ADFS es una nueva característica del sistema operativo Windows Server 2008. Proporciona una solución de acceso unificado para el acceso basado en navegador para usuarios internos y externos. Esta nueva característica puede incluso permitir la comunicación entre cuentas y aplicaciones entre dos redes u organizaciones completamente diferentes.
Para comprender cómo funciona ADFS, primero puede considerar cómo funciona Active Directory. Cuando un usuario se autentica a través de Active Directory, el controlador de dominio verifica el certificado del usuario. Después de demostrar que es un usuario legítimo, el usuario puede acceder libremente a cualquier recurso autorizado en la red de Windows sin tener que volver a autenticarse cada vez que accede a un servidor diferente. ADFS aplica el mismo concepto a Internet. Todos sabemos que cuando una aplicación web necesita acceder a datos de back-end ubicados en una base de datos u otros tipos de recursos de back-end, los problemas de autenticación de seguridad para los recursos de back-end suelen ser complicados. Existen muchos métodos de autenticación diferentes disponibles en la actualidad para proporcionar dicha autenticación. Por ejemplo, el usuario podría implementar un mecanismo de autenticación de propiedad a través de un servidor RADIUS (Servicio de usuario de acceso telefónico de autenticación remota) o mediante una parte del código de la aplicación. Todos estos mecanismos de autenticación pueden implementar funciones de autenticación, pero también tienen algunas deficiencias. Un inconveniente es la gestión de cuentas. La gestión de cuentas no es un gran problema cuando sólo los propios empleados de la empresa acceden a las aplicaciones. Sin embargo, si todos los proveedores y clientes de la empresa utilizan la aplicación, los usuarios de repente se encontrarán con la necesidad de crear nuevas cuentas de usuario para los empleados de otras empresas. La segunda deficiencia es el mantenimiento. Cuando los empleados de otras empresas se van y se contratan nuevos empleados, los usuarios también deben eliminar cuentas antiguas y crear otras nuevas.
¿Qué puede hacer ADFS por usted?
¿Cómo sería si los usuarios descargaran las tareas de administración de cuentas a sus clientes, proveedores u otras personas que utilizan la aplicación web? Imagine que la aplicación web proporcionara servicios a otras empresas y los usuarios ya no tuvieran que crear usuarios para esos empleados o restablecerlas. tu contraseña. Si eso no fuera suficiente, los usuarios ya no necesitan iniciar sesión en la aplicación para usarla. Sería algo muy emocionante.
¿Qué necesita ADFS?
Por supuesto, los servicios de federación de Active Directory también requieren el uso de otras configuraciones y los usuarios necesitan algunos servidores para realizar estas funciones. El más básico es el servidor de federación, que ejecuta el componente de servicio de federación de ADFS. La función principal del servidor de federación es enviar solicitudes de diferentes usuarios externos. También es responsable de emitir tokens a los usuarios autenticados.
Además, en la mayoría de los casos se requiere un agente conjunto. Imagínese, si la red externa necesita poder establecer un protocolo de federación con la red interna del usuario, esto significa que el servidor de federación del usuario debe ser accesible a través de Internet. Pero la federación de Active Directory no depende en gran medida de Active Directory, por lo que exponer directamente el servidor de la federación a Internet traerá grandes riesgos. Debido a esto, el servidor de federación no se puede conectar directamente a Internet, sino que se accede a él a través del proxy de federación. El proxy de federación reenvía solicitudes de federación desde el exterior al servidor de federación, de modo que el servidor de federación no esté expuesto directamente al mundo exterior.
Otro componente importante de ADFS es el Agente web de ADFS. Las aplicaciones web deben tener un mecanismo para autenticar a los usuarios externos. Estos mecanismos son el proxy web ADFS. El proxy web ADFS administra tokens de seguridad y cookies de autenticación emitidas a servidores web.
En el siguiente artículo, lo guiaremos a través de un entorno de prueba simulado para que experimente la nueva experiencia que el servicio ADFS brinda a las empresas. Sin más preámbulos, comencemos la prueba de configuración de ADFS.
Paso 1: Tareas previas a la instalación
Para completar el siguiente experimento, los usuarios deben preparar al menos cuatro computadoras antes de instalar ADFS.
1) Configurar el sistema operativo y el entorno de red de la computadora
Utilice la siguiente tabla para configurar su sistema informático y el entorno de red para la prueba.
2)Instalar ADDS
Los usuarios utilizan la herramienta Dcpromo para crear un nuevo bosque de Active Directory para cada servidor de federación (FS). Para obtener el nombre específico, consulte la tabla de configuración a continuación.
3) Crear cuentas de usuario y cuentas de recursos.
