ADFS (Active Directory Federation Services) es un componente de Windows Server que proporciona la funcionalidad de un proveedor de autenticación para aplicaciones web. Los servicios de federación se utilizan para autenticar usuarios externos en diferentes aplicaciones.
¿Por qué necesito ADFS si tengo un Active Directory implementado? El hecho es que los protocolos de autenticación utilizados en Active Directory no están diseñados para funcionar en Internet. Kerberos no funcionará completamente, porque su soporte requiere la membresía de un servidor web y un cliente en el dominio AD. NTLM y LM tampoco son protocolos de autenticación suficientemente seguros.
ADFS actúa como un servicio de token de acceso. Su misión de emitir identidades digitales (Reclamación (es—CBA), basado en una autenticación exitosa de Active Directory. Estas credenciales emitidas serán suficientes para la autenticación y autorización exitosas del usuario externo en la aplicación web.
Los servicios de federación constan de dos componentes:Servicios de federación de Active Directory (ADFS) y Proxy de aplicación web (WAP). WAP acepta solicitudes entrantes de Internet y las redirige a servidores ADFS para su posterior procesamiento. Las respuestas de los servidores ADFS se reenvían a WAP y luego al cliente de Internet. WAP también puede actuar como un servidor proxy inverso para publicar aplicaciones web en Internet. Por ejemplo, puede usar WAP para publicar fácilmente Exchange Web Access (OWA), SharePoint interno, etc. Los datos transmitidos a través de la red se cifran mediante el protocolo SSL 3.0.
En este artículo, mostraremos cómo instalar y configurar el rol ADFS en Windows Server 2016. Se recomienda instalar AD FS en un servidor dedicado y no combinarlo con RDS, RADIO papeles
Al instalar ADFS, deberá especificar una cuenta de servicio de dominio (desde la cual funcionarán los servicios de ADFS) y un certificado SSL.
Se recomienda crear y utilizar una cuenta de dominio como cuentas de servicio administradas por grupo (gMSA). Cree una cuenta gMSA en AD usando PowerShell:
$server1 = Get-ADComputer adfs1 New-ADServiceAccount -Name "gMSAADFS" -DNSHostName gMSAADFS.test.com -Enabled $True -ManagedPasswordIntervalInDays 30 -PrincipalsAllowedToRetrieveManagedPassword $server1
De forma predeterminada, las cuentas de gMSA se crean en la cuenta especial UNED—Cuentas de servicio administradas
Luego, obtenga el certificado SSL con el EKU (uso extendido de clave) “Autenticación del servidor” y la opción de exportar la clave privada desde su CA interna (ADCS) o una autoridad de certificación comercial externa. El certificado en el Nombre del tema y Nombre alternativo del sujeto debe contener una lista completa de los FQDN publicados. El certificado debe exportarse al formato de certificado .pfx.
Puede instalar la función ADFS 3.0 en Windows Server 2016 mediante el Administrador del servidor o con un solo comando de PowerShell:
Add-WindowsFeature ADFS-Federation
Después de instalar ADFS, ejecute la tarea posterior a la implementación de ADFS presionando "Configurar los servicios de federación en este servidor" a través del complemento Administrador del servidor.
Elija la opción "Crear el primer servidor de federación en una granja de federación".
Seleccione su archivo de certificado pfx presionando el botón Importar.
En el siguiente paso, especifique el nombre de la cuenta gMSA creada anteriormente (gMSAADFS).
Elija si desea utilizar un servidor MS SQL independiente o una base de datos interna de Windows (WID).
Luego haga clic en Siguiente > Siguiente > Configurar. Eso es todo, su servidor ADFS está implementado.
Para verificar la disponibilidad de ADFS a través de una página web dedicada en Windows Server 2016, habilite la opción IdpInitiatedSignOnPage. Habilite la página de prueba con el comando de PowerShell:
Set-AdfsProperties -EnableIdpInitiatedSignonPage $true
Para configurar otra opción ADFS necesita usar el Administración de AD FS consola.
Recomendado para ti
