Dónde colocar a un servidor proxy de federación

Puede colocar servidores proxy Servicios de federación de Active Directory (AD FS) (AD FS)federación en una red perimetral para proporcionar una capa de protección contra usuarios malintencionados que puedan estar procedentes de Internet. Los servidores proxy de federación son ideales para el entorno de red perimetral porque no tienen acceso a las claves privadas que se usan para crear tokens. Sin embargo, los servidores proxy de federación pueden enrutar de forma eficaz las solicitudes entrantes a los servidores de federación que están autorizados para generar esos tokens.

No es necesario colocar un proxy de servidor de federación dentro de la red corporativa para el asociado de cuenta o el asociado de recursos, ya que los equipos cliente que están conectados a la red corporativa pueden comunicarse directamente con el servidor de federación. En este escenario, el servidor de federación también proporciona funcionalidad de proxy de servidor de federación para los equipos cliente que vienen de la red corporativa.

Como suele ocurrir con las redes perimetrales, se establece un firewall con conexión a intranet entre la red perimetral y la red corporativa, y con frecuencia se establece un firewall con conexión a Internet entre la red perimetral e Internet. En este escenario, el proxy del servidor de federación se encuentra entre ambos firewalls en la red perimetral.

Configuración de los servidores de firewall para un servidor proxy de federación

Para que el proceso de redireccionamiento del proxy del servidor de federación sea correcto, todos los servidores de firewall deben configurarse para permitir el tráfico del Protocolo de transferencia de hipertexto seguro (HTTPS). El uso de HTTPS es necesario porque los servidores de firewall deben publicar el proxy del servidor de federación, mediante el puerto 443, para que el proxy del servidor de federación de la red perimetral pueda acceder al servidor de federación en la red corporativa.

Nota

Todas las comunicaciones a y desde los equipos cliente también ocurren a través de HTTPS.

Además, el servidor de firewall orientado a Internet, como un equipo que ejecuta microsoft Internet Security and Acceleration (ISA) Server, usa un proceso conocido como publicación de servidor para distribuir las solicitudes de cliente de Internet a los servidores perimetrales y de red corporativos adecuados, como servidores proxy de servidor de federación o servidores de federación.

Las reglas de publicación de servidor determinan cómo funciona básicamente la publicación del servidor, filtrando todas las solicitudes entrantes y salientes a — través del equipo de ISA Server. Las reglas de publicación de servidor asignan las solicitudes de cliente entrantes a los servidores adecuados que hay detrás del equipo que ejecuta ISA Server. Para obtener información sobre cómo configurar ISA Server para publicar un servidor, vea Crear una regla de publicación web segura.

En el mundo federado de AD FS, estas solicitudes de cliente se realizan normalmente en una dirección URL específica, por ejemplo, una dirección URL de identificador de servidor de federación, como http://fs.fabrikam.com. Dado que estas solicitudes de cliente proceden de Internet, el servidor de firewall orientado a Internet debe configurarse para publicar la dirección URL del identificador del servidor de federación para cada proxy de servidor de federación que se implementa en la red perimetral.

Configuración de ISA Server para permitir SSL

Para facilitar la AD FS seguras, debe configurar ISA Server para permitir Capa de sockets seguros (SSL) entre lo siguiente:

  • Servidores de federación y servidores proxy de federación. Se requiere un canal SSL para todas las comunicaciones entre servidores de federación y servidores proxy de federación. Por lo tanto, debe configurar ISA Server para que permita una conexión SSL entre la red corporativa y la red perimetral.

  • Equipos cliente, servidores de federación y servidores proxy de servidor de federación. Para que se puedan producir comunicaciones entre equipos cliente y servidores de federación o entre equipos cliente y servidores proxy de servidor de federación, puede colocar un equipo que ejecute ISA Server delante del servidor de federación o el proxy del servidor de federación.

    Si su organización realiza la autenticación de cliente SSL en el servidor de federación o en el proxy del servidor de federación, al colocar un equipo que ejecuta ISA Server delante del servidor de federación o el proxy del servidor de federación, el servidor debe configurarse para el paso a través de la conexión SSL porque la conexión SSL debe finalizar en el servidor de federación o en el proxy del servidor de federación.

    Si su organización no realiza la autenticación de cliente SSL en el servidor de federación o el proxy del servidor de federación, una opción adicional es finalizar la conexión SSL en el equipo que ejecuta ISA Server y, a continuación, volver a establecer una conexión SSL con el servidor de federación o el proxy del servidor de federación.

Nota

El servidor de federación o el proxy del servidor de federación requiere que SSL proteja la conexión para proteger el contenido del token de seguridad.

Consulte también

Guía de diseño de AD FS en Windows Server 2012