Después de configurar los dos bosques, los usuarios pueden utilizar la herramienta "Cuentas de usuario y computadoras" (Usuarios y computadoras de Active Directory) para crear algunas cuentas en preparación para los siguientes experimentos. La siguiente lista ofrece algunos ejemplos para referencia del usuario:
4) Una la computadora de prueba al dominio apropiado
Siga la siguiente tabla para agregar las computadoras correspondientes al dominio apropiado. Cabe señalar que antes de agregar estas computadoras al dominio, los usuarios deben desactivar el firewall en el controlador de dominio correspondiente.
Paso 2: Instalar el servicio de rol de AD FS y configurar el certificado
Ahora que hemos configurado las computadoras y las agregamos al dominio, también hemos instalado los componentes ADFS en cada servidor.
1) Instalar el servicio de alianza
Instale el servicio de alianza en dos computadoras. Una vez completada la instalación, las dos computadoras se convierten en servidores de alianza. Los siguientes pasos nos guiarán en la creación de un nuevo archivo de política de confianza, SSL y certificado:
Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Administrador del servidor. Haga clic con el botón derecho en Administrar funciones y seleccione Agregar funciones para iniciar el Asistente para agregar funciones. Haga clic en Siguiente en la página Antes de comenzar. En la página Seleccionar funciones de servidor, seleccione Servicios de federación de Active Directory y haga clic en Siguiente. Seleccione la casilla de verificación Servicio de federación en Seleccionar servicios de función. Si el sistema solicita al usuario que instale los servicios de función del Servidor web (IIS) o del Servicio de activación de Windows (WAS), haga clic en Agregar servicios de función necesarios para agregarlos y haga clic en Siguiente cuando haya terminado. En la página Elegir un certificado para cifrado SSL, haga clic en Crear un certificado autofirmado para cifrado SSL, haga clic en Siguiente para continuar, en la página Elegir certificado de firma de token, haga clic en Crear un certificado de firma de token autofirmado y haga clic en Siguiente. Seleccione Política de confianza En la página, seleccione Crear una nueva política de confianza. Luego, ingrese a la página Seleccionar servicios de función y haga clic en Siguiente para confirmar el valor predeterminado. Después de verificar la información en Confirmar opciones de instalación, puede hacer clic en Instalar para iniciar la instalación.
[Cortar-Página]
2) Asigne la cuenta del sistema local a la identidad ADFSAppPool
Haga clic en Inicio, en el Administrador de Internet Information Services (IIS) en Herramientas administrativas, haga doble clic en ADFSRESOURCE o ADFSACCOUNT, seleccione Grupos de aplicaciones, haga clic con el botón derecho en ADFSAppPool en el panel central, seleccione Establecer valores predeterminados del grupo de aplicaciones en tipo de identidad, haga clic en Sistema local y luego. seleccione Aceptar.
3) Instalar el agente web de AD FS
En el Administrador del servidor en Herramientas administrativas, haga clic con el botón derecho en Administrar roles, seleccione Agregar roles, seleccione Servicios de federación de Active Directory en la página Seleccionar roles de servidor según el asistente, haga clic en Siguiente y seleccione la casilla de verificación Agente compatible con notificaciones en la ventana Seleccionar servicios de rol . Si el asistente solicita al usuario que instale los servicios de función del servidor web (IIS) o del servicio de activación de Windows (WAS), haga clic en Agregar servicios de función necesarios para completar la instalación. Una vez completado, en la página Seleccionar servicios de función, seleccione la casilla de verificación Autenticación de asignación de certificado de cliente (para realizar este paso, IIS necesita crear una autenticación de servicio autofirmada). Después de verificar la información, puede iniciar la instalación.
Para configurar con éxito un servidor web y un servidor de alianza, otro paso importante es la creación, importación y exportación de certificados. Anteriormente hemos utilizado el asistente de adición de roles para crear certificados de autorización de servidor entre servidores de alianza. Todo lo que queda por hacer es crear los certificados de autorización correspondientes para la computadora adfsweb. Debido al espacio limitado, no lo presentaré en detalle aquí. Para obtener contenido relacionado, puede consultar los artículos relacionados con certificados de la serie.
Paso 3: configurar el servidor web
En este paso, lo que principalmente queremos completar es cómo configurar una aplicación que reconoce notificaciones en un servidor web (adfsweb).
