ADFS (Active Directory Federation Services) es un componente de Windows Server que proporciona la funcionalidad de un proveedor de autenticación para aplicaciones web. Los servicios de federación se utilizan para autenticar usuarios externos en diferentes aplicaciones.

¿Por qué necesito ADFS si tengo un Active Directory implementado? El hecho es que los protocolos de autenticación utilizados en Active Directory no están diseñados para funcionar en Internet. Kerberos no funcionará completamente, porque su soporte requiere la membresía de un servidor web y un cliente en el dominio AD. NTLM y LM tampoco son protocolos de autenticación suficientemente seguros.

ADFS actúa como un servicio de token de acceso. Su misión de emitir identidades digitales (Reclamación (es—CBA), basado en una autenticación exitosa de Active Directory. Estas credenciales emitidas serán suficientes para la autenticación y autorización exitosas del usuario externo en la aplicación web.

Los servicios de federación constan de dos componentes:Servicios de federación de Active Directory (ADFS) y Proxy de aplicación web (WAP). WAP acepta solicitudes entrantes de Internet y las redirige a servidores ADFS para su posterior procesamiento. Las respuestas de los servidores ADFS se reenvían a WAP y luego al cliente de Internet. WAP también puede actuar como un servidor proxy inverso para publicar aplicaciones web en Internet. Por ejemplo, puede usar WAP para publicar fácilmente Exchange Web Access (OWA), SharePoint interno, etc. Los datos transmitidos a través de la red se cifran mediante el protocolo SSL 3.0.

En este artículo, mostraremos cómo instalar y configurar el rol ADFS en Windows Server 2016. Se recomienda instalar AD FS en un servidor dedicado y no combinarlo con RDS, RADIO papeles

Al instalar ADFS, deberá especificar una cuenta de servicio de dominio (desde la cual funcionarán los servicios de ADFS) y un certificado SSL.

Se recomienda crear y utilizar una cuenta de dominio como cuentas de servicio administradas por grupo (gMSA). Cree una cuenta gMSA en AD usando PowerShell:

$server1 = Get-ADComputer adfs1
New-ADServiceAccount -Name "gMSAADFS" -DNSHostName gMSAADFS.test.com -Enabled $True -ManagedPasswordIntervalInDays 30 -PrincipalsAllowedToRetrieveManagedPassword $server1

De forma predeterminada, las cuentas de gMSA se crean en la cuenta especial UNED—Cuentas de servicio administradas

Luego, obtenga el certificado SSL con el EKU (uso extendido de clave) “Autenticación del servidor” y la opción de exportar la clave privada desde su CA interna (ADCS) o una autoridad de certificación comercial externa. El certificado en el Nombre del tema y Nombre alternativo del sujeto debe contener una lista completa de los FQDN publicados. El certificado debe exportarse al formato de certificado .pfx.

Puede instalar la función ADFS 3.0 en Windows Server 2016 mediante el Administrador del servidor o con un solo comando de PowerShell:

Add-WindowsFeature ADFS-Federation

anuncio fs

Después de instalar ADFS, ejecute la tarea posterior a la implementación de ADFS presionando "Configurar los servicios de federación en este servidor" a través del complemento Administrador del servidor.

servidor adfs

Elija la opción "Crear el primer servidor de federación en una granja de federación".

servicios de federación de anuncios

Seleccione su archivo de certificado pfx presionando el botón Importar.

federación del directorio activo

En el siguiente paso, especifique el nombre de la cuenta gMSA creada anteriormente (gMSAADFS).

directorio activo adfs

Elija si desea utilizar un servidor MS SQL independiente o una base de datos interna de Windows (WID).

federación adfs

Luego haga clic en Siguiente > Siguiente > Configurar. Eso es todo, su servidor ADFS está implementado.

Para verificar la disponibilidad de ADFS a través de una página web dedicada en Windows Server 2016, habilite la opción IdpInitiatedSignOnPage. Habilite la página de prueba con el comando de PowerShell:

Set-AdfsProperties -EnableIdpInitiatedSignonPage $true

Para configurar otra opción ADFS necesita usar el Administración de AD FS consola.

servicios de federación del directorio activo de microsoft

Recomendado para ti

Bestseller No. 1
Hp Elite 8300 - Ordenador de sobremesa + Monitor 24'' (Intel Core i7-3770, 8GB de RAM, Disco de 240 SSD+ 500GB HDD, Lector DVD, WiFi,Windows 10 Pro 64) (Reacondicionado)
  • Procesador Intel Core i7-3770 - 3,40 GHz
  • Monitor 24" Reacondicionado con altavoces integrados, Estado excelente.
  • Almacenamiento de 240GB SSD+500GB HDD
  • Memoria RAM 8GB DDR3
  • Sistema Operativo: Windows 10 PRO