Dónde colocar a un servidor proxy de federación
Puede colocar servidores proxy de federación de Servicios de federación de Active Directory (AD FS) en una red perimetral para proporcionar un nivel de protección contra usuarios malintencionados que procedan de Internet. Los servidores proxy de federación son ideales para el entorno de red perimetral porque no tienen acceso a las claves privadas que se usan para crear tokens. Pero los servidores proxy de federación pueden enrutar de forma eficaz las solicitudes entrantes a servidores de federación que están autorizados para generar esos tokens.
No es necesario colocar un servidor proxy de federación dentro de la red corporativa ni para el asociado de cuenta ni para el asociado de recurso porque los equipos cliente que están conectados a la red corporativa pueden comunicarse directamente con el servidor de federación. En este escenario, el servidor de federación también proporciona funcionalidad de servidor proxy de federación para los equipos cliente que provienen de la red corporativa.
Como suele ocurrir con las redes perimetrales, se establece un firewall con conexión a intranet entre la red perimetral y la red corporativa, y con frecuencia se establece un firewall con conexión a Internet entre la red perimetral e Internet. En este escenario, el servidor proxy de federación se ubica entre estos firewalls en la red perimetral.
Configuración de los servidores de firewall para un servidor proxy de federación
Para que el proceso de redireccionamiento del servidor proxy de federación sea correcto, todos los servidores de firewall deben configurarse para permitir el tráfico del Protocolo seguro de transferencia de hipertexto (HTTPS). El uso de HTTPS es necesario porque todos los servidores de firewall deben publicar el servidor proxy de federación, a través del puerto 443, de forma que el servidor proxy de federación de la red perimetral pueda obtener acceso al servidor de federación de la red corporativa.
Nota
Todas las comunicaciones a y desde los equipos cliente también ocurren a través de HTTPS.
Además, el servidor de firewall con conexión a Internet, como un equipo que ejecuta Microsoft Internet Security and Acceleration (ISA) Server, usa un proceso conocido como publicación de servidor para distribuir las solicitudes de cliente de Internet a los servidores de red perimetral y corporativa adecuados, como los servidores proxy de federación o los servidores de federación.
Las reglas de publicación de servidor determinan el funcionamiento de la publicación de servidor, básicamente, filtrando todas las solicitudes entrantes y salientes a través del equipo que ejecuta ISA Server. Las reglas de publicación de servidor asignan las solicitudes de cliente entrantes a los servidores adecuados que hay detrás del equipo que ejecuta ISA Server. Para obtener información sobre cómo configurar ISA Server para publicar un servidor, vea el apartado sobre la creación de una regla de publicación web segura.
En el mundo federado de AD FS, estas solicitudes de cliente suelen realizarse en una dirección URL específica, por ejemplo, una dirección URL de identificación de un servidor de federación como http://fs.fabrikam.com.. Como estas solicitudes de cliente provienen de Internet, se debe configurar el servidor de firewall que tiene acceso a Internet para publicar la dirección URL de identificación del servidor de federación de cada servidor proxy de federación que se haya implementado en la red perimetral.
Configuración de ISA Server para permitir SSL
Para facilitar las comunicaciones seguras de AD FS, debe configurar ISA Server para permitir las comunicaciones de la Capa de sockets seguros (SSL) entre los elementos siguientes:
Servidores de federación y servidores proxy de federación. Se requiere un canal SSL para todas las comunicaciones entre servidores de federación y servidores proxy de federación. Por lo tanto, debe configurar ISA Server para que permita una conexión SSL entre la red corporativa y la red perimetral.
Equipos cliente, servidores de federación y servidores proxy de federación. Para que puedan realizarse las comunicaciones entre los equipos cliente y los servidores de federación o entre los equipos cliente y los servidores proxy de federación, puede colocar un equipo que ejecuta ISA Server delante del servidor de federación o el servidor proxy de federación.
Si su organización realiza la autenticación de cliente SSL en el servidor de federación o en el servidor proxy de federación, al colocar un equipo que ejecuta el ISA Server delante del servidor de federación o el servidor proxy de federación, el servidor debe configurarse para el paso a través de la conexión SSL porque dicha conexión debe terminar en el servidor de federación o en el servidor proxy de federación.
Si su organización no realiza la autenticación de cliente SSL en el servidor de federación o el servidor proxy de federación, otra opción es terminar la conexión SSL en el equipo que ejecuta ISA Server y, después, volver a establecer una conexión SSL con el servidor de federación o el servidor proxy de federación.
Nota
El servidor de federación y el servidor proxy de federación necesitan que la conexión sea segura mediante SSL para proteger el contenido del token de seguridad.