此拓扑用于 Active Directory 联合身份验证服务 (AD FS) 不同于使用 Windows 内部数据库 (WID) 部署拓扑,因为不会将数据复制到每台联合服务器场中的联合身份验证服务器场。 相反,服务器场中的所有联合服务器可以读取和运行位于公司网络中的 Microsoft SQL Server 的服务器存储一个公用数据库写入数据。
谁应该使用此拓扑?
具有 100 多个需要向其内部用户和外部用户提供单一登录 (SSO) 访问联合应用程序或服务的信任关系的大型组织
组织已经使用 SQL Server 并且想要充分利用他们现有的工具和专业技能
使用此拓扑的好处是什么?
对更大数量的信任关系 (超过 100) 的支持
对令牌重放检测 (一种安全功能) 和项目解析 (安全断言标记语言 (SAML) 2.0 协议的一部分) 的支持
对 SQL Server 的全部好处,如数据库镜像故障转移群集、 报告和管理工具的支持
使用此拓扑的一些限制是什么?
默认情况下,此拓扑中不提供数据库冗余。 尽管联合服务器场与 WID 拓扑会自动复制在服务器场中每台联合服务器上的 WID 数据库,联合服务器场以及 SQL Server 拓扑包含只能有一个数据库副本
支持的 SQL Server 版本
下面的 SQL server 版本支持用于 Windows Server 2012 R2 中的 AD FS:
SQL Server 2008 / R2
SQL Server 2012
SQL 2014 Server
服务器布局和网络布局建议
与联合服务器场以及 WID 拓扑类似,所有服务器场中的联合服务器配置为使用一个群集域名系统 (DNS) 名称 (代表联合身份验证服务名称) 和一个群集 IP 地址作为网络负载平衡 (NLB) 群集配置的一部分。 这可帮助客户端将请求分配给各个联合服务器的 NLB 主机。 联合服务器代理可以使用代理客户端请求到联合服务器场。
下图显示虚构的 Contoso Pharmaceuticals 公司如何部署与公司网络中的 SQL Server 拓扑的联合服务器场。 它还显示该公司配置外围网络访问 DNS 服务器,其他 NLB 主机使用的相同群集 DNS 名称 (fs.contoso.com) 用于在公司网络 NLB 群集上,且两个 web 应用程序代理 (wap1 和 wap2)。
注意:
1、SQL Server 支持许多不同的数据和应用程序冗余选项包括故障转移群集、 数据库镜像,以及多种不同类型的 SQL Server 复制。
2、在使用此方案部署ADFS时,需要为ADFS服务在域中创建独立的用户,因为在配置ADFS过程中会重置用户的权限及角色