Active Directory Federation Services

Administración de Sistemas Operativos 1

Servicios de federación de Active Directory¿Que es?

• Servicios de federación de Active Directory® (AD FS) es una función de servidor del sistema operativo Windows Server® 2008 que se puede emplear para crear una solución de acceso e identidad altamente extensible, escalable a Internet y segura que puede funcionar en diversas plataformas, incluidos los entornos Windows y otros.

Uso de Servicio de Federación de Active

Directory

¿A quién podría interesar esta función?

• Organización de recursos: aquellas organizaciones que poseen y administran recursos que son accesibles desde Internet pueden implementar servidores de federación AD FS y servidores web habilitados para AD FS que administren el acceso a los recursos protegidos de los asociados de confianza. Estos asociados de confianza pueden incluir otras partes externas u otros departamentos o subsidiarias de la misma organización.

• Organizaciones de cuenta: aquellas organizaciones que poseen y administran cuentas de usuario pueden implementar servidores de federación AD FS que autentiquen a los usuarios locales y creen tokens de seguridad que los servidores de federación de la organización de recursos usen posteriormente para tomar decisiones de autorización.

Como ADSF provee de Identity Federation en un escenario de

B2B

Servicios del rol AD FS

• Servicio de federación: Los servidores de federación se usan para enviar las solicitudes de autenticación de las cuentas de usuario de otras organizaciones o de los clientes que pueden encontrarse en cualquier lugar de Internet.

• Proxy de Servicio de federación: el proxy de Servicio de federación es un proxy para el Servicio de federación de la red perimetral (lo que también se conoce como extranet o subred filtrada). El proxy de Servicio de federación usa protocolos WS-Federation Passive Requestor Profile (WS-F PRP) para recopilar información de credenciales de usuario de los clientes del explorador y enviarla al Servicio de federación en su nombre.

• Agente para notificaciones: el agente para notificaciones se usa en un servidor web que hospede una aplicación para notificaciones a fin de permitir la consulta de notificaciones de tokens de seguridad de AD FS. Una aplicación para notificaciones es una aplicación Microsoft ASP.NET que usa las notificaciones de un token de seguridad de AD FS para tomar decisiones de autorización y personalizar aplicaciones.

• Agente basado en tokens de Windows: el agente basado en tokens de Windows se usa en un servidor web que hospeda una aplicación basada en tokens de Windows NT para permitir la conversión de un token de seguridad de AD FS en un token de acceso de nivel de suplantación de Windows NT. Una aplicación basada en tokens de Windows NT es una aplicación que emplea mecanismos de autorización basados en Windows.

Instalación de ADFS• Los prerrequisitos son los siguientes:

• El primer paso es Instalar Windows Server 2008

• Cuando tengamos el paso anterior realizado instalar la característica .NET Framework 3.5.1

• Ejecutar el fichero descargado.

Instalación de ADFS

Configuración del ADFS

Configuración de IIS para requerir SSL en ambos servidores de federaciónRealice el procedimiento siguiente para configurar IIS de manera que requiera el uso de SSL en el sitio web predeterminado de los servidores de federación adfsresource y adfsaccount.

• Para configurar IIS para requerir SSL en ambos servidores de federación

• Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

• En el árbol de consola, haga doble clic en ADFSACCOUNT o ADFSRESOURCE, haga doble clic en Sitios y, a continuación, haga clic en Sitio web predeterminado.

• En el panel central, haga doble clic en Configuración de SSL y, a continuación, active la casilla Requerir SSL.

• En Certificados de cliente, haga clic en Aceptar y, a continuación, haga clic en Aplicar.

Configuración del ADFSInstalación del agente web de AD FSPuede realizar el siguiente procedimiento para instalar el agente web para notificaciones en el servidor web (adfsweb).

Para instalar el agente web de AD FS

• Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador del servidor.

• Haga clic con el botón secundario en Funciones y, a continuación, haga clic en Agregar funciones para iniciar el Asistente para agregar funciones.

• En la página Antes de comenzar, haga clic en Siguiente.

• En la página Seleccionar funciones de servidor, haga clic en Servicios de federación de Active Directory. Haga clic en Siguiente dos veces.

• En la página Seleccionar servicios de función, active la casilla Agente para notificaciones. Si se le pide que instale más servicios de función de servidor web (IIS) o Windows Process Activation Service, haga clic en Agregar servicios de función requeridos para instalarlos y, a continuación, haga clic en Siguiente.

• En la página Servidor web (IIS), haga clic en Siguiente.

• En la página Seleccionar servicios de función, mantenga activadas las casillas que ya lo están y, además, active Autenticación de asignaciones de certificado de cliente y Consola de administración de IIS y haga clic en Siguiente.

• La casilla Autenticación de asignaciones de certificado de cliente instala los componentes que IIS necesita para crear el certificado de autenticación de servidor autofirmado requerido para este servidor.

• Después de comprobar la información de la página Confirmar selecciones de instalación, haga clic en Instalar.

• En la página Resultados de la instalación, compruebe que todo se ha instalado correctamente y haga clic en Cerrar.

Ejemplos de Aplicación de ADSF

El Dominio de “Skype” usa el servicio de ADFS para la autentificación de usuario del Dominio de “Facebook”

Ejemplos de Aplicación de ADSF

El Dominio de “Dota Trade” usa el servicio de ADFS para la autentificación de usuario del Dominio de “Steam”

De este modo al acceder como usuario de “Steam” se tiene Acceso a la Pagina “Dota Trade”

Thanks for Watching!!