Dónde colocar un servidor de federación

Como procedimiento recomendado de seguridad, coloque Servicios de federación de Active Directory (AD FS) (AD FS)servidores de federación detrás de un firewall y conéctelos a la red corporativa para evitar la exposición de Internet. Esto es importante porque los servidores de federación tienen autorización completa para conceder tokens de seguridad. Por lo tanto, deben tener la misma protección que un controlador de dominio. Si un servidor de federación está en peligro, un usuario malintencionado tiene la capacidad de emitir tokens de acceso completo a todas las aplicaciones web y a los servidores de federación protegidos por Servicios de federación de Active Directory (AD FS) (AD FS) en todas las organizaciones de asociados de recursos.

Nota

Como procedimiento recomendado de seguridad, evite tener acceso directo a los servidores de federación en Internet. Considere la posibilidad de dar a los servidores de federación acceso directo a Internet solo cuando esté configurando un entorno de laboratorio de pruebas o cuando su organización no tenga una red perimetral.

Para las redes corporativas típicas, se establece un firewall con conexión a intranet entre la red corporativa y la red perimetral, y con frecuencia se establece un firewall con conexión a Internet entre la red perimetral e Internet. En esta situación, el servidor de federación se encuentra dentro de la red corporativa y no es accesible directamente por los clientes de Internet.

Nota

Los equipos cliente que están conectados a la red corporativa pueden comunicarse directamente con el servidor de federación a través Windows autenticación integrada.

Se debe colocar un proxy de servidor de federación en la red perimetral antes de configurar los servidores de firewall para su uso con AD FS. Para más información, consulte Ubicación de un servidor proxy de federación.

Configuración de los servidores de firewall para un servidor de federación

Para que los servidores de federación puedan comunicarse directamente con los servidores proxy del servidor de federación, el servidor de firewall de intranet debe configurarse para permitir el tráfico del Protocolo de transferencia de hipertexto seguro (HTTPS) desde el proxy del servidor de federación al servidor de federación. Se trata de un requisito porque el servidor de firewall de intranet debe publicar el servidor de federación mediante el puerto 443 para que el proxy del servidor de federación de la red perimetral pueda acceder al servidor de federación.

Además, el servidor de firewall orientado a la intranet, como un servidor que ejecuta el servidor de seguridad y aceleración de Internet (ISA), usa un proceso conocido como publicación de servidor para distribuir las solicitudes de cliente de Internet a los servidores de federación corporativos adecuados. Esto significa que debe crear manualmente una regla de publicación de servidor en el servidor de intranet que ejecuta ISA Server que publica la dirección URL del servidor de federación en clúster, por ejemplo, http://fs.fabrikam.com.

Para obtener más información acerca de cómo configurar la publicación de servidor en una red perimetral, consulte Where to Place a Federation Server Proxy. Para obtener información sobre cómo configurar ISA Server para publicar un servidor, consulte Creación de una regla de publicación web segura.

Consulte también

Guía de diseño de AD FS en Windows Server 2012