Servicios de Federación de Directorio Activo
ADFS es uno de los servicios más complejos que implementa Microsoft Windows 2016.
Se trata de la implementación de Microsoft de un servidor de Federación, el cual nos permite:
- Compartir recursos entre dos organizaciones asociadas.
- Acceso a recursos que están fuera de la organización utilizando las mismas credenciales que ya están almacenadas en el Directorio Activo (Facebook,Office365,etc…)
- Publicación de aplicaciones Web en el internet. Para esto usamos Web Application Proxy del cual hablaremos más adelante.
- Nos permite habilitar Single Sign-On.
Este depende directamente del rol de ADCS (Active Directory Certificate Services) ya que para poder implementar ADFS es necesario que dispongamos de:
- Un certificado tipo Web Server.
- Subject Name: debe contener el nombre del servicio de federación, no de la máquina donde está instalado.
- Clave privada exportable. El mismo certificado se utiliza en un Web Application Proxy (opcional).
Aparte de este rol hay varias características que debemos cumplir para que la comunicación a través de Internet sea posible:
- Tiene que haber conexión DNS con nuestro ADFS.
- La IP pública tiene debe ser fija.
- Tenemos que ser visibles en el puerto 443.
En una relación de confianza de federación tenemos 2 extremos:
- Claim Provider:Organización que contiene los usuarios y sus atributos en la relación de federación (claims)
- Relying Party: Organización que contiene los recursos (aplicación web, carpetas compartidas, …)
Entre estos 2 extremos debe existir una relación de confianza Federation Trust como se muestra en la siguiente imagen:
Como podemos observar la organización que facilita los recursos Relying Party debe confiar en la organización que contiene los atributos Claim Provider.
Esta infraestructura puede complicarse si tenemos en cuenta la seguridad de los servidores y su acceso desde el exterior.
Para evitar accesos no permitidos a ADFS se puede implementar un Web Application Proxy.
Web Application Proxy
Es un componente opcional. Su única tarea es como intermediario para evitar que el servidor de federación esté directamente conectado a Internet como podemos observar en la siguiente imagen:
En mi opinión se trata de una funcionalidad muy interesante ya que en líneas generales, los usuarios no acostumbran a recordar las contraseñas de todos los servicios a los que están suscritos.
Con este tipo de tecnologías se da la oportunidad de acceso a los recursos a nivel empresarial o personal sin necesidad de realizar varios inicios de sesión en diferentes plataformas si existe una relación de federación entre ellas.
En cuanto a la seguridad creo que aporta la parte positiva de poder utilizar credenciales de empresas con grandes recursos como Microsoft,Google o Facebook con características como autenticación en 2 pasos y tener la confianza de poder recuperarlas en caso de pérdida.
Para concluir me gustaría recalcar la importancia de la gestión de identidades en el mundo actual, ya que cada vez es más crítico proteger la información personal de los usuarios y los recursos de la empresa, por tanto tecnologías como los servicios de federación son un gran avance.
Autor/a: Víctor Álvarez Olivares
Curso: Microsoft MCSA Windows Server + Microsoft MCSE Cloud Platform & Infrastructure
Centro: Tajamar
Año académico: 2017-2018