我们正在与一个大客户合作,他希望为 CRM 2011 安装设置两个完全独立的环境。这将导致在域中有两个独立的 ADFS 服务器。在域中有两个 ADFS 服务器有什么负面影响吗?它们显然位于不同的 URL 上,但会依赖同一个 AD 林来提供身份验证支持。
答案1
我不能肯定地说(肯定有人会证明我错了),但我认为你唯一会失去的是单点登录 cookie。我想那是一种每个农场类型的东西。该 cookie 表示你已经通过 ADFS 服务器进行了身份验证,如果 ADFS 服务器配置为这样做,则不会再对你进行身份验证。
我讲的情况是这样的:
- 用户访问 Web 应用程序 1 并重定向到 ADFS 服务器 #1
- 用户已通过 ADFS 服务器 #1 的身份验证
- 用户访问 Web 应用程序 2 并重定向到 ADFS 服务器 #1
- 如果您有 cookie,并且 ADFS 服务器上配置了 SingSignOn,则 ADFS 服务器不会重试身份验证。它知道它最近已经对您进行了身份验证。
现在,如果你在步骤 3 中替换服务器 #2,我想象该 cookie 将存储在每个 ADFS 的 SQL 数据库中 - 它不仅仅是 Kerberos 票证的编码形式。
由于服务器 #1 和 #2 不共享 SQL 数据库(它们不在场中),因此您无法获得 SingleSignOn 功能。因此,效率会有所降低 - 除非您处于大规模环境中,否则可能不是什么大问题。它只会针对 AD 运行另一次身份验证。
除此之外,它们可以正常工作并全天验证用户身份。我们这里实际上有两个 ADFS 场 - 一个强制使用 FORMS 登录,另一个仅允许 Windows 集成。我们已禁用 SingleSignOn,否则我可能会为您提供明确的答案。