Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure-belastingsverdeling
Microsoft Entra
Microsoft Entra ID
Deze referentiearchitectuur implementeert een beveiligd hybride netwerk dat uw on-premises netwerk uitbreidt naar Azure en active Directory Federation Services (AD FS) gebruikt om federatieve verificatie en autorisatie uit te voeren voor onderdelen die worden uitgevoerd in Azure.
Architecture
Een Visio-bestand van deze architectuur downloaden.
Workflow
De volgende werkstroom komt overeen met het vorige diagram:
Ad DS-subnet (Active Directory Domain Services): De AD DS-servers bevinden zich in hun eigen subnet waarin NSG-regels (netwerkbeveiligingsgroep) fungeren als een firewall.
AD DS-servers: Domeincontrollers die worden uitgevoerd als virtuele machines (VM's) in Azure. Deze servers verifiëren lokale identiteiten binnen het domein.
AD FS-subnet: De AD FS-servers bevinden zich in hun eigen subnet en gebruiken NSG-regels als een firewall.
AD FS-servers: De AD FS-servers bieden federatieve autorisatie en verificatie. In deze architectuur voeren ze de volgende taken uit:
Ontvang beveiligingstokens die claims bevatten die zijn gemaakt door een partnerfederatieserver namens een partnergebruiker. AD FS controleert of de tokens geldig zijn voordat de claims worden doorgegeven aan de webtoepassing die wordt uitgevoerd in Azure om aanvragen te autoriseren.
De toepassing die in Azure wordt uitgevoerd, wordt de relying party genoemd. De federatieserver van de partner moet claims uitgeven die door de webtoepassing worden begrepen. De partnerfederatieservers worden accountpartners genoemd omdat ze toegangsaanvragen indienen namens geverifieerde accounts in de partnerorganisatie. De AD FS-servers worden resourcepartners genoemd omdat ze toegang bieden tot resources (de webtoepassing).
Binnenkomende aanvragen verifiëren en autoriseren van externe gebruikers met een webbrowser of apparaat dat toegang nodig heeft tot webtoepassingen met behulp van AD DS en de Active Directory-apparaatregistratieservice (DRS).
De AD FS-servers worden geconfigureerd als een farm die toegankelijk is via een Azure Load Balancer. Deze implementatie verbetert de beschikbaarheid en schaalbaarheid. De AD FS-servers worden niet rechtstreeks blootgesteld aan internet. Al het internetverkeer wordt gefilterd via AD FS-webtoepassingsproxyservers (WAP) en een gedemilitariseerde zone (DMZ), ook wel bekend als een perimeternetwerk.
Zie ad FS-overzicht voor meer informatie.
AD FS-proxysubnet: De AD FS-proxyservers kunnen zich in hun eigen subnet bevinden en NSG-regels gebruiken voor beveiliging. De servers in dit subnet worden blootgesteld aan internet via een set virtuele netwerkapparaten die een firewall bieden tussen uw virtuele Azure-netwerk en internet.
AD FS WAP-servers: Deze VM's fungeren als AD FS-servers voor binnenkomende aanvragen van partnerorganisaties en externe apparaten. De WAP-servers fungeren als een filter dat de AD FS-servers beschermt tegen directe toegang vanaf internet. Net als bij de AD FS-servers biedt het implementeren van de WAP-servers in een farm met taakverdeling u meer beschikbaarheid en schaalbaarheid dan het implementeren van een verzameling zelfstandige servers. Zie De WAP-server installeren en configureren voor meer informatie.
Partnerorganisatie: Een partnerorganisatie voert een webtoepassing uit die toegang aanvraagt tot een webtoepassing die wordt uitgevoerd in Azure. De federatieserver van de partnerorganisatie verifieert aanvragen lokaal en verzendt beveiligingstokens die claims bevatten naar AD FS die worden uitgevoerd in Azure. AD FS in Azure valideert de beveiligingstokens. Als de tokens geldig zijn, kan AD FS de claims doorgeven aan de webtoepassing die in Azure wordt uitgevoerd om ze te autoriseren.
Note
U kunt ook een VPN-tunnel configureren met behulp van een Azure-gateway om directe toegang te bieden tot AD FS voor vertrouwde partners. Aanvragen die van deze partners worden ontvangen, worden niet doorgegeven via de WAP-servers.
