Planificar la implementación de AD FS
Se aplica a: Azure, Office 365, Power BI, Windows Intune
El primer paso para planear una implementación de AD FS para un servicio en la nube de Microsoft es seleccionar la topología de implementación adecuada para satisfacer las necesidades de inicio de sesión único de su organización. AD FS requiere que utilices la característica Windows Internal Database (WID) o una base de datos de SQL Server para almacenar los datos de configuración de AD FS utilizados por el servicio de federación.
La topología recomendada de AD FS para la mayoría de los clientes de servicios en la nube de Microsoft es el uso de la granja de servidores de federación con la topología de servidores proxy y WID que se indica a continuación. Además, existe una opción avanzada para crear una granja de servidores de federación con proxies SQL server, que se mencionará más adelante en esta sección.
Además, en esta sección se facilita una tabla para determinar el número de servidores de AD FS que se deben implementar en tu organización, así como información sobre la adición de servidores de federación para aumentar el rendimiento.
Topología recomendada: granja de servidores de federación con WID y servidores proxy
Opción avanzada: granja de servidores de federación con SQL Server y servidores proxy
Tabla de estimación: determine el número de servidores de AD FS que se van a implementar en su organización.
Adición de servidores de federación para aumentar el rendimiento
Topología recomendada: granja de servidores de federación con WID y servidores proxy
La topología predeterminada para un servicio en la nube de Microsoft es una granja de servidores de federación de AD FS que consta de varios servidores que hospedan el servicio de federación de la organización. En esta topología, AD FS utiliza WID como base de datos de configuración de AD FS para todos los servidores de federación que se unen a esa granja. La granja replica y mantiene los datos del Servicio de federación de la base de datos de configuración de todos los servidores de la granja.
Al crear el primer servidor de federación en una granja, se crea también un nuevo Servicio de federación. Cuando se usa WID como base de datos de configuración de AD FS, el primer servidor de federación que se crea en la granja se denomina servidor de federación principal. Esto significa que el equipo se configurará con una copia de lectura/escritura de la base de datos de configuración de AD FS.
Todos los demás servidores de federación configurados para esta granja se denominan servidores de federación secundarios, ya que deben replicar todos los cambios que se realizan en el servidor de federación principal en sus copias de solo lectura de la base de datos de configuración de AD FS que almacenan de forma local.
Nota
Recomendamos usar al menos dos servidores de federación en las configuraciones de carga equilibrada.
La configuración de esta topología básica de granja de servidores de federación es la primera fase de tu implementación de AD FS. La segunda fase consiste en determinar cómo proporcionar la funcionalidad de control de acceso de los usuarios externos mediante la implementación de:
Proxies de aplicación web, si utilizas AD FS en Windows Server 2012 R2
Servidores proxy de federación, si utilizas AD FS 2.0 o AD FS en Windows Server 2012
Fase 1: Implementación de la granja de servidores de federación
Cuando esté preparado para iniciar la implementación de su granja, deberá planear la ubicación de todos los servidores de federación de su red corporativa detrás de un host de Equilibrio de carga de red (NLB) que puede configurarse para un clúster de NLB con un nombre DNS de clúster dedicado y una dirección IP de clúster.
Importante
Este nombre DNS del clúster debe coincidir con el nombre del servicio de federación (por ejemplo, fs.fabrikam.com) y poder enrutarse en Internet para la instancia de AD FS que implementes. Si el nombre no coincide, la solicitud de autenticación no se redirigirá al servidor DNS o servidor de federación correctos.
El host de NLB puede usar la configuración definida en este clúster de NLB para asignar solicitudes de cliente a los servidores de federación individuales. En el siguiente diagrama se muestra cómo Fabrikam, Inc. puede configurar la primera fase de su implementación mediante una granja de servidores de federación de dos equipos (fs1 y fs2) con WID y el posicionamiento de un servidor DNS y un único host de NLB conectado a la red corporativa.
.gif "Federation Server Farm with WID")
Nota
Si se produce un error en este único host NLB, los usuarios no podrán acceder al servicio en la nube. Agregue más hosts de NLB si sus necesidades empresariales no le permiten tener un único punto de error.
Fase 2: Implementación de servidores proxy
En general, los servidores proxy se usan para redirigir las solicitudes de autenticación de cliente procedentes de fuera de la red corporativa a la granja de servidores de federación, es decir, para configurar el acceso de extranet.
Importante
Según la versión de AD FS que quieras utilizar, puedes implementar proxies de aplicación web (en AD FS en Windows Server 2012 R2) o servidores proxy de federación (en AD FS 2.0 y AD FS en Windows Server 2012). Para conocer las definiciones y las descripciones de las funciones de un Application Proxy web y un proxy de servidor de federación, consulte Revisión de la terminología de AD FS.
