Servicios de federación de Active Directory (AD FS) es una característica de los sistemas operativos Windows Server® 2003 R2, Windows Server 2008 y Windows Server 2008 R2 que proporciona tecnologías de inicio de sesión único (SSO) web para autenticar a un usuario en varias aplicaciones web durante una única sesión en línea. AD FS cumple este objetivo mediante el uso compartido seguro de identidades digitales y derechos de uso, o "notificaciones", a través de límites de seguridad y empresariales.
Características de AD FS
En Windows Server 2008 y Windows Server 2008 R2, AD FS incluye nuevas características que no estaban disponibles en Windows Server 2003 R2. Para obtener más información acerca de estas características, consulte las novedades de AD FS en Windows Server 2008 (
Algunos de las principales características de AD FS son:
-
Federación y SSO web
Si una organización usa Servicios de dominio de Active Directory (AD DS), puede aprovechar la funcionalidad SSO mediante la Autenticación integrada de Windows dentro de los límites de empresa o de seguridad de la organización. AD FS amplía esta funcionalidad a las aplicaciones para Internet. Esto permite a los clientes, asociados y proveedores tener una experiencia de usuario SSO web similar y más eficaz cuando tienen acceso a las aplicaciones basadas en web de la organización. Además, los servidores de federación se pueden implementar en varias organizaciones para facilitar transacciones federadas business-to-business (B2B) entre organizaciones asociadas. Para obtener más información acerca de la federación AD FS, vea Descripción de los diseños de federación.
-
Interoperabilidad de servicios web (WS)-*
AD FS proporciona una solución de administración de identidades federadas que interopera con otros productos de seguridad que admiten la arquitectura de servicios web WS-*. AD FS lo hace empleando la especificación de federación de WS-*, denominada WS-Federation. La especificación WS-Federation permite esto en entornos que no usan el modelo de identidad de Microsoft® Windows® para federar con entornos de Windows. Para obtener más información acerca de las especificaciones de WS-*, consulte Recursos de AD FS.
-
Arquitectura extensible
AD FS proporciona una arquitectura extensible que admite el tipo de token del lenguaje de marcado de aserción de seguridad (SAML) 1.1 y la autenticación Kerberos (en el diseño SSO web federado con confianza de bosque). AD FS también puede realizar la asignación de notificaciones, por ejemplo, modificando notificaciones usando lógica empresarial personalizada como variable en una solicitud de acceso. Las organizaciones pueden usar esta extensibilidad para modificar AD FS para que coexista con su infraestructura de seguridad y directivas de negocio actuales. Para obtener más información acerca de la modificación de notificaciones, vea Descripción de las notificaciones.
Extensión de AD DS a Internet
AD DS sirve como servicio de autenticación e identidad primario en muchas organizaciones. Con Active Directory de Windows Server 2003 y AD DS de Windows Server 2008 y Windows Server 2008 R2, se pueden crear confianzas de bosque entre dos o más bosques de Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 para proporcionar acceso a recursos ubicados en diferentes organizaciones o unidades de negocio. Para obtener más información acerca de las confianzas de bosque, consulte la página sobre el funcionamiento de las confianzas de bosque y dominio (
Sin embargo, hay diseños en los que las confianzas de bosque no son una opción viable. Por ejemplo, el acceso entre organizaciones puede que tenga que estar limitado sólo a un subconjunto pequeño de individuos, no a todos los miembros de un bosque.
Si usan AD FS, las organizaciones pueden ampliar sus infraestructuras de Active Directory existentes para proporcionar acceso a recursos ofrecidos por asociados de confianza a través de Internet. Estos asociados de confianza pueden incluir otras partes externas u otros departamentos o subsidiarias de la misma organización.
AD FS admite la autorización y la autenticación distribuida por Internet. AD FS se puede integrar en la solución de administración de acceso existente de una organización o departamento para traducir las condiciones que se usan en la organización a notificaciones acordadas como parte de una federación. AD FS puede crear, proteger y comprobar las notificaciones que se mueven entre organizaciones. También puede auditar y controlar la actividad de comunicación entre organizaciones y departamentos para ayudar a proteger transacciones seguras.
Para obtener más información general acerca de AD FS, consulte los siguientes temas: