Active Directory

Federation ServicesAdministración de Sistemas Operativos 1

Servicios de federación de Active Directory¿Que es?

• Servicios de federación de Active Directory® (AD FS) es una función deservidor del sistema operativo Windows Server® 2008 que se puede emplearpara crear una solución de acceso e identidad altamente extensible,escalable a Internet y segura que puede funcionar en diversas plataformas,incluidos los entornos Windows y otros.

Uso de Servicio de Federación de Active Directory

¿A quién podría interesar esta función?

• Organización de recursos: aquellas organizaciones que poseen y administran recursos que sonaccesibles desde Internet pueden implementar servidores de federación AD FS y servidores webhabilitados para AD FS que administren el acceso a los recursos protegidos de los asociados deconfianza. Estos asociados de confianza pueden incluir otras partes externas u otrosdepartamentos o subsidiarias de la misma organización.

• Organizaciones de cuenta: aquellas organizaciones que poseen y administran cuentas de usuariopueden implementar servidores de federación AD FS que autentiquen a los usuarios locales ycreen tokens de seguridad que los servidores de federación de la organización de recursos usenposteriormente para tomar decisiones de autorización.

Como ADFS provee de IdentityFederation en un escenario de B2B

Servicios del rol AD FS

• Servicio de federación: Los servidores de federación se usan para enviar las solicitudes de autenticación de lascuentas de usuario de otras organizaciones o de los clientes que pueden encontrarse en cualquier lugar deInternet.

• Proxy de Servicio de federación: el proxy de Servicio de federación es un proxy para el Servicio de federación dela red perimetral (lo que también se conoce como extranet o subred filtrada). El proxy de Servicio de federaciónusa protocolos WS-Federation Passive Requestor Profile (WS-F PRP) para recopilar información de credencialesde usuario de los clientes del explorador y enviarla al Servicio de federación en su nombre.

• Agente para notificaciones: el agente para notificaciones se usa en un servidor web que hospede una aplicaciónpara notificaciones a fin de permitir la consulta de notificaciones de tokens de seguridad de AD FS. Unaaplicación para notificaciones es una aplicación Microsoft ASP.NET que usa las notificaciones de un token deseguridad de AD FS para tomar decisiones de autorización y personalizar aplicaciones.

• Agente basado en tokens de Windows: el agente basado en tokens de Windows se usa en un servidor web quehospeda una aplicación basada en tokens de Windows NT para permitir la conversión de un token de seguridadde AD FS en un token de acceso de nivel de suplantación de Windows NT. Una aplicación basada en tokens deWindows NT es una aplicación que emplea mecanismos de autorización basados en Windows.

Instalación de ADFS

• Los prerrequisitos son los siguientes:

• El primer paso es Instalar Windows Server 2008

• Cuando tengamos el paso anterior realizado instalar la característica .NET Framework 3.5.1

• Ejecutar el fichero descargado.

Instalación de ADFS

Configuración del ADFS

Configuración de IIS para requerir SSL en ambos servidores de federación

Realice el procedimiento siguiente para configurar IIS de manera que requiera el uso de SSL en el sitio web predeterminado de los servidores de federación adfsresource y adfsaccount.

• Para configurar IIS para requerir SSL en ambos servidores de federación

• Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

• En el árbol de consola, haga doble clic en ADFSACCOUNT o ADFSRESOURCE, haga doble clic en Sitios y, a continuación, haga clic en Sitio web predeterminado.

• En el panel central, haga doble clic en Configuración de SSL y, a continuación, active la casilla Requerir SSL.

• En Certificados de cliente, haga clic en Aceptar y, a continuación, haga clic en Aplicar.

Configuración del ADFSInstalación del agente web de AD FSPuede realizar el siguiente procedimiento para instalar el agente web para notificaciones en el servidor web (adfsweb).

Para instalar el agente web de AD FS

• Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador del servidor.

• Haga clic con el botón secundario en Funciones y, a continuación, haga clic en Agregar funciones para iniciar el Asistente para agregar funciones.

• En la página Antes de comenzar, haga clic en Siguiente.

• En la página Seleccionar funciones de servidor, haga clic en Servicios de federación de Active Directory. Haga clic en Siguiente dos veces.

• En la página Seleccionar servicios de función, active la casilla Agente para notificaciones. Si se le pide que instale más servicios de función de servidor web (IIS) o Windows Process Activation Service, haga clic en Agregar servicios de función requeridos para instalarlos y, a continuación, haga clic en Siguiente.

• En la página Servidor web (IIS), haga clic en Siguiente.

• En la página Seleccionar servicios de función, mantenga activadas las casillas que ya lo están y, además, active Autenticación de asignaciones de certificado de cliente y Consola de administración de IIS y haga clic en Siguiente.

• La casilla Autenticación de asignaciones de certificado de cliente instala los componentes que IIS necesita para crear el certificado de autenticación de servidor autofirmado requerido para este servidor.

• Después de comprobar la información de la página Confirmar selecciones de instalación, haga clic en Instalar.

• En la página Resultados de la instalación, compruebe que todo se ha instalado correctamente y haga clic en Cerrar.

Ejemplos de Aplicación de ADFS

El Dominio de “Skype” usa el servicio de ADFS para la autentificación de usuario del Dominio de “Facebook”

Ejemplos de Aplicación de ADFS

El Dominio de “Dota Trade” usa el servicio de ADFS para la autentificación de usuario del Dominio de “Steam”

De este modo al acceder como usuario de “Steam” se tiene Acceso a la Pagina “Dota Trade”

Thanks for Watching!!