Los Servicios de federación de Active Directory (AD FS) admiten diseños de identidades federadas (también denominados escenarios de Federación) que usan las especificaciones de federación de servicios web (WS-Federation), protocolo WS-Federation Passive Requestor Profile (WS-F PRP) y protocolo WS-Federation Passive Requestor Interoperability Profile. La solución AD FS ayuda a los administradores a afrontar la complejidad de la administración de identidades federadas al facilitar a las organizaciones el uso compartido seguro de la información de identidad del usuario a través de confianzas de federación. En las siguientes tres descripciones de diseños de implementación, se muestra cómo usar una combinación de los roles de servidor AD FS para federar identidades en función de las necesidades de su organización. Para obtener más información acerca de los diversos roles de servidor, consulte Descripción de los servicios del rol AD FS.
SSO web federado
El diseño de inicio de sesión único (SSO) web federado supone una comunicación segura que suele abarcar varios servidores de seguridad, redes perimetrales y servidores de resolución de nombres, además de toda la infraestructura de enrutamiento de Internet. La comunicación en un entorno SSO web federado puede aumentar la eficacia y la seguridad de las transacciones en línea entre las organizaciones conectadas mediante relaciones de confianza de federación.
Como se muestra en la siguiente ilustración, se puede establecer una relación de confianza de federación entre dos empresas. En este diseño, los servidores de federación enrutan las solicitudes de autenticación desde las cuentas de usuario de Tailspin Toys hasta las aplicaciones basadas en web ubicadas en la red de Online Retailer.
Los servidores de federación autentican las solicitudes de los asociados de confianza en función de las credenciales de los asociados. Las representaciones de las credenciales se intercambian en forma de tokens de seguridad.
Para aumentar la seguridad, se pueden utilizar proxies de servidor de federación para retransmitir las solicitudes a los servidores de federación a los que no se tenga acceso directamente desde Internet.
SSO web federado con confianza de bosque
En el diseño SSO web federado con confianza de bosque intervienen dos bosques de Active Directory de una sola organización, tal y como se muestra en la siguiente ilustración. Uno de los bosques se encuentra en la red perimetral de la organización (llamada también subred filtrada o extranet). El otro bosque se encuentra en la red interna. Se establece una confianza de bosque unidireccional de modo que el bosque de la red perimetral confíe en el bosque de la red interna. Se implementan servidores de federación en ambas redes. Se establece una confianza de federación de modo que las cuentas del bosque interno se puedan utilizar para tener acceso a una aplicación basada en Web de la red perimetral con independencia de que las cuentas tengan acceso al sitio desde el bosque de intranet o desde Internet.
En este diseño, los usuarios externos como, por ejemplo, los clientes, pueden tener acceso a la aplicación web mediante la autenticación del servidor de federación de cuentas externas, ubicado en la red perimetral. Los usuarios externos tienen cuentas de usuario en el bosque de Active Directory de la red perimetral. Los usuarios internos como, por ejemplo, los empleados, también pueden tener acceso a la aplicación web mediante la autenticación del servidor de federación de cuentas internas, ubicado en la red interna. Los usuarios internos tienen cuentas en el bosque de Active Directory interno.
Si la aplicación basada en Web es una aplicación basada en autorización token de Windows NT, el agente web de AD FS que se ejecuta en el servidor de aplicaciones web intercepta las solicitudes y crea tokens de seguridad de Windows NT, requeridos por la aplicación web para tomar decisiones de autorización. En el caso de los usuarios externos, esto es posible debido a que el servidor web habilitado para AD FS que hospeda la aplicación basada en autorización token de Windows NT está unido al dominio del bosque externo. En el caso de los usuarios internos, esto es posible mediante la relación de confianza de bosque que existe entre el bosque perimetral y el bosque interno.
Si la aplicación basada en web es una aplicación para notificaciones, el agente web de AD FS que se ejecuta en el servidor de aplicaciones web no necesita crear tokens de seguridad de Windows NT para el usuario. El agente web de AD FS puede exponer las notificaciones transmitidas, lo que hace posible que la aplicación tome decisiones de autorización basadas en el contenido del token de seguridad proporcionado por el servidor de federación de cuentas. Como resultado, cuando se implementan aplicaciones para notificaciones, no es preciso que el servidor web habilitado para AD FS esté unido al dominio ni es necesaria una confianza de bosque externo a bosque interno.
SSO web
En el escenario SSO web de AD FS, los usuarios se deben autenticar sólo una vez para tener acceso a varias aplicaciones basadas en Web. En este diseño, todos los usuarios son externos y no existe ninguna confianza de federación. Dado que es necesario tener acceso a los servidores web habilitados para AD FS desde Internet y que deben estar unidos al dominio de Active Directory, están conectados a dos redes (es decir, tienen varios hosts). La primera red es para Internet (red perimetral) para proporcionar la conectividad necesaria. La segunda red contiene el bosque de Active Directory (red protegida) y no se puede tener acceso a ella directamente desde Internet. El proxy de servidor de federación también tiene varios hosts para proporcionar la conectividad necesaria para el servidor de federación e Internet. En este diseño, la colocación de un servidor de federación en una red a la que no se puede tener acceso directamente desde Internet reduce considerablemente el riesgo para el servidor de federación.
