El servicio de Federación de Active Directory (ADFS) es un componente de software desarrollado por Microsoft para proporcionar el servicio de autorización de inicio de sesión único (SSO) a los usuarios de los sistemas operativos Windows Server. ADFS permite a los usuarios de todos los límites de la organización acceder a aplicaciones en sistemas operativos Windows Server mediante un solo conjunto de credenciales de inicio de sesión.
ADFS hace uso del modelo de autorización de control de acceso basado en notificaciones para garantizar la seguridad en todas las aplicaciones que utilizan la identidad federada., La autenticación basada en Notificaciones es un proceso en el que un usuario se identifica mediante un conjunto de notificaciones relacionadas con su identidad. El proveedor de identidades empaqueta las notificaciones en un token seguro.
¿cómo funciona ADFS?
el proceso de autenticación mediante el servicio de Federación de Active Directory (ADFS) se lleva a cabo en los siguientes pasos:
- El usuario navega a un servicio, por ejemplo, un sitio web de una empresa asociada (http://example.com) para obtener precios o detalles del producto.
- el sitio web solicita un token de autenticación.
- El usuario solicita token desde el servidor ADFS.,
- El servidor ADFS emite token que contiene el conjunto de notificaciones de los usuarios.
- El usuario reenvía token al sitio web de la empresa asociada.
- el sitio web otorga autorización de acceso al usuario.
ADFS Components: –
- Active Directory: la información de identidad que debe utilizar ADFS se almacena en Active Directory.
- servidor de Federación: contiene las herramientas necesarias para administrar las confianzas federadas entre socios comerciales., Procesa solicitudes de autenticación procedentes de usuarios externos y aloja un servicio de tokens de seguridad que emite tokens para notificaciones basadas en la verificación de credenciales de AD.
- proxy de servidor de Federación: el Proxy se implementa en la extranet de la organización, a la que se conectan los clientes externos al solicitar un token de seguridad. Reenvía estas solicitudes al servidor de Federación. El servidor de federación no está expuesto directamente a internet para evitar riesgos de seguridad.,
- servidor web ADFS: aloja el Agente web ADFS que administra los tokens de seguridad y las cookies de autenticación que se le envían con fines de autenticación.
¿por qué las organizaciones utilizan ADFS?
El uso de Active Directory (AD) en el mundo en línea conectado crea desafíos de autenticación. AD no puede autenticar a los usuarios que intentan acceder a aplicaciones integradas externamente. En el lugar de trabajo moderno, los usuarios a menudo necesitan acceder a aplicaciones que no son propiedad ni están administradas por el anuncio de su organización. ADFS puede resolver y simplificar estos desafíos de autenticación de terceros.,
ADFS permite a los usuarios de una organización acceder a las aplicaciones de las organizaciones asociadas utilizando las credenciales estándar de Active Directory (AD) de su organización. ADFS también permite a los Usuarios acceder a aplicaciones integradas en AD mientras trabajan de forma remota utilizando sus credenciales de Ad organizacionales estándar a través de una interfaz web. Al establecer una asociación para usar las aplicaciones web de otra organización, ADFS proporciona un lugar central para administrar y auditar la información de identidad del empleado que se comparte con los socios de su organización.,
más del 90% de las organizaciones usan Active Directory, lo que significa que muchas también usan ADFS.
los ADFS se pueden usar en los siguientes escenarios:
- Inicio de sesión único (SSO): los ADFS se pueden usar para proporcionar autorización de inicio de sesión único (SSO) a los usuarios que desean acceder a aplicaciones ubicadas en diferentes redes u organizaciones. Proporciona acceso sencillo de inicio de sesión único (SSO) a aplicaciones o servicios orientados a Internet.
- Federación de identidades (administración de identidades): la identidad federada es un concepto donde la identidad de un usuario está centralizada. Esto facilita la gestión de identidades., La administración de identidades se realiza para mantener la seguridad mientras se mantienen bajos los costos asociados con la administración de identidades de usuario.
ADFS Office 365 ejemplo:
- Office 365 utiliza un entorno de Active Directory en el que se crea un dominio dedicado en la nube para la suscripción de Office 365 de cada usuario.
- ADFS se usa aquí configurando la sincronización de directorios (herramienta DirSyc) que crea cuentas en el dominio de Microsoft que coinciden con las cuentas dentro del dominio del usuario.
- Un usuario puede seleccionar las cuentas que deben sincronizarse en el anuncio.,
inicio de sesión único (SSO) de Office 365 con ADFS
limitaciones de ADFS:
- costes de mantenimiento: ADFS genera un alto coste de mantenimiento que consiste en mantenimiento de infraestructura, gestión de múltiples federaciones, costes de certificados SSL.
- complejidad de ADFS: agregar una aplicación o sistema a un servicio ADFS es complejo y requiere mucho tiempo. No tiene un panel de administración fácil de usar para administrar usuarios, grupos y políticas de autenticación.,
- problema de seguridad de ADFS: ADFS se ejecuta en Windows Server, que tiene más problemas de seguridad, como Vulnerabilidad a malware y otros errores relacionados con la seguridad.
- ADFS no permite compartir archivos ni imprimir con servidores de impresión.
- ADFS no puede acceder a los recursos de Active Directory.
- ADFS no admite conexiones de Escritorio Remoto.
ADFS Vs miniOrange IDP
Características | ADFS | miniOrange IDP | |
soporte de Múltiples protocolos | Soporta limitada (protocolo SAML 2.,0, WS-Federation & OAuth 2.,thentication) | soporta limitada MFA métodos | soporta 15+ MFA métodos |
inicio de sesión Único En Mobile | no admite | Es compatible con SSO en las Aplicaciones Móviles | |
Adaptación de Autenticación | no admite | soporta | |
JWT | no admite | soporta |
Artículos Relacionados de Integración ADFS
ADFS Como IDP
ADFS Como Para WordPress
ADFS Single Sign-On (SSO)
ADF – Windows Single Sign-On