Components
Deze architectuur breidt de implementatie uit die wordt beschreven in Deploy AD DS in een virtueel Azure-netwerk. Het bevat de volgende onderdelen:
Een AD DS-subnet is een object dat een IP-adresbereik toe wijst aan een site. Met deze toewijzing kunnen domeincontrollers efficiënt verificatie en replicatie instellen op basis van de netwerklocatie van een client.
AD DS-servers zijn domeincontrollers waarop Active Directory Domain Services wordt gehost. Ze bieden gecentraliseerde verificatie, beleidsafdwinging en replicatie van adreslijstgegevens in bedrijfsnetwerken.
Een AD FS-subnet is een gedefinieerd IP-adresbereik binnen het netwerk of de virtuele infrastructuur waarop AD FS-servers of WAP-servers worden gehost. Dit IP-adresbereik maakt beveiligde verkeersstroom en sitebewuste verificatie mogelijk.
AD FS-servers zijn interne federatieservers die beveiligingstokens uitgeven en verificatieaanvragen verwerken met behulp van op claims gebaseerde identiteitsprotocollen.
Een AD FS-proxysubnet is een netwerksegment, meestal in een DMZ, die als host fungeert voor WAP-servers. Het maakt beveiligde relay van extern verificatieverkeer naar interne AD FS-servers mogelijk.
AD FS WAP-servers zijn omgekeerde proxyservers die zijn geïmplementeerd in perimeternetwerken die externe gebruikersaanvragen vooraf verifiëren en deze veilig doorsturen naar AD FS voor federatieve toegang.
Scenariodetails
AD FS kan on-premises worden gehost, maar als uw toepassing een hybride toepassing is waarin sommige onderdelen worden geïmplementeerd in Azure, kan het efficiënter zijn om AD FS in de cloud te repliceren.
In het vorige diagram ziet u de volgende scenario's:
Toepassingscode van een partnerorganisatie heeft toegang tot een webtoepassing die wordt gehost in uw virtuele Azure-netwerk.
Een externe, geregistreerde gebruiker met referenties die zijn opgeslagen in Active Directory Domain Services (AD DS) heeft toegang tot een webtoepassing die wordt gehost in uw virtuele Azure-netwerk.
Een gebruiker die is verbonden met uw virtuele netwerk met behulp van een geautoriseerd apparaat, voert een webtoepassing uit die wordt gehost in uw virtuele Azure-netwerk.
Deze referentiearchitectuur is gericht op passieve federatie, waarbij de federatieservers bepalen hoe en wanneer een gebruiker moet worden geverifieerd. De gebruiker biedt aanmeldingsgegevens wanneer de toepassing wordt gestart. Dit mechanisme wordt vooral gebruikt door webbrowsers en bevat een protocol waardoor de browser wordt omgeleid naar een site waar de gebruiker wordt geverifieerd. AD FS ondersteunt ook actieve federatie, waarbij een toepassing verantwoordelijk is voor het opgeven van referenties zonder verdere gebruikersinteractie, maar dat scenario valt buiten het bereik van deze architectuur.
Zie On-premises Active Directory-domeinen integreren met Microsoft Entra ID voor andere overwegingen.
Potentiële gebruikscases
Deze architectuur wordt doorgaans gebruikt voor:
Hybride toepassingen waarbij workloads deels on-premises en deels in Azure worden uitgevoerd.
Oplossingen die federatieve autorisatie gebruiken om webtoepassingen beschikbaar te maken voor partnerorganisaties.
Systemen die ondersteuning bieden voor toegang vanuit webbrowsers die worden uitgevoerd buiten de firewall van de organisatie.
Systemen die gebruikers toegang geven tot webtoepassingen door verbinding te maken vanuit geautoriseerde externe apparaten zoals externe computers, notebooks en andere mobiele apparaten.
Recommendations
U kunt de volgende aanbevelingen toepassen op de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.
Aanbevelingen voor netwerken
Configureer de netwerkinterface voor elk van de VM's die als host fungeren voor AD FS- en WAP-servers met statische privé-IP-adressen.
Geef de AD FS-VM's geen openbare IP-adressen. Zie de sectie Beveiligingsoverwegingen voor meer informatie.
