El Servicio de federación es un servicio de rol de Servicios de federación de Active Directory (AD FS) que se pueden instalar independientemente de otros servicios de función de AD FS. El Servicio de federación funciona como un servicio de emisión de tokens de seguridad. El hecho de instalar el servicio de rol de Servicio de federación en un equipo lo convierte en un servidor de federación. También hace que el complemento Servicios de federación de Active Directory esté disponible en el menú Herramientas administrativas en dicho equipo. Para obtener más información acerca del complemento AD FS, consulte Uso del complemento Servicios de federación de Active Directory.
El Servicio de federación está designado para usar Servicios de dominio de Active Directory (AD DS) de manera que proporcione tokens en respuesta a las solicitudes de tokens de seguridad. Esto permite que los bosques y dominios de Active Directory funcionen como:
-
Proveedores de identidades que se pueden federar con asociados de recurso y asociados de cuenta compatibles. Como proveedor de identidades, el Servicio de federación puede proyectar identidades de Active Directory por Internet para que interactúen con aplicaciones en proveedores de servicios compatibles.
-
Proveedores de servicios que se pueden federar con asociados de recurso y asociados de cuenta compatibles. Como proveedor de servicios, el Servicio de federación puede permitir a identidades de otras organizaciones tener acceso a aplicaciones basadas en ASP.NET y basadas en Windows de un asociado.
-
Los proveedores de tokens de seguridad para aplicaciones que son compatibles con la especificación WS-F PRP (WS-Federation Passive Requestor Profile).
Como asociado de cuenta, el Servicio de federación permite a los usuarios tener acceso a recursos en organizaciones asociadas. En respuesta a una solicitud de un asociado de recurso, el Servicio de federación recopila y comprueba credenciales de usuario en AD DS o Servicios de directorio ligero de Active Directory (AD LDS). El Servicio de federación puede rellenar un conjunto de notificaciones de organización basadas en los atributos del Protocolo ligero de acceso a directorios (LDAP) de la cuenta de usuario. A continuación, las notificaciones de organización se asignan a notificaciones adecuadas para el asociado de recurso y se empaquetan en un token de seguridad firmado por el certificado de firma de tokens del Servicio de federación. El token de seguridad resultante se expone como la respuesta a la solicitud original del asociado de recurso. El asociado de recurso utiliza entonces el token para permitir el acceso del usuario.
Como asociado de recurso, el Servicio de federación desempeña el rol opuesto. Cuando un usuario intenta tener acceso a una aplicación protegida con AD FS, el Servicio de federación determina qué asociado de cuenta debería autenticar el usuario. A continuación, envía una solicitud de autenticación a dicho asociado. Cuando se devuelve el usuario con un token de seguridad, el Servicio de federación comprueba que el asociado haya firmado correctamente el token. Después extrae las notificaciones del token. Las notificaciones se asignan a notificaciones de organización y se aplica la directiva de filtrado para la aplicación específica. Las notificaciones de organización filtradas se empaquetan en un token de seguridad firmado por el certificado de firma de tokens del Servicio de federación o protegido por una clave de sesión de Kerberos para la aplicación web. El token de seguridad resultante se devuelve al Localizador de recursos universal o dirección URL de la aplicación original. A continuación, la aplicación utiliza el token para permitir el acceso del usuario.
AD FS usa el protocolo WS-F PRP para llevar notificaciones en tokens de seguridad emitidos por el Servicio de federación a la aplicación web. Para obtener información acerca de la especificación WS-F PRP, consulte Recursos de AD FS.
Estas notificaciones se rellenan inicialmente a partir de almacenes de cuentas, ya sean de AD DS o AD LDS. El Servicio de federación emite tokens basados en las credenciales presentadas. Cuando el almacén de cuentas comprueba las credenciales de un usuario, las notificaciones para el usuario se generan según las reglas de la directiva de confianza. El Servicio de federación asigna las notificaciones entrantes a notificaciones salientes adecuadas para un asociado de recurso. Las asignaciones de notificaciones resultantes se agregan a un token de seguridad emitido al asociado de recurso. Para obtener más información acerca de las notificaciones, consulte Descripción de las notificaciones.
Cuando el Servicio de federación comprueba el token, se emite una cookie de autenticación y se escribe en el explorador del cliente. Cada vez que el cliente tiene que autenticarse, el Servicio de federación usa esta cookie para que el cliente no tenga que especificar las credenciales de nuevo. Esto habilita el inicio de sesión único (SSO). Para tener más información acerca de las cookies, consulte Descripción de las cookies usadas por AD FS.
Páginas web del Servicio de federación
El Servicio de federación proporciona una página web que solicita al usuario que seleccione un asociado de cuenta adecuado con el que el usuario pueda autenticarse. El Servicio de federación también proporciona una página web que solicita las credenciales del usuario, como un nombre de usuario y una contraseña para autenticación basada en formularios. También se proporciona una página web que admite la autenticación integrada de Windows.
Detrás de las páginas web, el Servicio de federación proporciona un servicio web de Microsoft ASP.NET que procesa solicitudes del cliente o el proxy de servidor de federación. El proxy de servidor de federación se encuentra en la red perimetral. Actúa como intermediario entre un cliente de Internet y un Servicio de federación en la intranet. Para obtener más información acerca del rol proxy de servidor de federación, consulte Descripción del servicio de función proxy de Servicio de federación.
Existen dos tipos básicos de solicitudes a las que responde el Servicio de federación:
-
Solicitudes para emitir tokens de seguridad
-
Solicitudes para recuperar datos de directiva de confianza
Detección de asociado de cuenta
La detección de asociado de cuenta es el proceso por el que los usuarios pueden identificar qué asociado de cuenta prefieren para la autenticación si hubiera configurado más de un asociado de cuenta. El Servidor de federación presenta esta opción al explorador del cliente en forma de cuadro desplegable que contiene los nombres de asociados de cuenta tal y como están configurados en la directiva de confianza.
Un mecanismo que puede utilizar para evitar la detección de asociado de cuenta es incluir el parámetro whr en la cadena de consulta para el recurso al que se tiene acceso, por ejemplo,
https://webserver/testapp/testpage.aspx?whr=urn:federation:<accountpartner>
donde <accountpartner> indica el territorio de la cuenta de asociado del cliente.
Cuando se utiliza el parámetro whr, el servidor de federación de recursos quita el parámetro y escribe una cookie en el explorador del cliente para recordar esta configuración para futuras solicitudes. A continuación, la solicitud continúa de la misma forma que si no se hubiera proporcionado.