Instituto Tecnolgico Superior

de Nochistln
Ingeniera en Sistemas Computacionales
Taller de Sistemas Operativos
ING. Antonio de Jess Damin Lpez
Unidad 2: SERVIDORES CON SOFTWARE PROPIETARIO
Tarea Active Directory Federation Services
Fernando Daniel Macas Prez

Nochistln de Meja, Zac. A 29 de Febrero de 2016

Servicios de federacin
de Active Directory
Introduccin
AD FS es una solucin de acceso e identidad que
proporciona a los clientes basados en un
explorador (internos o externos con respecto a su
red) un acceso eficaz de "una sola pregunta" a
una o varias aplicaciones protegidas para Internet
aun cuando las cuentas de usuario y las
aplicaciones
se
encuentren
en
redes
u
organizaciones completamente distintas.

Ofrece a la web las tecnologas para

autenticar a un usuario a mltiples
aplicaciones web, utilizando una sola
cuenta de usuario.

Cuando una aplicacin se encuentra en una red y las

cuentas de usuario en otra, es habitual que los usuarios
tengan que especificar preguntas para las credenciales
secundarias al intentar obtener acceso a la aplicacin.
Estas credenciales secundarias representan la identidad
de los usuarios en el entorno en que reside la
aplicacin. El servidor web que hospeda la aplicacin
suele exigir estas credenciales para poder tomar la
decisin de autorizacin ms adecuada posible.

AD FS hace innecesarias estas cuentas secundarias

y sus credenciales al proporcionar relaciones de
confianza que se pueden emplear para proyectar la
identidad digital y los derechos de acceso de un
usuario a los asociados de confianza. En un entorno
federado, cada organizacin sigue administrando
sus propias identidades, aunque tambin puede
proyectar y aceptar identidades de otras
organizaciones de una forma segura.

Adems, es posible implementar servidores de federacin

en varias organizaciones a fin de facilitar las transacciones
de empresa a empresa (B2B) entre organizaciones
asociadas. Las asociaciones B2B federadas identifican a los
asociados comerciales como uno de los siguientes tipos de
organizacin:
Organizacin de recursos: aquellas organizaciones que
poseen y administran recursos que son accesibles desde
Internet pueden implementar servidores de federacin AD
FS y servidores web habilitados para AD FS que
administren el acceso a los recursos protegidos de los
asociados de confianza. Estos asociados de confianza
pueden incluir otras partes externas u otros departamentos
o subsidiarias de la misma organizacin.

Organizaciones
de
cuenta:
aquellas
organizaciones que poseen y administran cuentas
de usuario pueden implementar servidores de
federacin AD FS que autentiquen a los usuarios
locales y creen tokens de seguridad que los
servidores de federacin de la organizacin de
recursos usen posteriormente para tomar decisiones
de autorizacin.

El proceso de autenticacin en una red mientras

se obtiene acceso a los recursos de otra (sin que
los usuarios tengan que molestarse en repetir
acciones de inicio de sesin) se conoce como
inicio de sesin nico (SSO). AD FS ofrece una
solucin de SSO basada en web que autentica a
los usuarios en varias aplicaciones web a lo largo
de una sesin de explorador nica.

Servicios del rol AD FS

El rol de servidor AD FS incluye servicios de
federacin, proxy y agente web que se pueden
configurar a fin de habilitar el SSO web, federar
recursos basados en web, personalizar la
experiencia de acceso y administrar la forma en
que se autoriza a los usuarios existentes a obtener
acceso a las aplicaciones.

Segn los requisitos de la organizacin, es posible

implementar servidores que ejecuten cualquiera de los
siguientes servicios del rol AD FS:
Servicio de federacin: el Servicio de federacin est
compuesto por uno o varios servidores de federacin
que comparten una directiva de confianza comn. Los
servidores de federacin se usan para enviar las
solicitudes de autenticacin de las cuentas de usuario
de otras organizaciones o de los clientes que pueden
encontrarse en cualquier lugar de Internet.

Proxy de Servicio de federacin: el proxy de

Servicio de federacin es un proxy para el Servicio
de federacin de la red perimetral (lo que tambin
se conoce como extranet o subred filtrada). El
proxy de Servicio de federacin usa protocolos WSFederation Passive Requestor Profile (WS-F PRP)
para recopilar informacin de credenciales de
usuario de los clientes del explorador y enviarla al
Servicio de federacin en su nombre.

Agente para notificaciones: el agente para

notificaciones se usa en un servidor web que
hospede una aplicacin para notificaciones a fin de
permitir la consulta de notificaciones de tokens de
seguridad de AD FS. Una aplicacin para
notificaciones es una aplicacin Microsoft ASP.NET
que usa las notificaciones de un token de seguridad
de AD FS para tomar decisiones de autorizacin y
personalizar aplicaciones.

Agente basado en tokens de Windows: el agente

basado en tokens de Windows se usa en un servidor
web que hospeda una aplicacin basada en tokens de
Windows NT para permitir la conversin de un token de
seguridad de AD FS en un token de acceso de nivel de
suplantacin de Windows NT. Una aplicacin basada en
tokens de Windows NT es una aplicacin que emplea
mecanismos de autorizacin basados en Windows.

Instalacin del rol AD FS

Una vez instalado el sistema operativo,
aparece una lista de tareas de configuracin
iniciales. Para instalar AD FS, haga clic en
Agregar roles en la lista de tareas y, a
continuacin, en Servicios de federacin de
Active Directory.

Administracin del rol AD FS

Los roles de servidor se pueden administrar con los
complementos Microsoft Management Console (MMC).
Despus de instalar AD FS, puede usar el complemento
Servicios de federacin de Active Directory para
administrar los servicios del rol Servicio de federacin y
proxy del Servicio de federacin. Para abrir este
complemento, haga clic en Inicio, en Herramientas
administrativas y, a continuacin, en Servicios de
federacin de Active Directory.
Para administrar el agente basado en tokens de
Windows, haga clic en Inicio, en Herramientas
administrativas,
en
Administrador
de
Internet
Information Services (IIS) y, a continuacin, en
Conectarse a localhost.