Revisión del rol del servidor proxy de federación en el asociado de cuenta
El rol principal del servidor proxy de federación en la red perimetral de la organización del asociado de cuenta en Servicios de federación de Active Directory (AD FS) consiste en recopilar las credenciales de autenticación de un equipo cliente que inicia sesión a través de Internet y pasar esas credenciales al servidor de federación, que se encuentra dentro de la red corporativa de la organización del asociado de cuenta. La cuenta para el equipo cliente se almacena en el almacén de atributos del asociado de cuenta.
Un servidor proxy de federación también puede funcionar en uno o más de los roles siguientes, dependiendo de cómo lo configure para satisfacer las necesidades de la organización del asociado de cuenta:
Tokens de seguridad de Retransmisión: el servidor de federación emite un token de seguridad para el servidor proxy de federación, que luego retransmite el token al equipo cliente. El token de seguridad se usa para proporcionar acceso a dicho equipo cliente a un usuario de confianza específico.
Recopilar credenciales: el servidor proxy de federación usa un formulario web de inicio de sesión de cliente predeterminado (clientlogon.aspx) para recopilar credenciales basadas en contraseña a través de la autenticación basada en formularios. Sin embargo, puede personalizar este formulario para aceptar otros tipos admitidos de autenticación, como la autenticación de cliente de capa de sockets seguros (SSL). Para obtener más información sobre cómo personalizar esta página, consulte Personalización del inicio de sesión de cliente y Páginas de Detección de dominios de inicio (http://go.microsoft.com/fwlink/?LinkId=104275). Un servidor proxy de federación no acepta credenciales mediante la autenticación integrada de Windows.
En resumen, un servidor proxy de federación en el asociado de cuenta actúa como un proxy para los inicios de sesión de cliente en un servidor de federación ubicado en la red corporativa. El servidor proxy de federación también facilita la distribución de tokens de seguridad a los clientes de Internet destinados a usuarios de confianza.
Precaución
Exponer un servidor proxy de federación en la extranet del asociado de cuenta permitirá a cualquier persona que disponga de acceso a Internet acceder al formulario web de inicio de sesión de cliente. Posiblemente esto puede hacer su organización sea vulnerable a algunos ataques basados en contraseñas, como los ataques de diccionario o ataques por fuerza bruta que pueden desencadenar bloqueos de cuentas para las cuentas de usuario que se almacenan en los Servicios de dominio de Active Directory (AD DS).