在Azure中部署AD FS

AD FS提供简化安全的身份联合验证和Web SSO。
ADFS和Azure AD O365联合起来的话,用户就可以拿本地的凭据来访问云上的所有资源。所以,ADFS就将本地资源和云上资源整合起来,至关重要。

ADFS部署在Azure上有以下有点:

  1. 高可用:因为有Azure Availability Set, 可以提高高可用性
  2. 容易扩容
  3. 跨地理冗余
  4. 容易管理

在Azure中部署AD FS_第1张图片

  • DC/ADFS:如果只有不到1000个用户ADFS角色可以直接部署在DC上。如果不想让ADFS影响DC的性能或者用户多于1000个,这样的话就要单独不部署一个ADFS
    Server。

  • WAP(Web Application
    Proxy)如果有外网用户想要访问,就必须要部署WAP,WAP要部署在DMZ外围网中。

  • DMZ:外围网,WAP部署在此。

  • 负载平衡:在ADFS server 和WAP前面都要放置负载平衡器

  • 可用性集:就是给相似的工作负载部署多台虚机,这样提高可用性。

  • 存储账户:建议有两个存储账户,如果只有一个存储账户的话,很容易有单点故障。

  • 网络分割:WAP要部署在外围网中,必须要把Vnet分为两个子网,然后把WAP部署在其中一个隔离的子网中。这个隔离用NGS network group security 来设置,设置两个子网中的通信限制。

用Azure Traffic Manager来部署ADFS跨地理位置的高可用部署

Azure Traffic Manager用来实现ADFS跨地理位置的高可用,通过用路由的方法来满足需求。
跨地理位置的高可用可以让ADFS可以:

  1. 可以克服单点故障
  2. 性能提高

在Azure中部署AD FS_第2张图片
上图和Azure ADFS 没太大差别,就是拓展了另一个地理区域。
有以下几点需要考虑:

  • 虚拟网络: 第二个地理区域需要重新建一个新的Vnet。
  • DC和新地理位置的ADFS server: 建议在新的地理位置的部署自己的DC,这样就不用跑老远去找遥远的DC去进行验证,这样慢、性能差。
  • 存储账户:新地儿要建立一个新的存储账户
  • NSG:一个地儿的NSG不能用在新地儿,所以要在新地方重新创建一个差不多的NSG
  • Azure Traffic Manager: Azure Traffic Manager把流量全球范围内进行分发, Azure Traffic Manager工作在DNS级别,DNS将客户端流量转去全球分布的终端点,这样客户端就直接和终端点链接,可以自定义不同的路由方式,权重,优先级,从而来自定义来满足自己的需求。
  • 两个区域内V-net和V-net之间的连接:不需要建立虚拟网络之间的连接,因为每个虚拟网络可以访问自己的DC,有自己的ADFS、WAP,所以联合身份验证在没有虚拟网络连接的区域之间也可以正常工作。

你可能感兴趣的:(AD,FS,ADFS,Azure)