Deep Dive: Active Directory Federation Services (ADFS) Bölüm 3

ADFS Deployment Türleri

Active Directory Federation Services (ADFS), kurumların kişilik doğrulama işlemlerini orta olarak yönetmesini sağlayan tek federasyon servisidir. Özellikle Single Sign-On (SSO) senaryolarında, farklı uygulamalar ve servisler arasında güven ilişkisi kurarak kullanıcıların tekbaşına tek kişilik ile birden fazla sisteme erişmesine olanak tanır.

ADFS mimarisi kurulurken en önemli başlıklardan arasında biri deployment modelinin doğru seçilmesidir. Çünkü seçilen mimari; ölçeklenebilirlik, yüksek erişilebilirlik, yönetilebilirlik ve icra gibi faktörleri doğrudan tesirler.

Genel olarak ADFS için üç farklı deployment modeli bulunmaktadır:

1. Standalone Federation Server (WID)
2. Federation Server Farm – Windows Internal Database (WID)
3. Federation Server Farm – SQL Server

Bu makalede bu üç mimariyi detaylı şekilde inceleyeceğiz.

Standalone Federation Server modeli, ADFS’in en basit deployment türüdür. Bu modelde ortamda yalınce tekbaşına tek ADFS sunucusu bulunur ve bu sunucu federasyon hizmetini tekbaşına başına sağlar.

Bu mimaride ADFS konfigürasyon malumatleri Windows Internal Database (WID) üzerinde tutulur. WID, Windows Server ile birlikteki gelen ve ayrı tek SQL Server kurulumuna ihtiyaç duymayan gömülü tek veritabanıdır.

Bu modeller küçük organizasyonlar için başlangıçta oldukça uygulamalı görünebilir. Tek tek sunucu üzerinde kurulum yapılır ve ilave altyapı lüzumtirmez.

Ancak bu mimarinin vahim sınırlamaları vardır.

Standalone ADFS kurulumunda:

• Ortama sonuncu tek ADFS sunucusu eklenemez
• Yük dmanieme yapılamaz
• Yüksek erişilebilirlik sağlanamaz

Başka tek deyişle, tekbaşına husus yanlışsı (single noktalar of failure) oluşur. Eğer bu ADFS sunucusu erişilemez hale gelirse federasyon servisleri tamamlanmış durur.

Örneğin küçük tek şirket başlangıçta Standalone ADFS kurabilir. Ancak şirket büyüdüğünde ve ilave ADFS sunucuları ekledi istediğinde bu mimari buna müsaade vermez. Bu nedenle yeniden mimari tasarım etmek lüzumir.

Bu sebeple Microsoft, bu deployment modelini Windows Server 2012 R2 sonrasında kullanımdan kaldırmıştır.

Standalone Federation Server modeli aşağıdaki platformlarda yardımlenmiştir:

• Windows Server 2008 (ADFS 2.0)
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2

Günümüzde üretim ortamları için önerilen tek modeller değildir.

ADFS için en yaygın kullanılan mimari Federation Server Farm with WID modelidir. Bu modelde birden fazla ADFS sunucusu bulunur ve bu sunucular birlikteki çalışarak tek ADFS çiftlikler oluşturur.

Farm kavramı basitçe şunu ifadeleri eder:

Birden fazla ADFS sunucusunun aynı federasyon servisini sunmak için birlikteki çalıştığı mantıksal tek küme. Bu deployment modelinde ADFS konfigürasyon malumatleri yine Windows Internal Database (WID) üzerinde tutulur.

ADFS kurulumu sırasında ikisi seçenek sunulur:

• Default installation (WID kullanır)
• SQL Server kullanarak kurulum

Varsayılan kurulum seçildiğinde ADFS sunucusu ile birlikteki WID otomatik olarak kurulur ve ADFS Configuration Database oluşturulur.

Bu veritabanı şu malumatleri içerir:

• Relying Party Trust konfigürasyonları
• Claim kaideları
• Federation ayarları
• Güven ilişkileri
• ADFS yapılandırma değişiklikleri

Primary ve Secondary ADFS Server Kavramı

WID kullanılan çiftlikler mimarisinde ADFS sunucuları ikisi rolleri ayrılır:

Primary ADFS Server

Farm içerisinde kurulan birinci ADFS sunucusu Primary olarak adlandırılır.

Primary server:

• ADFS veritabanının read-write kopyasını tutar
• Tüm konfigürasyon değişiklikleri işte yapılır

Secondary ADFS Server

Farm içine eklenen diğer ADFS sunucuları Secondary ADFS Server olarak adlandırılır.