Primero configuramos IIS. Todo lo que tenemos que hacer es habilitar la configuración SSL del sitio web predeterminado de adfsweb. Una vez completado, hacemos doble clic en Sitios web en ADFSWEB de IIS, hacemos clic con el botón derecho en Sitio web predeterminado, seleccionamos Agregar aplicación y escribimos ClaimApp. el Alias del cuadro de diálogo Agregar aplicación Haga clic en el botón..., cree una nueva carpeta llamada Claimapp y luego confirme. Cabe señalar que es mejor no utilizar letras mayúsculas al nombrar una nueva carpeta; de lo contrario, deberá utilizar las letras mayúsculas correspondientes cuando la utilice más adelante.
Paso 4: configurar el servidor Alliance
Ahora que hemos instalado el servicio ADFS y configurado el servidor web para acceder a la aplicación de reconocimiento de reclamaciones, configuremos los servicios de alianza de las dos empresas (Trey Research y A. Datum Corporation) en el entorno de prueba.
Primero configuremos la política de confianza. Haga clic en Servicios de federación de Active Directory en Herramientas administrativas, haga doble clic en Servicio de federación, haga clic con el botón derecho, seleccione Política de confianza y seleccione Propiedades. Escriba urn:federation:adatum en la opción URI del servicio de federación en la pestaña General. Luego verifique que la siguiente URL sea correcta en el cuadro de texto URL del punto final del Servicio de federación https://adfsaccount.adatum.com/adfs/ls/ Finalmente, escriba A. Datum en Nombre para mostrar para esta política de confianza en la pestaña Nombre para mostrar y seleccione Aceptar Seguro. Una vez completado, ingresamos nuevamente a Servicios de federación de Active Directory. Hacemos doble clic en Servicio de federación, Política de confianza, Mi organización, hacemos clic con el botón derecho en Reclamaciones de organización, hacemos clic en Nuevo y luego hacemos clic en Reclamación de organización. Escriba Trey ClaimApp Claim en el nombre de la reclamación en Crear una. Cuadro de diálogo Nueva reclamación de organización. Asegúrese de que esté seleccionado Reclamo grupal y haga clic en Aceptar. La configuración de otra empresa es básicamente similar a la operación anterior, por lo que no entraré en detalles nuevamente.
Paso 5: acceda a la aplicación piloto a través de la computadora cliente
Configurar los ajustes del navegador para el servicio de federación adfsaccount
Inicie sesión en adfsclient como usuario alansh, inicie IE, haga clic en Opciones de Internet en el menú Herramientas, haga clic en Intranet local en la pestaña Seguridad y luego haga clic en Sitios. Luego haga clic en Avanzado. .adatum.com, haga clic en Agregar. Luego escriba https://adfsweb.treyresearch.net/claimapp/ en el navegador IE. Pero cuando se le solicite el dominio de inicio, haga clic en A. Datum y luego haga clic en Enviar. De esta manera, la aplicación de muestra compatible con notificaciones aparece en el navegador y el usuario puede ver las notificaciones seleccionadas de la aplicación en SingleSignOnIdentity.SecurityPropertyCollection. Si hay un problema durante el acceso, el usuario puede ejecutar iisreset o reiniciar la computadora adfsweb y luego intentar acceder nuevamente.
En este punto, se ha creado un modelo de prueba básico de ADFS. Por supuesto, ADFS sigue siendo una nueva tecnología completa y compleja. En un entorno de producción real, todavía tendremos muchas operaciones y configuraciones por realizar, independientemente de la configuración. Como se mencionó anteriormente, ADFS ampliará enormemente las capacidades de las aplicaciones web y ampliará el nivel de informatización del negocio externo de la empresa. Esperemos y veamos cómo se utiliza la tecnología ADFS en Windows Server 2008 en aplicaciones prácticas.
[Cortar-Página]2) Asigne la cuenta del sistema local a la identidad ADFSAppPool
Haga clic en Inicio, en el Administrador de Internet Information Services (IIS) en Herramientas administrativas, haga doble clic en ADFSRESOURCE o ADFSACCOUNT, seleccione Grupos de aplicaciones, haga clic con el botón derecho en ADFSAppPool en el panel central, seleccione Establecer valores predeterminados del grupo de aplicaciones en tipo de identidad, haga clic en Sistema local y luego. seleccione Aceptar.
3) Instalar el agente web de AD FS
En el Administrador del servidor en Herramientas administrativas, haga clic con el botón derecho en Administrar roles, seleccione Agregar roles, seleccione Servicios de federación de Active Directory en la página Seleccionar roles de servidor según el asistente, haga clic en Siguiente y seleccione la casilla de verificación Agente compatible con notificaciones en la ventana Seleccionar servicios de rol . Si el asistente solicita al usuario que instale los servicios de función del servidor web (IIS) o del servicio de activación de Windows (WAS), haga clic en Agregar servicios de función necesarios para completar la instalación. Una vez completado, en la página Seleccionar servicios de función, seleccione la casilla de verificación Autenticación de asignación de certificado de cliente (para realizar este paso, IIS necesita crear una autenticación de servicio autofirmada). Después de verificar la información, puede iniciar la instalación.