Para un cliente de servicio en la nube de Microsoft, es necesario implementar servidores proxy en la infraestructura de AD FS existente para habilitar los siguientes escenarios de usuario:
Equipo de trabajo, itinerancia: Los usuarios que han iniciado sesión en equipos unidos a un dominio con sus credenciales corporativas, pero que no están conectados a la red corporativa (por ejemplo, un equipo de trabajo en casa o en un hotel), pueden acceder al servicio en la nube.
Equipo principal o público: Cuando el usuario usa un equipo que no está unido al dominio corporativo, el usuario debe iniciar sesión con sus credenciales corporativas para acceder al servicio en la nube.
Teléfono inteligente: En un teléfono inteligente, para acceder al servicio en la nube, como Microsoft Exchange Online mediante Microsoft Exchange ActiveSync, el usuario debe iniciar sesión con sus credenciales corporativas.
Microsoft Outlook u otros clientes de correo electrónico: el usuario debe iniciar sesión con sus credenciales corporativas para acceder a su correo electrónico de Office 365 si usa Outlook o un cliente de correo electrónico que no forma parte de Office; por ejemplo, un cliente IMAP o POP.
Para admitir estos escenarios de usuario, esta segunda fase se integrará en la Fase 1 de implementación explicada anteriormente mediante la adición de dos servidores proxy de aplicación web y dos servidores proxy de federación, el acceso a un servidor DNS en la red perimetral y el acceso a un segundo host NLB en la red perimetral.
El segundo host de NLB debe configurarse con un clúster de NLB que usa una dirección IP de clúster a la que se puede acceder desde Internet, y debe usar la misma configuración de nombre DNS de clúster que el clúster de NLB anterior configurado en la red corporativa durante la Fase 1 (fs.fabrikam.com). Los servidores proxy de aplicación web o los servidores proxy de federación también se configurarán con direcciones IP a las que se pueda tener acceso desde Internet.
El siguiente diagrama muestra la implementación existente de la Fase 1 y cómo Fabrikam, Inc. puede proporcionar acceso a un servidor DNS perimetral, agregar un segundo host de NLB con el mismo nombre DNS de clúster (fs.fabrikam.com) y agregar dos servidores proxy de federación (fsp1 y fsp2) a la red perimetral.
El siguiente diagrama muestra la implementación existente de la Fase 1 y cómo Fabrikam, Inc. puede proporcionar acceso a un servidor DNS perimetral, agregar un segundo host NLB con el mismo nombre DNS del clúster (fs.fabrikam.com) y agregar dos servidores proxy de aplicación web (fsp1 y fsp2) a la red perimetral.
.gif "ADFSProxyDeploymentSSO")
Nota
- Puede utilizar soluciones de proxy inverso HTTP de otros fabricantes para publicar AD FS en la extranet. Para obtener más información sobre cómo hacerlo, consulte Configuración de opciones avanzadas para AD FS 2.0.
- Todas las comunicaciones de AD FS que pasan por el firewall se basan en HTTPS.
- Puede crear reglas de notificación personalizadas en AD FS que limitarán el acceso de los usuarios al servicio en la nube en función de la ubicación física del equipo cliente o del dispositivo cliente a través del cual el usuario solicita acceso. Para obtener más información acerca de cómo crear estas reglas, vea Limiting Access to Office 365 Services Based on Client Location (Limitar el acceso a los servicios de Office 365 según la ubicación del cliente).
Opción avanzada: granja de servidores de federación con SQL Server y servidores proxy
Esta es una opción avanzada de topología de implementación de AD FS que utiliza proxies de aplicación web o servidores proxy de federación y una configuración de SQL Server para permitir que todos los servidores de federación de la granja lean y escriban en una base de datos SQL Server común. Usar una base de datos de SQL Server como base de datos de configuración de AD FS tiene algunas ventajas respecto a WID:
Características de alta disponibilidad de SQL Server que pueden usar los administradores.
Mejoras de rendimiento adicionales, incluida la capacidad de escalar horizontalmente con más servidores de federación (una granja de servidores WID tiene un límite de 30 servidores de federación si tiene 100 o menos confianzas de usuario autenticado. Si tiene más de 100 confianzas de usuario autenticado, una granja de servidores WID tiene un límite de 5 servidores de federación. ).
Equilibrio de carga geográfico para contribuir a los aumentos en el tráfico elevado basado en la ubicación.
Nota
Dado que esta topología es una opción avanzada de implementación de AD FS, en este artículo no se abordan los detalles de cómo funciona esta topología ni cómo implementarla.
Para obtener más información acerca de esta opción de topología, vea Configuring Advanced Options for AD FS 2.0 (Configurar opciones avanzadas para AD FS 2.0).
Tabla de estimación: determine el número de servidores de AD FS que se van a implementar en su organización.
Puede usar la tabla siguiente para ayudarle a calcular el número mínimo de servidores de federación de AD FS y servidores proxy de aplicación web o servidores proxy de federación que tendrá que colocar en una granja de servidores de federación configurada con WID en toda la infraestructura de red corporativa en función del número de usuarios que requerirán acceso de inicio de sesión único, incluido el acceso remoto al servicio en la nube.