Stel het IP-adres in van de dns-servers (preferred and secondary domain name service) voor de netwerkinterfaces voor elke AD FS- en WAP-VM om te verwijzen naar de AD DS-VM's. Op de AD DS-VM's moet DNS worden uitgevoerd. Deze stap is nodig zodat iedere VM kan deelnemen aan een domein.
Installatie van AD FS
Het artikel Een federatieserverfarm implementeren bevat gedetailleerde instructies voor het installeren en configureren van AD FS. Voer de volgende taken uit voordat u de eerste AD FS-server in uw farm configureert:
Vraag een algemeen vertrouwd certificaat aan voor het uitvoeren van serververificatie. De onderwerpnaam moet de naam bevatten die clients gebruiken voor toegang tot de federation-service. Deze id kan de DNS-naam zijn die is geregistreerd voor de load balancer, zoals
adfs.contoso.com. Vermijd het gebruik van jokertekennamen, zoals*.contoso.comom veiligheidsredenen. Gebruik hetzelfde certificaat voor alle server-VM’s in AD FS. U kunt een certificaat kopen bij een vertrouwde certificeringsinstantie, maar als uw organisatie Gebruikmaakt van Active Directory Certificate Services, kunt u uw eigen certificaat maken.De DRS gebruikt de alternatieve naam van het onderwerp om toegang vanaf externe apparaten in te schakelen. Deze DNS-naam moet de indeling
enterpriseregistration.contoso.comvolgen.Zie Een Secure Sockets Layer-certificaat verkrijgen en configureren voor AD FS voor meer informatie.
Genereer op de domeincontroller een nieuwe hoofdsleutel voor de KDS (Key Distribution Service). Stel de effectieve tijd in op de huidige tijd min 10 uur. Deze configuratie vermindert de vertraging die kan optreden bij het distribueren en synchroniseren van sleutels in het domein. Deze stap is nodig ter ondersteuning van het maken van het groepsserviceaccount dat wordt gebruikt om de AD FS-service uit te voeren. De volgende PowerShell-opdracht laat zien hoe u een nieuwe KDS-hoofdsleutel genereert met een tijdverschil:
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)Voeg iedere server-VM in AD FS toe aan het domein.
Note
Als u AD FS wilt installeren, moet de domeincontroller waarop de primaire domeincontrolleremulator flexibele enkele hoofdbewerkingsrol voor het domein wordt uitgevoerd en toegankelijk zijn vanaf de AD FS-VM's.
AD FS-vertrouwensrelatie
Stel federatieve vertrouwensrelatie tot stand tussen uw AD FS-installatie en de federatieservers van alle partnerorganisaties. Configureer alle vereiste claims filteren en toewijzen.
Het DevOps-personeel van elke partnerorganisatie moet een vertrouwensrelatie van de relying party toevoegen voor de webtoepassingen die toegankelijk zijn via uw AD FS-servers.
Het DevOps-personeel in uw organisatie moet een vertrouwensrelatie met de claimprovider configureren, zodat uw AD FS-servers de claims vertrouwen die van partnerorganisaties afkomstig zijn.
DevOps-personeel in uw organisatie moet AD FS ook configureren om claims door te geven aan de webtoepassingen van uw organisatie.
Zie Een federatieve vertrouwensrelatie tot stand brengen voor meer informatie.
Publiceer de webtoepassingen van uw organisatie en maak ze toegankelijk voor externe partners door middel van verificatie vooraf via de WAP-servers. Zie Toepassingen publiceren met ad FS-verificatie vooraf voor meer informatie.
AD FS ondersteunt het transformeren en uitbreiden van tokens. Microsoft Entra ID biedt deze functie niet. Wanneer u de vertrouwensrelaties instelt met AD FS, kunt u de volgende taken uitvoeren:
Claimtransformaties voor autorisatieregels configureren. U kunt bijvoorbeeld groepsbeveiliging toewijzen vanuit een representatie die wordt gebruikt door een niet-Microsoft-partnerorganisatie aan iets dat AD DS in uw organisatie kan autoriseren.
Claims transformeren van de ene indeling naar de andere. U kunt bijvoorbeeld claims van SAML 2.0 toewijzen aan SAML 1.1 als uw toepassing alleen claims van SAML 1.1 ondersteunt.
