¿Qué es un Servidor AD FS?

Configurar un servidor AD FS puede ser difícil, ya que hay muchas opciones y configuraciones que hay que tener en cuenta.

En Microsoft Active Directory, la gestión federada de identidades y accesos está habilitada por el Servicio de Federación de Active Directory (AD FS) y se utiliza a menudo para permitir el uso de la funcionalidad de inicio de sesión único para las aplicaciones con acceso a Internet. Aunque en este artículo no vamos a pasar por el proceso de configuración de un servidor AD FS completo, discutiremos cómo se utiliza este servicio, consideraciones de diseño y consejos comunes para que la configuración tenga éxito.

Encajando AD FS en un entorno de Directorio Activo

Antes de Windows Server 2012, a menudo era necesario crear un servidor AD FS dedicado. Esta razón principal era que había un servicio web habilitado por defecto que no se recomendaba que coexistiera en un controlador de dominio, que era la configuración típica para despliegues simples. Ahora la recomendación es que no hay problema en instalar AD FS en un controlador de dominio si está destinado a ser utilizado para 1000 usuarios y menos.

El proceso de instalación en sí no es demasiado complicado, especialmente cuando se tiene en cuenta algunos de los conocimientos comunes. La complicación para configurar AD FS en cualquier entorno es la de las configuraciones de Confianza y Reclamaciones de la Parte Confiante.

• Confianza de la parte que confía - Esta es la solicitud que hace la petición de autenticación y cómo confiar y manejar esa solicitud entrante.
• Proveedor de reclamaciones - Una aplicación que ha hecho una solicitud de autorización está solicitando una reclamación, y esta configuración es la forma en que el servidor AD FS tratará y responderá a esa reclamación. Si se autentica, entonces tendrá la opción de transformar la información de la reclamación y pasar las propiedades apropiadas.

Aunque AD FS se ha utilizado tradicionalmente para los flujos de trabajo de autenticación SAML, hay varias opciones que tiene cuando se trata de AD FS. Las versiones modernas de AD FS soportan el flujo multifactorial completo que también ofrece Azure.

• Autenticación de formularios
• Autenticación de certificados
• Autenticación del dispositivo
• Azul MFA
• Autenticación de pasaporte de Microsoft

Azure AD y AD FS

¿Cómo encaja Azure AD en el paisaje con AD FS? Para las organizaciones centradas en la nube, principalmente los usuarios de Office 365, puede que no haya mucha necesidad de una solución más tradicional in situ como AD FS. Aunque AD FS puede funcionar con Azure AD, la configuración cuando se utiliza Azure AD es más sencilla. Significa que puede aprovechar la escalabilidad y la gestión de la solución Azure AD.

Sin embargo, con la simplicidad viene la falta de opciones de administración. Hay mucho más que un servidor AD FS puede hacer cuando se le presentan escenarios de autenticación complejos. Por lo tanto, dependiendo de las necesidades de una organización, un servidor AD FS puede seguir siendo la mejor solución.

Consejos, trucos y preocupaciones comunes al configurar AD FS

Varios problemas comunes que se encuentran al configurar el AD FS que con cierto conocimiento pueden evitarse y hacer el proceso de instalación mucho más fluido y manejable.

Autoridad de certificación

Se recomienda tener una autoridad de certificación, que se configura comúnmente para los entornos de Directorio Activo, para permitir la creación de certificados SSL que pueden utilizarse para autenticarse correctamente y confiar en el servidor AD FS.

Certificado SSL

Cuando instale AD FS necesitará un certificado SSL. Para ello, necesitas asegurarte de que el DNS está configurado correctamente para que AD FS funcione de forma efectiva. Cuando cree el certificado, añada los siguientes nombres DNS alternativos.

• {FQDN del servidor de AD FS}.dominio
• Dominio

Cuentas de servicios gestionados de grupo

Al instalar el servidor de AD FS, necesitará configurar una cuenta para que el servicio se ejecute como. Las cuentas de servicio tradicionales utilizan el método sMSA (cuenta de servicio administrado independiente), pero con los servicios de Active Directory más recientes, es mejor utilizar una gMSA (cuenta de servicio administrado de grupo). La principal diferencia es que el sistema operativo Windows gestiona la contraseña de la cuenta. Para que esto funcione con AD FS, primero debe agregar una Clave Raíz KDS. Usando un aviso administrativo de PowerShell, ejecute el siguiente código para generar una Clave de Raíz de KDS durante 10 horas antes, lo que evita advertencias de no bloqueo más adelante en el proceso de instalación.

Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))

Después de haber añadido la Clave Raíz de KDS, necesita crear una cuenta gMSA para ser usada para manejar el servicio AD FS. Esto se logra mejor usando PowerShell, como se ve a continuación. Un aspecto único que usted puede notar es la extraña sintaxis en el Este SPN está ahí para permitir la autenticación Kerberos entre los clientes unidos al dominio y AD FS.

$Name = 'sa_adfs'

$Params = @{
"Name"                                       = $Name
"DNSHostName"                               = 'win2019server.ad.test.local'
"PrincipalsAllowedToRetrieveManagedPassword" = 'win2019server$'
"ServicePrincipalNames"                     = 'http/win2019server.ad.test.local'
}

New-ADServiceAccount @Params

Install-ADServiceAccount -Identity $Name

Add-ADComputerServiceAccount -Identity 'win2019server' -ServiceAccount $Name

Si se produce un error de acceso denegado al ejecutar Install-ADServiceAccount, es posible que tenga que reiniciar el servidor primero.

Habilitar la página de inicio de sesión de IdP

A menudo se echa de menos cuando se configura un servidor AD FS la página de inicio de sesión de IdP, que puede ayudar no sólo con la solución de problemas sino también con las aplicaciones que pueden necesitar esto. La forma más rápida de habilitar esto es usando PowerShell.

Set-ADFSProperties -EnableIdPInitiatedSignonPage $True

Verificando los metadatos del servidor AD FS

La forma más rápida de verificar que los metadatos apropiados están siendo devueltos es usar la siguiente URL, actualizada para usar el FQDN de su servidor AD FS.

https://{FQDN of AD FS Server}/adfs/fs/federationserverservice.asmx

Conclusión

Este artículo sólo rasca la superficie de cómo configurar y configurar el AD FS. Aún así, con la información presentada aquí sobre cómo evitar los errores comunes y los problemas de configuración, su organización debería tener mucho más éxito. Si está usando Azure AD, hay procesos de autenticación que pueden ser configurados desde el Portal Azure que no necesita un servidor AD FS. Esto se utiliza mejor para flujos de trabajo de autenticación más complicados y para entornos de Active Directory in situ. ¡Despliegue AD FS para aprovechar las ventajas de los flujos de trabajo de autenticación sin problemas hoy!