У нашего клиента уже есть существующий лес ForestA. В этом лесу есть 2 веб-сервера, присоединенных к домену. Пользователи при подключении к приложению перенаправляются на страницу входа в ADFS, они вводят свои учетные данные домена и входят в систему. Теперь клиент хочет перенести это приложение в Azure (lift and shift). Учетные записи пользователей продолжают оставаться в ForestA. Между ForestA и новым лесом ForestB нет доверия AD.
Клиент подтвердил, что нет необходимости присоединять 2 веб-сервера к новому домену в ForestB. Они будут работать как автономные серверы. Однако они по-прежнему хотят, чтобы аутентификация работала как прежде. Управление Forest A, включая серверы ADFS в этом лесу, осуществляется сторонним поставщиком.
Пожалуйста, предложите возможную архитектуру? Нужно ли нам присоединять веб-серверы к ForestB и развертывать дополнительные серверы ADFS в ForestB?
решение1
нет, просто добавьте federaton trust для вашего веб-сервера с ADFS и разверните adfs в ForestA. Это будет работать нормально.
Если кто-то хочет быстро настроить простой одноузловой сервер ADFS из одного скрипта. Требуется только предоставить данные отпечатка сертификата связи. И в качестве бонуса он развертывает функцию MFA для ADFS с кодами OTP. Информация о том, как установить демонстрационную версию ADFS с OTP, находится по следующей ссылке: https://www.securemfa.com/downloads/mfa-otp#h.p_0CFeLwIix8Fa