Controle van AD FS
Het Microsoft System Center Management Pack voor AD FS 2012 R2 biedt zowel proactieve als reactieve bewaking van uw AD FS-implementatie voor de federatieserver. Dit management pack bewaakt de volgende aspecten van uw AD FS-implementatie:
Gebeurtenissen die de AD FS-service registreert in de gebeurtenislogboeken
De prestatiegegevens die de AD FS-prestatiemeteritems verzamelen
De algehele status van het AD FS-systeem en webtoepassingen (relying party's) en voor kritieke problemen en waarschuwingen
Een andere optie is om AD FS te bewaken met behulp van Microsoft Entra Connect Health. Connect Health biedt bewaking van uw on-premises identiteitsinfrastructuur. Hiermee kunt u een betrouwbare verbinding met Microsoft 365- en Microsoft-onlineservices onderhouden. Het bereikt deze betrouwbaarheid door bewakingsmogelijkheden te bieden voor uw belangrijkste identiteitsonderdelen. Het maakt ook de belangrijkste gegevenspunten over deze onderdelen toegankelijk.
Considerations
Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Well-Architected Framework voor meer informatie.
Reliability
Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Controlelijst ontwerpbeoordeling voor betrouwbaarheidvoor meer informatie.
Maak een AD FS-farm met minimaal twee servers om de beschikbaarheid van de service te verhogen. Gebruik verschillende opslagaccounts voor elke AD FS-VM in de farm. Deze aanpak zorgt ervoor dat een fout in één opslagaccount de hele farm niet toegankelijk maakt.
Maak afzonderlijke Azure-beschikbaarheidssets voor de AD FS- en WAP-VM’s. Zorg ervoor dat er minimaal twee VM's in elke set staan. Elke beschikbaarheidsset moet minimaal twee updatedomeinen en twee foutdomeinen hebben.
Configureer de load balancers voor de AD FS-VM's en WAP-VM's door de volgende stappen uit te voeren:
Gebruik een Azure Load Balancer om externe toegang te bieden tot de WAP-VM's en een interne load balancer om de belasting over de AD FS-servers in de farm te verdelen.
Geef alleen verkeer door dat wordt weergegeven op poort 443 (HTTPS) naar de AD FS- of WAP-servers.
Geef de load balancer een statisch IP-adres.
Een statustest maken met behulp van HTTP voor
/adfs/probe. Zie Een aangepaste HTTP/HTTPS-statustest maken voor Azure Load Balancer voor meer informatie.Note
AD FS-servers gebruiken het protocol Servernaamindicatie, waardoor HTTPS-eindpunttests van de load balancer mislukken.
Voeg een DNS A-record toe aan het domein voor de AD FS-load balancer. Geef het IP-adres van de load balancer op en geef het een naam in het domein, zoals
adfs.contoso.com. Deze DNS-record is de naam die clients en de WAP-servers gebruiken voor toegang tot de AD FS-serverfarm.
U kunt SQL Server of de interne database van Windows gebruiken om informatie over de AD FS-configuratie op te slaan. De interne database van Windows biedt eenvoudige redundantie. Wijzigingen worden naar slechts één van de AD FS-databases in het AD FS-cluster geschreven, terwijl de andere servers pull-replicatie gebruiken om hun databases up-to-date te houden. Het gebruik van SQL Server kan volledige databaseredundantie en hoge beschikbaarheid bieden met behulp van failoverclustering of spiegeling.
Security
Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie voor meer informatie controlelijst ontwerpbeoordeling voor Security.
AD FS maakt gebruik van HTTPS, dus zorg ervoor dat de NSG-regels voor het subnet met de weblaag-VM's HTTPS-aanvragen toestaan. Deze aanvragen kunnen afkomstig zijn van het on-premises netwerk, de subnetten die de weblaag, bedrijfslaag, gegevenslaag, persoonlijke DMZ, openbare DMZ en het subnet met de AD FS-servers bevatten.
