Servicios de federación de Active Directory (AD FS) permite la creación de soluciones de acceso e identidad seguras y escalables entre organizaciones. AD FS autentica usuarios locales y emite tokens de seguridad que las organizaciones asociadas usan para autorizar el acceso. Las organizaciones pueden implementar AD FS para administrar el acceso a sus recursos por parte de asociados o para autenticar las cuentas de usuarios que acceden a los recursos de otras organizaciones.
2. Servicios de federación de Active Directory
¿Que es?
• Servicios de federación de Active Directory® (AD FS) es una función de
servidor del sistema operativo Windows Server® 2008 que se puede emplear
para crear una solución de acceso e identidad altamente extensible,
escalable a Internet y segura que puede funcionar en diversas plataformas,
incluidos los entornosWindows y otros.
4. ¿A quién podría interesar esta función?
• Organización de recursos: aquellas organizaciones que poseen y administran recursos que son
accesibles desde Internet pueden implementar servidores de federación AD FS y servidores web
habilitados para AD FS que administren el acceso a los recursos protegidos de los asociados de
confianza. Estos asociados de confianza pueden incluir otras partes externas u otros
departamentos o subsidiarias de la misma organización.
• Organizaciones de cuenta: aquellas organizaciones que poseen y administran cuentas de usuario
pueden implementar servidores de federación AD FS que autentiquen a los usuarios locales y
creen tokens de seguridad que los servidores de federación de la organización de recursos usen
posteriormente para tomar decisiones de autorización.
6. Servicios del rol AD FS
• Servicio de federación: Los servidores de federación se usan para enviar las solicitudes de autenticación de las
cuentas de usuario de otras organizaciones o de los clientes que pueden encontrarse en cualquier lugar de
Internet.
• Proxy de Servicio de federación: el proxy de Servicio de federación es un proxy para el Servicio de federación de
la red perimetral (lo que también se conoce como extranet o subred filtrada). El proxy de Servicio de federación
usa protocolos WS-Federation Passive Requestor Profile (WS-F PRP) para recopilar información de credenciales
de usuario de los clientes del explorador y enviarla al Servicio de federación en su nombre.
• Agente para notificaciones: el agente para notificaciones se usa en un servidor web que hospede una aplicación
para notificaciones a fin de permitir la consulta de notificaciones de tokens de seguridad de AD FS. Una
aplicación para notificaciones es una aplicación Microsoft ASP.NET que usa las notificaciones de un token de
seguridad de AD FS para tomar decisiones de autorización y personalizar aplicaciones.
• Agente basado en tokens de Windows: el agente basado en tokens de Windows se usa en un servidor web que
hospeda una aplicación basada en tokens de Windows NT para permitir la conversión de un token de seguridad
de AD FS en un token de acceso de nivel de suplantación de Windows NT. Una aplicación basada en tokens de
Windows NT es una aplicación que emplea mecanismos de autorización basados enWindows.
7. Instalación de ADFS
• Los prerrequisitos son los siguientes:
• El primer paso es InstalarWindows Server 2008
• Cuando tengamos el paso anterior realizado
instalar la característica .NET Framework 3.5.1
• Ejecutar el fichero descargado.
9. Configuración del ADFS
Configuración de IIS para requerir SSL en ambos servidores de federación
Realice el procedimiento siguiente para configurar IIS de manera que requiera el uso de SSL en el sitio web
predeterminado de los servidores de federación adfsresource y adfsaccount.
• Para configurar IIS para requerir SSL en ambos servidores de federación
• Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga
clic en Administrador de Internet Information Services (IIS).
• En el árbol de consola, haga doble clic en ADFSACCOUNT o ADFSRESOURCE, haga
doble clic en Sitios y, a continuación, haga clic en Sitio web predeterminado.
• En el panel central, haga doble clic en Configuración de SSL y, a continuación, active
la casilla Requerir SSL.
• En Certificados de cliente, haga clic en Aceptar y, a continuación, haga clic en Aplicar.
10. Configuración del ADFS
Instalación del agente web de AD FS
Puede realizar el siguiente procedimiento para instalar el agente web para notificaciones en el servidor web (adfsweb).
Para instalar el agente web deAD FS
• Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador del servidor.
• Haga clic con el botón secundario en Funciones y, a continuación, haga clic en Agregar funciones para iniciar el Asistente
para agregar funciones.
• En la página Antes de comenzar, haga clic en Siguiente.
• En la página Seleccionar funciones de servidor, haga clic en Servicios de federación de Active Directory. Haga clic
en Siguiente dos veces.
• En la página Seleccionar servicios de función, active la casilla Agente para notificaciones. Si se le pide que instale más
servicios de función de servidor web (IIS) oWindows Process Activation Service, haga clic en Agregar servicios de función
requeridos para instalarlos y, a continuación, haga clic en Siguiente.
• En la página Servidor web (IIS), haga clic en Siguiente.
• En la página Seleccionar servicios de función, mantenga activadas las casillas que ya lo están y, además,
active Autenticación de asignaciones de certificado de cliente y Consola de administración de IIS y haga clic en Siguiente.
• La casilla Autenticación de asignaciones de certificado de cliente instala los componentes que IIS necesita para crear el
certificado de autenticación de servidor autofirmado requerido para este servidor.
• Después de comprobar la información de la página Confirmar selecciones de instalación, haga clic en Instalar.
• En la página Resultados de la instalación, compruebe que todo se ha instalado correctamente y haga clic en Cerrar.
11. Ejemplos de Aplicación deADFS
El Dominio de “Skype” usa el servicio de ADFS para la autentificación de usuario del
Dominio de “Facebook”
12. Ejemplos de Aplicación deADFS
El Dominio de “DotaTrade” usa el servicio de ADFS para la autentificación de usuario del
Dominio de “Steam”
13. De este modo al acceder como usuario de “Steam” se tiene Acceso a la Pagina “Dota
Trade”