Servicios de Federación de Directorio Activo

ADFS es uno de los servicios más complejos que implementa Microsoft Windows 2016.

Se trata de la implementación de Microsoft de un servidor de Federación, el cual nos permite:

  • Compartir recursos entre dos organizaciones asociadas.
  • Acceso a recursos que están fuera de la organización utilizando las mismas credenciales que ya están almacenadas en el Directorio Activo (Facebook,Office365,etc…)
  • Publicación de aplicaciones Web en el internet. Para esto usamos Web Application Proxy del cual hablaremos más adelante.
  • Nos permite habilitar Single Sign-On.

Este depende directamente del rol de ADCS (Active Directory Certificate Services) ya que  para poder implementar ADFS es necesario que dispongamos de:

  • Un certificado tipo Web Server.
  • Subject Name: debe contener el nombre del servicio de federación, no de la máquina donde está instalado.
  • Clave privada exportable. El mismo certificado se utiliza en un Web Application Proxy (opcional).

Aparte de este rol hay varias características que debemos cumplir para que la comunicación a través de Internet sea posible:

  • Tiene que haber conexión DNS con nuestro ADFS.
  • La IP pública tiene debe ser fija.
  • Tenemos que ser visibles en el puerto 443.

En una relación de confianza de federación tenemos 2 extremos:

  • Claim Provider:Organización que contiene los usuarios y sus atributos en la relación de federación (claims)
  • Relying Party: Organización que contiene los recursos (aplicación web, carpetas compartidas, …)

Entre estos 2 extremos debe existir una relación de confianza Federation Trust como se muestra en la siguiente imagen:

confianza

 

Como podemos observar la organización que facilita los recursos Relying Party debe confiar en la organización que contiene los atributos Claim Provider.

Esta infraestructura puede complicarse si tenemos en cuenta la seguridad de los servidores y su acceso desde el exterior.

Para evitar accesos no permitidos a ADFS se puede implementar un Web Application Proxy.

Web Application Proxy

Es un componente opcional. Su única tarea es como intermediario para evitar que el servidor de federación esté directamente conectado a Internet como podemos observar en la siguiente imagen:

WAP

En mi opinión se trata de una funcionalidad muy interesante ya que en líneas generales, los usuarios no acostumbran a recordar las contraseñas de todos los servicios a los que están suscritos.

Con este tipo de tecnologías se da la oportunidad de acceso a los recursos a nivel empresarial o personal sin necesidad de realizar varios inicios de sesión en diferentes plataformas si existe una relación de federación entre ellas.

En cuanto a la seguridad creo que aporta la parte positiva de poder utilizar credenciales de empresas con grandes recursos como Microsoft,Google o Facebook con características como autenticación en 2 pasos y tener la confianza de poder recuperarlas en caso de pérdida.

Para concluir me gustaría recalcar la importancia de la gestión de identidades en el mundo actual, ya que cada vez es más crítico proteger la información personal de los usuarios y los recursos de la empresa, por tanto tecnologías como los servicios de federación son un gran avance.

 

Autor/a: Víctor Álvarez Olivares

Curso: Microsoft MCSA Windows Server + Microsoft MCSE Cloud Platform & Infrastructure

Centro: Tajamar

Año académico: 2017-2018

Linkedin

 

 

 

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.