У нашего клиента уже есть существующий лес ForestA. В этом лесу есть 2 веб-сервера, присоединенные к домену. При подключении к приложению пользователи попадают на страницу входа в ADFS, они вводят свои учетные данные домена и входят в систему. Теперь клиент хочет перенести это приложение в Azure (поднять и сдвинуть). Учетные записи пользователей продолжают оставаться в ForestA. Между ForestA и новым лесом ForestB нет доверия AD.
Клиент подтвердил, что нет необходимости присоединять 2 веб-сервера к новому домену в ForestB. Они будут работать как автономные серверы. Однако они по-прежнему хотят, чтобы аутентификация работала как раньше. Лес Управление, включая серверы ADFS в этом лесу, осуществляется сторонним поставщиком.
Подскажите, пожалуйста, какая может быть возможная архитектура? Нужно ли нам присоединять веб-серверы к ForestB и развертывать дополнительные серверы ADFS в ForestB?
нет, просто добавьте федеративное доверие для своего веб-сервера с ADFS и разверните adfs в ForestA. Это будет работать нормально.
Если кто-то хочет быстро настроить простой сервер ADFS с одним узлом из одного скрипта. Требуется только предоставить данные отпечатка сертификата связи. И в качестве бонуса он развертывает функцию MFA для ADFS с кодами OTP. Информация о том, как установить демо-версию ADFS с OTP, находится по следующей ссылке: https://www.securemfa.com/downloads/mfa-otp#h.p_0CFeLwIix8Fa