Microsoft Federation Gateway es un servicio de identidad que se ejecuta en Internet y media entre una organización o empresa y los servicios externos que la organización desea usar. La puerta de enlace sirve de concentrador para muchas de las conexiones que la organización desea realizar con aplicaciones integradas en Windows Azure o con una aplicación de Microsoft que se ejecute en Internet. La puerta de enlace conecta usuarios y otras identidades a los servicios con los que trabaja, de forma que una organización únicamente tiene que administrar una sola relación entre federación e identidades para permitir que sus identidades tengan acceso a todos los servicios de Microsoft o basados en Microsoft que deseen usar.

Microsoft Federation Gateway proporciona aplicaciones con un sencillo método basado en estándares para establecer la confianza entre organizaciones independientes que usa certificados SSL para acreditar la propiedad del dominio. Dado que las organizaciones se federan con la puerta de enlace en lugar de entre sí, resulta mucho más sencillo para una organización establecer relaciones de confianza con varios asociados que cuando usa una federación convencional de uno a uno u otras relaciones de confianza. Es posible controlar fácilmente el ámbito de la federación mediante la creación de listas de permitidos o de denegación de usuarios y dominios para otorgar licencias, y especificando los dominios que pueden recibir licencias de publicación. De esta forma, se garantiza que solo se concede acceso a información protegida a las organizaciones adecuadas.

Una relación de identidad federada es una disposición entre organizaciones basada en estándares en la que las notificaciones de una se transfieren a la otra, que las reconoce. A través de esta relación, los usuarios pueden iniciar sesión en su proveedor de identidades (la organización que administra su cuenta de identidad) que, a su vez, los puede autenticar. Posteriormente, su autenticación se podrá transferir a un asociado federado sin que tengan que volver a iniciar sesión.

Microsoft Federation Gateway establece relaciones de identidad federada basándose en especificaciones de servicio web (WS-*), como WS-Trust y WS-Security que colaboran para simplificar la interoperabilidad y mejorar la seguridad. Al usar estos protocolos estándar del sector, las organizaciones pueden establecer una relación de identidad federada sin necesidad de usar una infraestructura o plataformas idénticas.

Cuando dos organizaciones establecen una relación de este tipo, un asociado (el proveedor de identidades) controla sus propias cuentas de usuario, mientras que el otro (el proveedor de recursos) concede acceso a sus recursos en base a la autenticación que ha realizado el proveedor de identidades. La identidad de un usuario se define por un conjunto de notificaciones, es decir, declaraciones que realiza un servidor acerca de un usuario. Entre estas notificaciones se encuentran los permisos, los grupos o el nombre de usuario. La federación de identidades permite compartir estas notificaciones de identidad.

Con Microsoft Federation Gateway, se proporciona la autenticación del proveedor a la puerta de enlace mediante un formato estándar denominado lenguaje de marcado de aserción de seguridad (SAML). A continuación, Microsoft Federation Gateway convierte la información de autenticación en un token de servicio que pueden usar los servicios de Microsoft.

Soporte de Microsoft Federation Gateway en Windows Server® 2008 R2 permite que AD RMS acepte tokens de Microsoft Federation Gateway para autenticar usuarios para certificación y licencia. Por ejemplo, Microsoft Exchange Server 2010 está diseñado para aprovechar esta capacidad permitiendo que los mensajes protegidos por AD RMS se envíen entre organizaciones que no compartan una infraestructura de Servicios de dominio de Active Directory (AD DS). Cuando se configura la infraestructura de Exchange Server 2010 para aprovechar estas características, lo usuarios pueden enviar mensajes de correo electrónico protegidos por AD RMS fuera de la organización del remitente, que puede ver esos mensajes mediante Exchange Server 2010 Outlook Web App o Microsoft Outlook. Asimismo, los remitentes pueden otorgar a las organizaciones de destino que usen Exchange Server 2010 permiso para descifrar contenido para fines como el registro en diario o la detección de malware.

Para obtener más información acerca de cómo implementar Soporte de Microsoft Federation Gateway en AD RMS, vea la Lista de comprobación: Implementación de AD RMS con Microsoft Federation Gateway Support.

Tabla de contenido