Voorkom directe blootstelling van de AD FS-servers aan internet. AD FS-servers zijn computers die lid zijn van een domein en die volledige bevoegdheid hebben voor het verlenen van beveiligingstokens. Als er met een server is geknoeid, kan een kwaadwillende gebruiker tokens voor volledige toegang uitgeven voor alle webtoepassingen en alle federatieve servers die met AD FS worden beveiligd. Als uw systeem aanvragen van gasten moet verwerken die geen verbinding maken vanaf vertrouwde partnersites, gebruikt u WAP-servers om deze aanvragen te verwerken. Zie Waar u een federatieserverproxy kunt plaatsen voor meer informatie.
Plaats AD FS-servers en WAP-servers in afzonderlijke subnetten die hun eigen firewalls hebben. U kunt NSG-regels gebruiken om firewallregels te definiëren. Alle firewalls moeten verkeer op poort 443 (HTTPS) toestaan.
Beperk directe aanmeldingstoegang tot de AD FS- en WAP-servers. Alleen DevOps-personeel moet verbinding kunnen maken. Koppel de WAP-servers niet aan het domein.
Overweeg om een set virtuele netwerkapparaten te gebruiken waarmee gedetailleerde informatie wordt vastgelegd over verkeer dat de rand van uw virtuele netwerk doorkruist voor controledoeleinden.
Kostenoptimalisatie
Kostenoptimalisatie richt zich op manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie controlelijst ontwerpbeoordeling voor kostenoptimalisatievoor meer informatie.
Microsoft Entra Domain Services.
Overweeg om Microsoft Entra Domain Services te gebruiken als een gedeelde service die meerdere workloads verbruiken om de kosten te verlagen. Zie De prijzen van Domain Services voor meer informatie.
AD FS
Zie De prijzen van Microsoft Entra voor informatie over de edities die Microsoft Entra-id biedt. De FUNCTIE AD FS is beschikbaar in alle edities.
Operationele uitmuntendheid
Operational Excellence behandelt de operationele processen die een toepassing implementeren en deze in productie houden. Zie controlelijst ontwerpbeoordeling voor Operational Excellencevoor meer informatie.
DevOps-personeel moet zijn voorbereid op het uitvoeren van de volgende taken:
De federatieservers beheren, waaronder het beheren van de AD FS-farm, het beheren van vertrouwensbeleid op de federatieservers en het beheren van de certificaten die de federation-services gebruiken
De WAP-servers beheren, inclusief het beheren van de WAP-farm en -certificaten
Webtoepassingen beheren, waaronder het configureren van relying party's, verificatiemethoden en claimtoewijzingen
Back-up maken van AD FS-onderdelen
Zie AD DS implementeren in een virtueel Azure-netwerk voor andere DevOps-overwegingen.
Prestatie-efficiëntie
Prestatie-efficiëntie verwijst naar de mogelijkheid van uw workload om efficiënt te voldoen aan de behoeften van de gebruiker. Zie controlelijst ontwerpbeoordeling voor prestatie-efficiëntievoor meer informatie.
De volgende overwegingen, die afkomstig zijn uit het artikel Uw AD FS-implementatie plannen, bieden een uitgangspunt voor het aanpassen van de grootte van AD FS-farms:
Als u minder dan 1000 gebruikers hebt, maakt u geen toegewezen servers. Installeer IN plaats daarvan AD FS op elk van de AD DS-servers in de cloud. Zorg ervoor dat u ten minste twee AD DS-servers hebt om de beschikbaarheid te behouden. Maak één WAP-server.
Als u tussen 1.000 en 15.000 gebruikers hebt, maakt u twee toegewezen AD FS-servers en twee toegewezen WAP-servers.
Als u tussen 15.000 en 60.000 gebruikers hebt, maakt u tussen drie en vijf toegewezen AD FS-servers en ten minste twee toegewezen WAP-servers.
Bij deze overwegingen wordt ervan uitgegaan dat u dual quad-core VM's (Standard D4_v2 of beter) gebruikt in Azure.
Als u de interne Windows-database gebruikt om AD FS-configuratiegegevens op te slaan, bent u beperkt tot acht AD FS-servers in de farm. Als u denkt dat u in de toekomst meer nodig hebt, gebruikt u SQL Server. Zie de rol van de AD FS-configuratiedatabase voor meer informatie.
Contributors
Microsoft onderhoudt dit artikel. De volgende inzenders hebben dit artikel geschreven.
Hoofdauteur:
- Sarah Parkes | Senior Cloud Solution Architect
Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.