפגישות בזמן אמת, בניית אשכול הלקוחות יכולים לעבור בשקופית מצומת אחת לאחרת ללא הפרעה. השירות אשכול מספק זמינות גבוהה בשכבת משלוח יישומים, אלא גם יכולות התאוששות מאסון אוטומטי כי ניתן להגדיר בקלות דרך הקטע מערכת | אשכול.

אבטחה משופרת של ADFS

מערכת מניעת וזיהוי חדירות של זבנט מוסיפה שכבת אבטחה נוספת לשירותי ADFS, כך שנוכל לוודא שהבקשות לחיבור מהאתרים שלנו מהימנות.

בנוסף, SSLoffload עבור ADFS יהיה זמין בקרוב כך שכבת האבטחה המלא יכול להיות מועבר על ידי Zevenet על ידי טעינת תעודת SSL ב LSLB | HTTP חווה עם המאזין HTTPS.

תשתף:

תיעוד על פי תנאי הרישיון לשימוש חופשי במסמכים של גנו.

האם המאמר הזה היה מועיל?

מאמרים נוספים