Compartir a través de


Understanding Key AD FS Concepts

Es aconsejable que conozcas los conceptos más importantes de los Servicios de federación de Active Directory (AD FS) y que te familiarices con su conjunto de características.

Sugerencia

Puede encontrar vínculos adicionales a recursos de AD FS en Descripción de los conceptos clave de AD FS.

Terminología de AD FS empleada en esta guía

Término de AD FS Definición
Organización de asociado de cuenta Organización de asociado de federación que se representa mediante una confianza de proveedor de notificaciones en el Servicio de federación. Esta organización de asociado de cuenta contiene los usuarios que van a acceder a las aplicaciones web en el asociado de recurso.
Servidor de federación de cuenta Servidor de federación de la organización de asociado de cuenta. El servidor de federación de cuenta se basa en la autenticación de usuario para emitir tokens de seguridad a los usuarios. El servidor autentica al usuario, extrae la información de pertenencia a grupos y atributos que proceda del almacén de atributos, empaqueta esta información en notificaciones y genera y firma un token de seguridad (que contiene las notificaciones) que devuelve al usuario (ya sea para usarlo en su propia organización o para enviarlo a una organización asociada).
Base de datos de configuración de AD FS Base de datos que se usa para almacenar todos los datos de configuración que representan a una única instancia de AD FS o Servicio de federación. Estos datos de configuración se pueden almacenar en una base de datos de SQL Server o mediante la característica Windows Internal Database que se incluye en Windows Server 2016, Windows Server 2012 y 2012 R2, y Windows Server 2008 y 2008 R2.

Puede crear la base de datos de configuración de AD FS para SQL Server mediante la herramienta de línea de comandos Fsconfig.exe y, en el caso de Windows Internal Database, mediante el Asistente para configuración del servidor de federación de AD FS.
Proveedor de notificaciones Organización que proporciona notificaciones a sus usuarios. Consulta "Organización de asociado de cuenta".
Confianza de proveedor de notificaciones En el complemento de administración de AD FS, las confianzas de proveedor de notificaciones son objetos de confianza que se suelen crear en organizaciones de asociados de recurso para representar a la organización en la relación de confianza cuyas cuentas van a acceder a los recursos de la organización del asociado de recurso. Un objeto de confianza de proveedor de notificaciones consta de una serie de identificadores, nombres y reglas característicos de ese asociado en el Servicio de federación local.
Confianza de proveedor de notificaciones local Un objeto de confianza que representa AD LDS o directorios de terceros basados en LDAP en una granja de servidores de AD FS. Un objeto de confianza de proveedor de notificaciones local consta de una serie de identificadores, nombres y reglas característicos de ese directorio basado en LDAP en el Servicio de federación local.
Metadatos de federación Formato de datos en el que se transmite la información de configuración entre un proveedor de notificaciones y un usuario de confianza para facilitar la correcta configuración de las confianzas de proveedor de notificaciones y las confianzas para usuario autenticado. Este formato de datos se define en lenguaje de marcado de aserción de seguridad (SAML) 2.0 y se amplía en WS-Federation.
Servidor de federación Un servidor de Windows que se ha configurado mediante el Asistente para configuración del servidor de federación de AD FS para asumir el rol de servidor de federación. Un servidor de federación emite tokens y presta servicio como parte del Servicio de federación.
Servidor proxy de federación Un servidor de Windows que se ha configurado mediante el Asistente para configuración del servidor proxy de federación de AD FS para actuar como servicio intermediario entre un cliente de Internet y un Servicio de federación que está detrás de un firewall en una red corporativa.
Servidor de federación principal Un servidor de Windows que se ha configurado en el rol de servidor de federación mediante el Asistente para configuración de servidor de federación de AD FS y que hospeda una copia de lectura/escritura de la base de datos de configuración de AD FS.

El servidor de federación principal se crea cuando usa el Asistente para configuración de servidor de federación de AD FS, selecciona la opción para crear un servicio de federación y elige ese equipo como primer servidor de federación de la granja de servidores. El resto de servidores de de la granja de servidores debe replicar los cambios realizados en el servidor de federación principal en una copia de solo lectura de la base de datos de configuración de AD FS almacenada localmente. El término "servidor de federación principal" no es válido si la base de datos de configuración de AD FS está almacenada en una base de datos SQL, ya que cualquier servidor de federación puede leer y escribir en iguales condiciones en una base de datos de configuración hospedada en un servidor SQL.
Usuario de confianza Organización que recibe y procesa notificaciones. Consulta "Organización de asociado de recurso".
Confianza para usuario autenticado En el complemento de administración de AD FS, las relaciones de confianza para usuario autenticado son objetos de confianza que suelen crearse en los siguientes:

- Organizaciones de asociado de cuenta para representar la organización en la relación de confianza cuyas cuentas van a acceder a los recursos de la organización de asociado de recurso.
- Organizaciones de asociado de recurso para representar la confianza entre el Servicio de federación y una única aplicación web.

Una confianza para usuario autenticado consta de una serie de identificadores, nombres y reglas característicos de ese asociado o de la aplicación web en el Servicio de federación local.

Servidor de federación de recursos Servidor de federación de la organización de asociado de recurso. El servidor de federación de recursos suele emitir tokens a los usuarios según un token de seguridad que emite un servidor de federación de cuenta. El servidor recibe el token de seguridad, comprueba la firma, aplica lógica de reglas de notificaciones a las notificaciones empaquetadas para generar las notificaciones salientes deseadas, genera un nuevo token de seguridad (con las notificaciones salientes) acorde con la información del token de seguridad entrante y, finalmente, firma el nuevo token para devolverlo al usuario y, en última instancia, a la aplicación web.
Organización de asociado de recurso Asociado de federación que se representa mediante una confianza para usuario autenticado en el Servicio de federación. El asociado de recurso emite tokens de seguridad basados en notificaciones que contienen aplicaciones web publicadas a las que pueden acceder los usuarios en la organización de asociado de cuenta.

Introducción a AD FS

AD FS es una solución de acceso de identidades que provee a los equipos cliente (internos o externos de la red) de acceso SSO sin problemas a servicios o aplicaciones protegidos que tienen acceso a Internet, incluso en los casos en los que las aplicaciones y cuentas de usuario estén en redes u organizaciones totalmente distintas.

Cuando una aplicación o servicio está en una red y una cuenta de usuario, en otra, lo habitual es que se pida al usuario que introduzca credenciales secundarias cuando trate de acceder a dicha aplicación o servicio. Estas credenciales secundarias representan la identidad del usuario en el dominio kerberos en el que la aplicación o servicio reside. El servidor web que hospeda esa aplicación o servicio suele requerirlas para poder tomar la decisión de autorización más adecuada.

Con AD FS, las organizaciones pueden omitir el paso de las solicitudes de credenciales secundarias, ya que se pueden establecer relaciones de confianza (confianzas de federación) mediante las que estas organizaciones presentan la identidad digital y los derechos de acceso de un usuario a los asociados de confianza. En este entorno federado, cada organización sigue administrando sus propias identidades y, al mismo tiempo, también pueden presentar y aceptar identidades de otras organizaciones sin riesgo alguno.