クライアントには、既存のフォレスト ForestA が既にあります。このフォレストには、ドメインに参加している 2 台の Web サーバーがあります。アプリケーションに接続すると、ユーザーは ADFS サインイン ページに移動し、ドメイン資格情報を入力してログインします。現在、クライアントはこのアプリケーションを Azure に移行したいと考えています (リフト アンド シフト)。ユーザー アカウントは引き続き ForestA に残ります。ForestA と新しいフォレスト ForestB の間には AD 信頼関係はありません。
クライアントは、2 つの Web サーバーを ForestB の新しいドメインに参加させる必要がないことを確認しました。これらはスタンドアロン サーバーとして実行されます。ただし、認証は以前と同じように機能することを望んでいます。フォレスト内の ADFS サーバーを含むフォレスト A の管理は、サード パーティ ベンダーによって行われます。
どのようなアーキテクチャが可能かご提案ください。Web サーバーを ForestB に参加させ、追加の ADFS サーバーを ForestB に展開する必要がありますか?
答え1
いいえ、ADFS を使用して Web サーバーのフェデレーション信頼を追加し、ForestA に adfs を展開するだけです。これで問題なく動作します。
1 つのスクリプトからシンプルな 1 ノード ADFS サーバーをすばやくセットアップしたい場合、通信証明書の拇印の詳細を提供するだけで済みます。また、ボーナスとして、OTP コードを使用して ADFS の MFA 機能を展開します。次のリンクに、OTP を使用して ADFS デモをインストールする方法が記載されています。 https://www.securemfa.com/downloads/mfa-otp#h.p_0CFeLwIix8Fa