Nota
Todos los equipos que se configurarán para el servidor de federación o el rol proxy de servidor de federación deben ejecutar el Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 sistema operativo. Todos los equipos que se configuren para ejecutar el servicio de rol de proxy de aplicación web deben ejecutar el sistema operativo Windows Server 2012 R2.
Le recomendamos que use un servidor de federación para dar cuenta de la redundancia. La siguiente tabla sigue esta recomendación.
| Número de usuarios que acceden al servicio en la nube | Número mínimo de servidores para implementación | Recomendación y pasos |
|---|---|---|
Menos de 1000 usuarios |
0 servidores de federación dedicados 0 servidores proxy dedicados 1 servidor de NLB dedicado |
Para los servidores de federación, use dos controladores de dominio de Active Directory existentes (CONTROLADORES de dominio) y configúrelos para el rol de servidor de federación. Para ello, seleccione primero dos DC existentes y, a continuación, haga lo siguiente:
En NLB, configure un host de NLB existente u obtenga un servidor dedicado y, a continuación, instale el rol de servidor de NLB en él y configure el servidor de NLB. Para los servidores proxy, utiliza dos servidores proxy o web existentes y configura ambos para el rol de servidor proxy de federación o el rol de proxy de aplicación web. Para ello, seleccione dos servidores web o proxy existentes que residen en la extranet y, a continuación, haga lo siguiente:
Nota Si no tiene dos controladores de dominio existentes y dos servidores web o proxy o no se ejecutan Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2, debe implementar servidores dedicados en su lugar, como se describe en la siguiente fila de esta tabla. Importante Si ejecutas AD FS 2.0 o AD FS en Windows Server 2012, debes implementar y configurar servidores proxy de federación. Si utilizas AD FS en Windows Server 2012 R2, solo puedes configurar e implementar servidores proxy de aplicación web. En Windows Server 2012 R2, se utiliza un proxy de aplicación web, un nuevo servicio del rol de servidor de acceso remoto, para configurar AD FS para el acceso de extranet. |
Entre 1 000 y 15 000 usuarios |
2 servidores de federación dedicados 2 servidores proxy dedicados |
En los servidores de federación, obtenga dos servidores dedicados y, a continuación, haga lo siguiente:
Para los servidores proxy, obtén dos servidores dedicados que puedas colocar en la extranet:
Importante Si ejecutas AD FS 2.0 o AD FS en Windows Server 2012, debes implementar y configurar servidores proxy de federación. Si utilizas AD FS en Windows Server 2012 R2, solo puedes configurar e implementar servidores proxy de aplicación web. En Windows Server 2012 R2, se utiliza un proxy de aplicación web, un nuevo servicio del rol de servidor de acceso remoto, para configurar AD FS para el acceso de extranet. |
De 15 000 a 60 000 usuarios |
Entre 3 y 5 servidores de federación dedicados Al menos 2 servidores proxy dedicados |
Cada servidor de federación dedicado puede admitir aproximadamente 15 000 usuarios. Por lo tanto, agregue un servidor de federación dedicado adicional a la implementación base de dos servidores de federación descrito anteriormente para cada 15 000 usuarios que requerirán acceso al servicio en la nube, hasta un máximo de cinco servidores de federación en la granja de servidores o 60 000 usuarios. Nota Una granja de servidores de federación de AD FS configurada para utilizar WID admite un máximo de cinco servidores de federación. Si necesitas más de cinco servidores de federación, debes configurar una base de datos SQL Server para almacenar la base de datos de configuración de AD FS. Para obtener más información acerca de esta opción, vea Configuring Advanced Options for AD FS 2.0 (Configurar opciones avanzadas para AD FS 2.0). |
Las recomendaciones sobre el número mínimo de usuarios por servidor proporcionadas en la tabla anterior se calculan en función del siguiente hardware:
| Hardware | Especificaciones |
|---|---|
Velocidad de CPU |
CPU de 2,27 GHz con procesador dual de cuatro núcleos (8 núcleos) |
RAM |
4 gigabytes (GB) |
Red |
Gigabit |
Adición de servidores de federación para aumentar el rendimiento
Cuando se configuran dos o más servidores de federación en una granja mediante la tecnología NLB, pueden funcionar de forma independiente para contribuir al procesamiento de la carga de las solicitudes de usuario entrantes realizadas al servicio de federación de AD FS, sin necesidad de restar rendimiento general al servicio completo. Por tanto, la adición de más servidores de federación al entorno de producción existente supone poca sobrecarga una vez ha implementado los servidores de federación iniciales de forma estratégica en su red.
Paso siguiente
Ahora que ha planeado la implementación de AD FS, el siguiente paso es Revisar los requisitos para implementar AD FS.
Consulte también
Conceptos
Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único