Dónde colocar un servidor de federación
Como procedimiento recomendada de seguridad, coloque los servidores de una federación de Servicios de federación de Active Directory (AD FS) detrás de un firewall y conéctelos a la red corporativa para evitar su exposición desde Internet. Esto es importante, ya que los servidores de federación tienen autorización completa para conceder tokens de seguridad. Por lo tanto, deben tener la misma protección que un controlador de dominio. Si un servidor de federación se ve comprometido, un usuario malintencionado puede emitir tokens de acceso completo a todas las aplicaciones web y los servidores de federación que estén protegidos por Servicios de federación de Active Directory (AD FS) en todas las organizaciones de asociados de recursos.
Nota
Como procedimiento de seguridad recomendado, evite que se pueda acceder a los servidores de federación directamente en Internet. Considere la posibilidad de conceder a sus servidores de federación acceso directo a Internet solo cuando vaya a configurar un entorno de laboratorio de pruebas o cuando la organización no disponga de una red perimetral.
Para las redes corporativas típicas, se establece un firewall con conexión a intranet entre la red corporativa y la red perimetral, y con frecuencia se establece un firewall con conexión a Internet entre la red perimetral e Internet. En esta situación, el servidor de federación se encuentra dentro de la red corporativa, por lo que los clientes de Internet no pueden acceder a él directamente.
Nota
Los equipos cliente conectados a la red corporativa pueden comunicarse directamente con el servidor de federación mediante la autenticación integrada de Windows.
Es preciso colocar un servidor proxy de federación en la red perimetral para poder configurar los servidores de firewall para su uso con AD FS. Para más información, consulte Ubicación de un servidor proxy de federación.
Configuración de los servidores de firewall para un servidor de federación
Para que los servidores de federación puedan comunicarse directamente con servidores proxy de servidor de federación, debe configurarse el servidor de firewall de la intranet para permitir el tráfico de protocolo seguro de transferencia de hipertexto (HTTPS) desde el proxy del servidor de federación al servidor de federación. Esto es un requisito, ya que el servidor del firewall de la intranet deben publicar el servidor de federación a través del puerto 443, con el fin de que el servidor proxy de federación de la red perimetral pueda acceder al servidor de federación.
Además, el servidor de firewall con conexión a la intranet, como un servidor que ejecuta Microsoft Internet Security and Acceleration (ISA) Server, usa un proceso conocido como publicación de servidor para distribuir las solicitudes de cliente de Internet a los servidores de corporación adecuados, lo que significa que debe crear manualmente una regla de publicación de servidor en el servidor de la intranet que ejecuta ISA Server y que publica la dirección URL del servidor de federación agrupado como, por ejemplo, http://fs.fabrikam.com..
Para obtener más información acerca de cómo configurar la publicación de servidor en una red perimetral, consulte Where to Place a Federation Server Proxy. Para obtener información sobre cómo configurar ISA Server para publicar un servidor, consulte el apartado sobre la creación de una regla de publicación web segura.