Bu sunucular:

• Veritabanının read-only kopyasını tutar
• Konfigürasyon değişikliği yapamaz

Tüm konfigürasyon değişiklikleri Primary server üzerinde yapılır ve diğer sunuculara replike edilir.

ADFS Replikasyon Mekanizması

Secondary ADFS sunucuları kesin aralıklarla Primary sunucuya bağlanarak konfigürasyon değişikliklerini denetim eder.

Varsayılan olarak bu senkronizasyon 5 dakikada tek gerçekleşir.

Yani Secondary sunucular:

• Primary ADFS server’a bağlanır
• Son değişiklikleri sorgular
• Konfigürasyon veritabanını günceller

Bu süre PowerShell üzerinden değiştirilebilir ya da manuel olarak tetiklenebilir.

Bu işlem için kullanılan komut:

Set-AdfsSyncProperties

Primary Sunucu Arızalanırsa Ne Olur?

WID çiftlikler mimarisinde Primary ADFS sunucusu devre dışı kalırsa Secondary sunuculardan arasında biri Primary olarak yükseltilebilir (promote).

Bu sayede sistemleri çalışmaya devam eder ve servis kesintisi önlenir.

Avantajlar

• Kurulumu oldukça basitdır
• Ek SQL altyapısına ihtiyaç duymaz
• Birden fazla ADFS sunucusu eklenebilir
• Load balancing yapılabilir
• Primary server arızalanırsa Secondary server Primary yapılabilir
• Farm mimarisi basit genişletilebilir

Dezavantajlar

• Farm içinde en fazla 5 ADFS sunucusu bulunabilir
• 100 adet relying partiler trust limiti vardır
• Konfigürasyon değişiklikleri yalnızca Primary server üzerinden yapılabilir
• Secondary sunucular read-only veritabanına sahiptir

Üçüncü deployment modeli SQL Server kullanarak kurulan ADFS Farm mimarisidir.

Bu mimari özellikle büyük ölçekli ortamlarda yeğleme edilir.Bu modelde ADFS konfigürasyon veritabanı Windows Internal Database seçenek SQL Server üzerinde tutulur. Tüm ADFS sunucuları aynı SQL veritabanını kullanır.

SQL Tabanlı ADFS Mimarisinin Özelliği

SQL tabanlı mimaride önemli tek ayrım vardır.

WID modelinde:

Primary ve Secondary server kavramı bulunur.

SQL modelinde ise:

Tüm ADFS sunucuları Primary gibi davranır.

Yani her arasında biri sunucu:

• Veritabanına read-write erişebilir
• Konfigürasyon değişiklikleri yapabilir

Bir ADFS sunucusuna giriş yaparak yapılan değişiklikler tüm çiftlikler tarafından kullanılabilir.

Avantajlar

• Çok sayıda ADFS sunucusu yardımlenir
• Yüksek ölçeklenebilirlik sağlar
• Tüm sunucular read-write erişime sahiptir
• Yüksek erişilebilirlik mümkündür
• Herhangi tek ADFS sunucusundan konfigürasyon değiştirilebilir

Dezavantajlar

• Kurulumu ve yönetimi daha karmaşıktır
• SQL Server altyapısı lüzumtirir
• Tüm ADFS sunucuları SQL Server’a bağımlıdır
• SQL Server arızalanırsa tüm ADFS altyapısı tesirlenir

Bu nedenle SQL mimarisi genelleme çok büyük federasyon ortamlarında ya da özel ölçek lüzumsinimleri olan yapılarda yeğleme edilir.

ADFS kurulumu planlanırken iş ihtiyaçları ve altyapı büyüklüğü göz önünde bulundurulmalıdır.

Genel öneri şu şekildedir:

• Küçük ve vasat ölçekli ortamlar > WID Farm
• Çok büyük firma ortamlar > SQL Farm

Microsoft tarafından çoğu olayörgüsü için önerilen mimari:

Federation Server Farm using Windows Internal Database (WID) modelidir.

Çünkü bu model:

• Daha basit yönetilir
• Ek SQL altyapısı lüzumtirmez
• Yeterli ölçeklenebilirlik sunar

Her mimarinin kendine özgü avantajları ve sınırlamaları bulunmaktadır. Bu nedenle ADFS kurulumu yapılmadan önce ortamın büyüklüğü, yüksek erişilebilirlik ihtiyacı ve yönetim lüzumsinimleri dikkate alınmalıdır.