Estou tentando mover meu ADFS / WAP para a nuvem para oferecer melhor resiliência depois de experimentar uma falha recente.
Em parte para economizar nos custos de VM, estou usando apenas duas VMs, com o ADFS instalado em um controlador de domínio e o WAP em uma máquina separada. Parece que muitas pessoas recomendam executar o ADFS em um controlador de domínio.
Estou um pouco preso quando chega a hora de configurar o Web Application Proxy. Ele solicita uma conta de administrador local no servidor ADFS ... nesse caso, eu teria que adicionar a conta ao MyDomain \ Administrators, um grupo de alto risco. Isso realmente não se encaixa com a idéia de executar o ADFS em um controlador de domínio.
Ao iniciar a configuração pós-instalação do WAP, estou vendo a página do Servidor de Federação, onde ela solicita o Nome do Serviço de Federação e, logo abaixo, ele solicita uma conta de administrador local no servidor do ADFS. Não há um grupo de administradores locais no DC, claro, apenas o grupo Domain \ Administrators equivalente que dá acesso a modificar o próprio domínio.
Existe uma maneira de contornar isso, além de tirar o papel do ADFS do DC? Uma conta mais limitada talvez? Ou é este risco menor do que parece à primeira vista?
OK, eu achei isso: link e lendo de perto, ele diz que as credenciais do administrador não são salvas, mas são usadas apenas para crie a confiança de proxy inicial. Isso não é claro pela documentação da Microsoft que pude encontrar, mas vou confiar nela.
Eu usei uma conta de administrador de domínio para o nosso serviço ADFS, embora não esteja no DC. Eu provavelmente interpretei mal e pensei que fosse necessário um administrador de domínio. Eu fiz uma conta dedicada para isso, e o servidor ADFS está dentro do firewall e estamos executando um WAP que não está associado ao domínio na DMZ. Para nós, isso é segurança razoável.
Se você realmente não quiser usar uma conta de administrador de domínio, precisará desativá-la.