Identificar los objetivos de implementación de AD FS

Identificar correctamente los objetivos Servicios de federación de Active Directory (AD FS) implementación de Servicios de federación de Active Directory (AD FS) (AD FS) es esencial para el éxito del proyecto de AD FS diseño. Priorice y, posiblemente, combine los objetivos de implementación para que pueda diseñar e implementar AD FS mediante un enfoque iterativo. Puede aprovechar los objetivos de implementación de AD FS existentes, documentados y predefinidos que son pertinentes para los diseños de AD FS y desarrollar una solución de trabajo para su situación.

Las versiones anteriores de AD FS se implementaban normalmente para lograr lo siguiente:

  • Proporcionar a los empleados o clientes una experiencia de inicio de sesión único (SSO) basado en web al obtener acceso a aplicaciones basadas en notificaciones en su empresa.

  • Proporcionar a los empleados o clientes una experiencia de SSO basada en web para obtener acceso a recursos en cualquier organización asociada de federación.

  • Proporcionar a los empleados o clientes una experiencia de SSO basada en web al obtener acceso remoto a sitios o servicios web hospedados internamente.

  • Proporcionar a los empleados o clientes una experiencia de SSO basada en web al obtener acceso a recursos o servicios en la nube.

Además de esto, AD FS en Windows Server 2012 R2 agrega funcionalidad que puede ayudarle a ® lograr lo siguiente:

  • Unión al área de trabajo de un dispositivo para la autenticación SSO y de segundo factor sin problemas Esto permite a las organizaciones permitir el acceso desde los dispositivos personales del usuario y administrar el riesgo al proporcionar este acceso.

  • Administración de riesgos con el control de acceso multifactor. AD FS proporciona un nivel mayor de autorización que controla quién tiene acceso a determinadas aplicaciones. Esto puede basarse en atributos de usuario (UPN, correo electrónico, pertenencia a grupos de seguridad, seguridad de la autenticación, etc.), atributos de dispositivo (si el dispositivo está unido al área de trabajo) o atributos de solicitud (ubicación de red, dirección IP o agente de usuario).

  • Administración de riesgos con Multi-Factor Authentication adicional para aplicaciones confidenciales. AD FS permite controlar las directivas para requerir potencialmente la autenticación multifactor globalmente o por aplicación. Además, AD FS ofrece puntos de extensibilidad para que cualquier proveedor de Multi-Factor Authentication se integre profundamente para ofrecer una experiencia de Multi-Factor Authentication segura y sin problemas a los usuarios finales.

  • Proporcionar funcionalidades de autenticación y autorización para acceder a los recursos web desde la extranet que están protegidos por web Application Proxy.

En resumen, AD FS en Windows Server 2012 R2 se puede implementar para lograr los siguientes objetivos en su organización:

Permitir que los usuarios accedan a los recursos de sus dispositivos personales desde cualquier lugar

  • Unión al área de trabajo que permite a los usuarios unir sus dispositivos personales con Active Directory corporativo y así tener acceso y experiencias sin problemas al obtener acceso a recursos corporativos desde estos dispositivos.

  • La autenticación previa de los recursos dentro de la red corporativa que están protegidos por el Proxy de aplicación web y son accesibles desde Internet.

  • Cambio de contraseña que habilita a los usuarios para cambiar su contraseña desde cualquier dispositivo unido al área de trabajo cuando ha expirado su contraseña, de manera que puedan seguir teniendo acceso a recursos.

Mejora de las herramientas de administración de riesgos del control de acceso

La administración de riesgos es un aspecto importante del control y el cumplimiento en cada organización de TI. Hay numerosas mejoras en la administración de riesgos del control de acceso AD FS en Windows Server ® 2012 R2, incluidas las siguientes:

  • Controles flexibles en función de la ubicación de red para controlar cómo se autentica un usuario para tener acceso a una aplicación protegida por AD FS.

  • Directiva flexible para determinar si un usuario necesita realizar la autenticación multifactor en función de los datos del usuario, los datos del dispositivo y la ubicación de red.

  • Controles por aplicación para omitir el SSO y forzar que el usuario proporcione credenciales cada vez que accede a una aplicación confidencial.

  • Directiva de acceso flexibles por aplicación en función de los datos de usuario, los datos del dispositivo o la ubicación de red.

  • Bloqueo de la extranet de AD FS, que permite que los administradores puedan proteger las cuentas de Active Directory contra los ataques por fuerza bruta desde Internet.

  • Revocación de acceso para cualquier dispositivo unido al área de trabajo que esté deshabilitado o eliminado en Active Directory.

Uso AD FS para mejorar la experiencia de inicio de sesión

Las siguientes son nuevas funcionalidades AD FS en Windows Server 2012 R2 que permiten al administrador personalizar y mejorar la experiencia ® de inicio de sesión:

  • Personalización unificada del servicio AD FS, donde los cambios se realizan una vez y después se propagan automáticamente al resto de los servidores de federación de AD FS en una granja de servidores determinada.

  • Páginas de inicio de sesión actualizadas que tienen un aspecto moderno y abastecen los distintos factores de forma automáticamente.

  • Compatibilidad con la reserva automática para la autenticación basada en formularios para dispositivos que no están unidos al dominio corporativo pero que todavía se usan para generar solicitudes de acceso desde dentro de la red corporativa (intranet).

  • Controles simples para personalizar el logotipo de la compañía, la imagen de ilustración, los vínculos estándar para el soporte técnico de TI, la página principal, la privacidad, etc.

  • Personalización de los mensajes de la descripción de las páginas de inicio de sesión.

  • Personalización de temas web.

  • Detección de dominios de inicio (HRD) basado en el sufijo organizativo del usuario para mejorar la privacidad de los asociados de una empresa.

  • Filtro de HRD según la aplicación para seleccionar automáticamente un dominio kerberos basado en la aplicación.

  • Informes de errores en un solo clic para facilitar la solución de problemas de TI.

  • Mensajes de error personalizables.

  • Elección de autenticación del usuario cuando hay más de un proveedor de autenticación disponible.

Consulte también

Guía de diseño de AD FS en Windows Server 2012 R2