Opções de proxy reverso balanceado de carga do ADFS 3.0

3

Estamos implantando o ADFS no servidor 2012 R2. A Microsoft recomenda um mínimo de 2 servidores ADFS e 2 servidores executando a função de proxy de aplicativo da Web na DMZ.

Minha pergunta é: Nós já temos no lugar 2 servidores proxy reversos do Apache na DMZ rodando o mod_balancer. Além de perder a capacidade de fazer pré-autenticação. É onde algum motivo para usar servidores proxy de aplicativos da web da microsoft vs apache? Não temos um balanceador de carga de hardware.

Obrigado!

EDITAR:

Em outras palavras. Quais são as implicações de usar o Apache reverse_proxies (VRRP) + mod_reverse_balancer redundantes para balancear a carga do farm do ADFS em relação aos Proxies do Aplicativo do Windows usando NLB e o farm do ADFS usando o NLB?

    
por Brandon 18.03.2015 / 20:37

1 resposta

1

Na minha opinião, não há grandes razões para usar o Windows WAP em vez de seus servidores Apache. Se você usa o WAP, então você tem uma melhor integração com o ADFS, é claro, você pode usar a autenticação integrada de 2 fatores. Mas você precisa de servidores adicionais, não ótimo se você já tiver proxies reversos / balanceadores de carga em seu ambiente.

Tenha cuidado com uma coisa: o ADFS está usando a autenticação do Windows. Ao acessar seus servidores da web, você precisa de algum mecanismo em seus proxies reversos para "traduzir" a autenticação de formulários do seu proxy para autenticação NTLM / Kerberos usada pelo ADFS (bem, a menos que seja ok para você mostrar apenas o login padrão) prompt "do seu navegador).

Na minha empresa, temos servidores do ADFS 3.0 atrás de proxies reversos F5 e tudo está funcionando corretamente. Não WAP.

    
por 20.03.2015 / 09:28