En este post vamos a instalar y configurar “Active directory federation services” [AD FS], estos servicios permitirán proveer la siguientes caractarísticas:
- Single-Sign-On (SSO) para múltiples aplicaciones web, tanto en ia intranet como en internet.
- Autenticación integrada de Windows (IWA).
- WS-* denominada WS-Federation.
- Soporte de cliente pasivo e inteligente (Passive and Smart client support)
- Arquitectura extensible, soportando varios tipos de token, incluidos token SAML y la utenticación Kerberos y la posibilidad de transformar Claims personalizados.
- Seguridad mejorada (Enhanced Security)
Novedades en Windows Server 2016
La versión de AD FS sobre Windows Server 2016 incluye las siguientes características adicionales :
- Compatibilidad con cualquier directorio LDAP v3.
- Nuevos factores de autenticación, como por ejemplo autenticación multi-factor de Azure.
-
Mejoras en la administración
- Políticas de aplicación
- Gestión delegada de servicios.
- Acceso condicional
Componentes de AD FS 2016
|
Componente |
Características |
|
Servidor de federación |
El servidor de federación emite, administra y valida solicitudes que implican claims. Todas las implementaciones de AD FS requieren al menos un Servicio de federación para cada parte participante |
|
Relying party trust |
Relying party trust – es la entidad donde se encuentra la aplicación y funciona como la otra cara del proceso de autenticación y autorización de AD FS. Es un servicio web que consume notificaciones del proveedor de notificaciones. El servidor Relying party trust debe tener WIF instalado o utilizar el agente AD FS 1.0 |
|
Proxy del servidor de federación y Proxy de aplicación web |
Es un componente opcional que suele implementarse en una red perimetral. No agrega ninguna funcionalidad a la implementación de AD FS, pero se implementa para proporcionar una capa de mejora de seguridad para las conexiones de Internet al servidor de federación. |
|
Proveedor de notificaciones de confianza |
La parte que confía es la parte donde se encuentra la aplicación y funciona como el otro lado del proceso de autenticación y autorización de AD FS. La parte que confía es un servicio web que consume claims del proveedor de claims. El servidor de la parte confiante debe tener WIF instalado o utilizar el agente AD-FS AD-100 |
|
Notificaciones (Claims) |
Un Claim es una declaración realizada por una entidad confiable sobre un objeto como un usuario. El claim puede incluir el nombre del usuario, el título del trabajo o cualquier otro factor que pueda usarse en un proceso de autenticación |
|
Reglas de notificación |
Las reglas de los claims determinan cómo procesan los claims los servidores de federación. Por ejemplo, una regla claim puede indicar que una dirección de correo electrónico se acepta como un calim válido o que el nombre de un grupo de una organización se traduce en un rol específico de la aplicación en la otra organización. Las reglas generalmente se procesan en tiempo real. |
|
Certificados |
AD FS utiliza certificados digitales cuando se comunica a través de Secure Sockets Layer (SSL) o como parte del proceso de emisión de tokens, el proceso de recepción de tokens y el proceso de publicación de metadatos. Los certificados digitales también se usan para la firma de tokens. |
|
Almacén de atributos |
AD FS usa un almacén de atributos para buscar valores de Claims. AD DS es un almacén de atributos común que está disponible de manera predeterminada, porque el rol del servidor de federación debe estar instalado en un servidor unido al dominio |