Identificar los objetivos de implementación de AD FS
Identificar correctamente sus objetivos de implementación de Servicios de federación de Active Directory (AD FS) es fundamental para el éxito del proyecto de diseño de AD FS. Establezca las prioridades y, si es posible, combine los objetivos de implementación para diseñar e implementar AD FS con un enfoque iterativo. Puede aprovechar los objetivos de implementación de AD FS predefinidos ya existentes y documentados que sean pertinentes para los diseños de AD FS y elaborar una solución de trabajo para su caso.
Las versiones anteriores de AD FS se solían implementar para lograr lo siguiente:
Proporcionar a los empleados o clientes una experiencia de inicio de sesión único (SSO) basado en web al obtener acceso a aplicaciones basadas en notificaciones en su empresa.
Proporcionar a los empleados o clientes una experiencia de SSO basada en web para obtener acceso a recursos en cualquier organización asociada de federación.
Proporcionar a los empleados o clientes una experiencia de SSO basada en web al obtener acceso remoto a sitios o servicios web hospedados internamente.
Proporcionar a los empleados o clientes una experiencia de SSO basada en web al obtener acceso a recursos o servicios en la nube.
Además de esto, AD FS en Windows Server® 2012 R2 agrega funcionalidad que puede ayudarle a lograr lo siguiente:
Unión al área de trabajo de un dispositivo para la autenticación SSO y de segundo factor sin problemas Gracias a esto, las organizaciones pueden permitir el acceso desde los dispositivos personales de los usuarios y controlar el riesgo que entraña proporcionar este acceso.
Administración de riesgos con el control de acceso multifactor. AD FS proporciona un nivel mayor de autorización que controla quién tiene acceso a determinadas aplicaciones. Esto puede basarse en atributos de usuario (UPN, correo electrónico, pertenencia a grupos de seguridad, seguridad de la autenticación, etc.), atributos de dispositivo (si el dispositivo está unido al área de trabajo) o atributos de solicitud (ubicación de red, dirección IP o agente de usuario).
Administración de riesgos con Multi-Factor Authentication adicional para aplicaciones confidenciales. AD FS permite controlar directivas para que exista la posibilidad de requerir la autenticación multifactor globalmente dependiendo de cada aplicación. Además, AD FS ofrece puntos de extensibilidad para que cualquier proveedor de Multi-Factor Authentication se integre profundamente para ofrecer una experiencia de Multi-Factor Authentication segura y sin problemas a los usuarios finales.
Ofrecer capacidades de autenticación y autorización para tener acceso a recursos web desde la extranet que están protegidos por el Proxy de aplicación web.
En definitiva, AD FS en Windows Server 2012 R2 se puede implementar para lograr los siguientes objetivos en su organización:
Acceso de los usuarios a recursos en sus dispositivos personales desde cualquier lugar
Unión al área de trabajo que permite a los usuarios unir sus dispositivos personales con Active Directory corporativo y así tener acceso y experiencias sin problemas al obtener acceso a recursos corporativos desde estos dispositivos.
La autenticación previa de los recursos dentro de la red corporativa que están protegidos por el Proxy de aplicación web y son accesibles desde Internet.
Cambio de contraseña que habilita a los usuarios para cambiar su contraseña desde cualquier dispositivo unido al área de trabajo cuando ha expirado su contraseña, de manera que puedan seguir teniendo acceso a recursos.
Mejora de las herramientas de administración de riesgos de control de acceso
La administración de riesgos es un aspecto importante del control y el cumplimiento en cada organización de TI. Existen numerosas mejoras en la administración de riesgos de control de acceso de AD FS en Windows Server® 2012 R2, como las siguientes:
Controles flexibles en función de la ubicación de red para controlar cómo se autentica un usuario para tener acceso a una aplicación protegida por AD FS.
Directivas flexibles para determinar si un usuario debe llevar a cabo la operación de autenticación multifactor en función de los datos del usuario, los datos del dispositivo y la ubicación de red.
Controles por aplicación para omitir el SSO y forzar que el usuario proporcione credenciales cada vez que accede a una aplicación confidencial.
Directiva de acceso flexibles por aplicación en función de los datos de usuario, los datos del dispositivo o la ubicación de red.
Bloqueo de la extranet de AD FS, que permite que los administradores puedan proteger las cuentas de Active Directory contra los ataques por fuerza bruta desde Internet.
Revocación de acceso para cualquier dispositivo unido al área de trabajo que esté deshabilitado o eliminado en Active Directory.
Uso de AD FS para mejorar la experiencia de inicio de sesión
A continuación se describen las nuevas capacidades de AD FS en Windows Server® 2012 R2 que permiten al administrador personalizar y mejorar la experiencia de inicio de sesión:
Personalización unificada del servicio AD FS, donde los cambios se realizan una vez y después se propagan automáticamente al resto de los servidores de federación de AD FS en una granja de servidores determinada.
Páginas de inicio de sesión actualizadas que tienen un aspecto moderno y abastecen los distintos factores de forma automáticamente.
Compatibilidad con la reserva automática para la autenticación basada en formularios para dispositivos que no están unidos al dominio corporativo pero que todavía se usan para generar solicitudes de acceso desde dentro de la red corporativa (intranet).
Controles simples para personalizar el logotipo de la compañía, la imagen de ilustración, los vínculos estándar para el soporte técnico de TI, la página principal, la privacidad, etc.
Personalización de los mensajes de la descripción de las páginas de inicio de sesión.
Personalización de temas web.
Detección del dominio de inicio (HRD) basada en el sufijo de la organización del usuario para mejorar la privacidad de los socios de la empresa.
Filtro de HRD según la aplicación para seleccionar automáticamente un dominio kerberos basado en la aplicación.
Informes de errores en un solo clic para facilitar la solución de problemas de TI.
Mensajes de error personalizables.
Elección de autenticación del usuario cuando hay más de un proveedor de autenticación disponible.