Para configurar con éxito un servidor web y un servidor de alianza, otro paso importante es la creación, importación y exportación de certificados. Anteriormente hemos utilizado el asistente de adición de roles para crear certificados de autorización de servidor entre servidores de alianza. Todo lo que queda por hacer es crear los certificados de autorización correspondientes para la computadora adfsweb. Debido al espacio limitado, no lo presentaré en detalle aquí. Para obtener contenido relacionado, puede consultar los artículos relacionados con certificados de la serie.
Paso 3: configurar el servidor web
En este paso, lo que principalmente queremos completar es cómo configurar una aplicación que reconoce notificaciones en un servidor web (adfsweb).
Primero configuramos IIS. Todo lo que tenemos que hacer es habilitar la configuración SSL del sitio web predeterminado de adfsweb. Una vez completado, hacemos doble clic en Sitios web en ADFSWEB de IIS, hacemos clic con el botón derecho en Sitio web predeterminado, seleccionamos Agregar aplicación y escribimos ClaimApp. el Alias del cuadro de diálogo Agregar aplicación Haga clic en el botón..., cree una nueva carpeta llamada Claimapp y luego confirme. Cabe señalar que es mejor no utilizar letras mayúsculas al nombrar una nueva carpeta; de lo contrario, deberá utilizar las letras mayúsculas correspondientes cuando la utilice más adelante.
Paso 4: configurar el servidor Alliance
Ahora que hemos instalado el servicio ADFS y configurado el servidor web para acceder a la aplicación de reconocimiento de reclamaciones, configuremos los servicios de alianza de las dos empresas (Trey Research y A. Datum Corporation) en el entorno de prueba.
Primero configuremos la política de confianza. Haga clic en Servicios de federación de Active Directory en Herramientas administrativas, haga doble clic en Servicio de federación, haga clic con el botón derecho, seleccione Política de confianza y seleccione Propiedades. Escriba urn:federation:adatum en la opción URI del servicio de federación en la pestaña General. Luego verifique que la siguiente URL sea correcta en el cuadro de texto URL del punto final del Servicio de federación https://adfsaccount.adatum.com/adfs/ls/ Finalmente, escriba A. Datum en Nombre para mostrar para esta política de confianza en la pestaña Nombre para mostrar y seleccione Aceptar Seguro. Una vez completado, ingresamos nuevamente a Servicios de federación de Active Directory. Hacemos doble clic en Servicio de federación, Política de confianza, Mi organización, hacemos clic con el botón derecho en Reclamaciones de organización, hacemos clic en Nuevo y luego hacemos clic en Reclamación de organización. Escriba Trey ClaimApp Claim en el nombre de la reclamación en Crear una. Cuadro de diálogo Nueva reclamación de organización. Asegúrese de que esté seleccionado Reclamo grupal y haga clic en Aceptar. La configuración de otra empresa es básicamente similar a la operación anterior, por lo que no entraré en detalles nuevamente.
Paso 5: acceda a la aplicación piloto a través de la computadora cliente
Configurar los ajustes del navegador para el servicio de federación adfsaccount
Inicie sesión en adfsclient como usuario alansh, inicie IE, haga clic en Opciones de Internet en el menú Herramientas, haga clic en Intranet local en la pestaña Seguridad y luego haga clic en Sitios. Luego haga clic en Avanzado. .adatum.com, haga clic en Agregar. Luego escriba https://adfsweb.treyresearch.net/claimapp/ en el navegador IE. Pero cuando se le solicite el dominio de inicio, haga clic en A. Datum y luego haga clic en Enviar. De esta manera, la aplicación de muestra compatible con notificaciones aparece en el navegador y el usuario puede ver las notificaciones seleccionadas de la aplicación en SingleSignOnIdentity.SecurityPropertyCollection. Si hay un problema durante el acceso, el usuario puede ejecutar iisreset o reiniciar la computadora adfsweb y luego intentar acceder nuevamente.
En este punto, se ha creado un modelo de prueba básico de ADFS. Por supuesto, ADFS sigue siendo una nueva tecnología completa y compleja. En un entorno de producción real, todavía tendremos muchas operaciones y configuraciones por realizar, independientemente de la configuración. Como se mencionó anteriormente, ADFS ampliará enormemente las capacidades de las aplicaciones web y ampliará el nivel de informatización del negocio externo de la empresa. Esperemos y veamos cómo se utiliza la tecnología ADFS en Windows Server 2008 en aplicaciones prácticas.