Este documento describe Active Directory Federation Services (ADFS), una tecnología de Microsoft que permite Single Sign-On (SSO) al autenticar usuarios una sola vez y proveer acceso a múltiples aplicaciones y servicios. ADFS funciona como un proveedor de identidad que emite tokens de seguridad a aplicaciones confiables usando protocolos como SAML y WS-Federation. El documento también explica conceptos clave como autenticación basada en claims e identidad federada.

1. SINGLE SIGN ON E IDPS: ACTIVE DIRECTORY
FEDERATION SERVICES
Carlos Milán Figueredo
cmilan@plainconcepts.com
Alberto Marcos González
amarcos@plainconcepts.com

2. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
¿QUÉ ES SSO?
¿ES UNA TECNOLOGÍA?

3. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
¿QUÉ ES SINGLE SIGN ON?
• Single Sign On (SSO) o Inicio de Sesión Único es una
experiencia de usuario.
• Consiste en acceder a múltiples sistemas sin escribir
nuevamente nuestras credenciales.
CRM Office 365
App
Vacaciones
Intranet

4. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
¿CÓMO PUEDO CONSEGUIR SINGLE SIGN-ON?
Cualquier forma que evite pedirle la contraseña
repetidamente al usuario consigue SSO.
Equipos unidos a
dominio de AD
Mapping de
credenciales
Identity
Provider
Agente en el lado del
cliente
PLAINCONCEPTScmilan
****************
cmilan@plainconcepts.com
**************
cmilanf@outlook.com
**************
• ADFS
• Shibboleth IdP
• PingFederate
• OptimalIDM
• Antiguo SSO de BPOS

5. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
Una nueva forma de entender la autenticación
%9m32rjFD”
`¿2-:2458kdw
AUTENTICACIÓN
BASADA EN CLAIMS

6. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
AUTENTICACIÓN BASADA EN CLAIMS: COGER UN VUELO
PUERTA DE EMBARQUE
MOSTRADOR
DE CHECK-IN
POLICÍA
1
1
Nombre: Beatriz
DNI: 12345678Z
# Vuelo: FE4567
2
Nombre: Beatriz
DNI: 12345678Z
3
4
Confianza
Confianza
TARJETA DE EMBARQUE
Nombre: Beatriz
DNI: 12345678Z
# Vuelo: FE4567
TARJETA DE EMBARQUE
Nombre: Beatriz
DNI: 12345678Z
# Vuelo: FE4567

7. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
AUTENTICACIÓN BASADA EN CLAIMS
Security Token
Service
AUTORIDAD
Office 365
2
UPN: bea@pc.es
Password: *****
3
UPN: bea@pc.es
Password: *****
4 TOKEN
UPN: bea@pc.es
NameID: RE3556
5
TOKEN
UPN: bea@pc.es
NameID: RE3556
Confianza
Confianza
1

8. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
IDENTITY PROVIDERS

9. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
¿QUÉ ES UN IDENTITY PROVIDER?
Es un software que realiza las siguientes funciones:
Emite tokens a
usuarios
Certifica la id. del
usuario a terceros
Puede dar más
info. del usuario
Contexto seguro
con SSO
Gracias a estas funciones un IdP es capaz de
ofrecer Single Sign On a todas las aplicaciones
que acepten sus tokens.
SAML
WS-Federation
X.509
….

10. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
ARQUITECTURA BÁSICA DE UN IDP
Relying parties IdP Credential Providers
STS
Attribute Store
.
.
.
LDAP
DB
Otros
Office 365
Yammer
SharePoint 2013
Blackboard
…
SSO

11. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
SINGLE SIGN ON CON UN IDP
Security Token
Service
AUTORIDAD
Office 365
2
UPN: bea@pc.es
Password: *****
3
UPN: bea@pc.es
Password: *****
4 TOKEN
UPN: bea@pc.es
NameID: RE3556
5
TOKEN
UPN: bea@pc.es
NameID: RE3556
1
Yammer
Blackboard
SharePoint 2013
SSO

12. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
ACTIVE DIRECTORY
FEDERATION SERVICES

13. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
INTRODUCCIÓN A ADFS
Protocolos de inicio de sesión
Identity Provider
de Microsoft
Autenticación
basada en claims
Single Sign On
(SSO)
Active
Directory
SAML 1.1WS-Federation SAML 2.0
Protocolos de autenticación
WS-Trust
OAuth
(sólo authorizaton _code)
FBA NTLM Kerberos Certificate MFA

14. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
HISTORIAL DE VERSIONES DE ADFS
Version Windows Server Protocolos
1.0, 1.1 2003 R2, 2008, 2008 R2 WS-Federation, SAML 1.0
2.0 2008, 2008 R2 WS-Federation, WS-Trust, SAML 1.1, SAML 2.0
2.1 2012 WS-Federation, WS-Trust, SAML 1.1, SAML 2.0
3.0 2012 R2 WS-Federation, WS-Trust, SAML 1.1, SAML 2.0, OAuth
3.1 Technical Preview TBD

15. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
MODOS DE AUTENTICACIÓN
PASIVA ACTIVA
Outlook
Navegadores web
Dispositivos móviles:
Exchange Active Sync
Lync
POP IMAP

16. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
EJEMPLO: OFFICE 365, AUTENTICACIÓN PASIVA

17. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
EJEMPLO: OFFICE 365, AUTENTICACIÓN ACTIVA

18. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
INTERFAZ DE ADFS 3.0

19. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
DEMO

20. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
¡Q&A!

21. http://enterprise.plainconcepts.com + enterprise@plainconcepts.com
¡GRACIAS!
Carlos Milán Figueredo
cmilan@plainconcepts.com
@cmilanf
Alberto Marcos González
amarcos@plainconcepts.com
@alber86
http:// enterprise.plainconcepts.com