Compartir a través de

Autenticación compuesta y notificaciones de AD DS en AD FS

Windows Server 2012 mejora la autenticación Kerberos mediante la introducción de la autenticación compuesta. La autenticación compuesta permite que una solicitud de Kerberos Ticket-Granting Service (TGS) incluya dos identidades:

  • la identidad del usuario
  • la identidad del dispositivo del usuario.

Windows logra la autenticación compuesta mediante la ampliación de la tunelización segura de autenticación flexible (FAST) de Kerberos (FAST), o protección de Kerberos.

AD FS 2012 y versiones posteriores permiten el consumo de notificaciones de usuario o dispositivo emitidas por AD DS que residen en un vale de autenticación de Kerberos. En versiones anteriores de AD FS, el motor de declaraciones solo podía leer identificadores de usuario y de seguridad de grupo (SID) de Kerberos, pero no podía leer ninguna información de declaraciones contenida en un vale Kerberos.

Puede habilitar el control de acceso más completo para aplicaciones federadas mediante notificaciones de usuario y dispositivo emitidas por Active Directory Domain Services (AD DS) junto con los Servicios de federación de Active Directory (AD FS).

Requisitos

  1. Los equipos que acceden a las aplicaciones federadas deben autenticarse en AD FS mediante la autenticación integrada de Windows.

    • La autenticación integrada de Windows solo está disponible al conectarse a los servidores de AD FS de back-end.
    • Los equipos deben poder acceder a los servidores de AD FS de back-end para el nombre del servicio de federación.
    • Los servidores de AD FS deben ofrecer autenticación integrada de Windows como método de autenticación principal en su configuración de intranet.

  2. La directiva El cliente Kerberos admite notificaciones, autenticación compuesta y protección de Kerberos se debe aplicar a todos los equipos que acceden a aplicaciones federadas protegidas por la autenticación compuesta. Esto es aplicable en caso de escenarios de bosque único o entre bosques.

  3. El dominio que aloja los servidores de AD FS debe tener la opción de la directiva KDC admite notificaciones, autenticación compuesta y protección de Kerberos aplicada a los controladores de dominio.

Pasos para configurar AD FS en Windows Server 2012 R2

Siga estos pasos para configurar la autenticación compuesta y las reclamaciones.

Paso 1: Habilitar KDC admite notificaciones, autenticación compuesta y protección de Kerberos en la directiva predeterminada del controlador de dominio

  1. En Administrador del servidor, seleccione Herramientas, Administración de directivas de grupo.
  2. Vaya a la directiva predeterminada del controlador de dominio, haga clic con el botón derecho y seleccione Editar. Captura de pantalla que muestra la página Directiva de dominio predeterminada en el cuadro de diálogo Administración de directivas de grupo.
  3. En el Editor de administración de directivas de grupo, en Configuración del equipo, expanda Directivas, Plantillas administrativas, Sistema y KDC.
  4. En el panel derecho, haga doble clic en Compatibilidad con KDC para reclamaciones, autenticación compuesta y blindaje de Kerberos. Captura de pantalla del Editor de administración de directivas de grupo que muestra la opción KDC admite notificaciones, autenticación compuesta y protección de Kerberos resaltada.
  5. En la nueva ventana de diálogo, establezca la compatibilidad de KDC para reclamaciones en Habilitado.
  6. En Opciones, seleccione Compatible en el menú desplegable y, a continuación, haga clic en Aplicar y aceptar. Captura de pantalla del cuadro de diálogo KDC admite notificaciones, autenticación compuesta y protección de Kerberos que muestra la opción Compatible seleccionada.

Paso 2: Habilitar la compatibilidad del cliente Kerberos con notificaciones, autenticación compuesta y protección de Kerberos en equipos que acceden a aplicaciones federadas

  1. En una directiva de grupo aplicada a los equipos que acceden a aplicaciones federadas, en el Editor de administración de directivas de grupo, en Configuración del equipo, expanda Directivas, expanda Plantillas administrativas, expanda Sistema y seleccione Kerberos.
  2. En el panel derecho de la ventana del Editor de administración de directivas de grupo, haga doble clic en El cliente Kerberos admite notificaciones, autenticación compuesta y protección de Kerberos.
  3. En la nueva ventana de diálogo, establezca Compatibilidad con cliente Kerberos en Habilitado y haga clic en Aplicar y aceptar. Captura de pantalla del cuadro de diálogo KDC admite notificaciones, autenticación compuesta y protección de Kerberos que muestra la opción Habilitado seleccionada.
  4. Cierra el Editor de administración de directivas de grupo.

Paso 3: Asegúrese de que se han actualizado los servidores de AD FS.

Debe asegurarse de que las siguientes actualizaciones están instaladas en los servidores de AD FS.

Actualizar Descripción
KB2919355 Actualización de seguridad acumulativa(incluye KB2919355,KB2932046,KB2934018,KB2937592,KB2938439)
KB2959977 Actualización de Server 2012 R2
Revisión 3052122 Esta actualización agrega compatibilidad con las notificaciones de identificador compuesto en Servicios de federación de Active Directory (AD FS).

Paso 4: Configurar el proveedor de autenticación principal

  1. Establezca el proveedor de autenticación principal en Autenticación de Windows para la configuración de la intranet de AD FS.

  2. En Administración de AD FS, en Directivas de autenticación, seleccione Autenticación principal y, en Configuración global , haga clic en Editar.

  3. En Editar directiva de autenticación global en Intranet , seleccione Autenticación de Windows.

  4. Haga clic en Aplicar y aceptar.

    Captura de pantalla del cuadro de diálogo Editar directiva de autenticación global que muestra la opción Autenticación de Windows seleccionada.

  5. Con PowerShell puede usar el cmdlet Set-AdfsGlobalAuthenticationPolicy .

Set-AdfsGlobalAuthenticationPolicy -PrimaryIntranetAuthenticationProvider 'WindowsAuthentication'

Nota:

En una granja basada en WID, el comando de PowerShell debe ejecutarse en el servidor de AD FS principal. En una granja basada en SQL, el comando de PowerShell se puede ejecutar en cualquier servidor de AD FS que sea miembro de la granja de servidores.

Paso 5: Agregar la descripción de la notificación a AD FS

  1. Agregue la siguiente descripción de reclamación a la granja. Esta Descripción de la Reclamación no está presente por defecto en AD FS 2012 R2 y debe agregarse manualmente.

  2. En Administración de AD FS, en Servicio, haga clic con el botón derecho en Descripción de la notificación y seleccione Agregar descripción de notificación.

  3. Escriba la siguiente información en la descripción de la notificación.

    • Nombre para mostrar: "Grupo de dispositivos Windows"
    • Descripción de la notificación: '<https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup>' `

  4. Coloque una marca en ambas casillas.

  5. Haga clic en Aceptar.

    Captura de pantalla del cuadro de diálogo Agregar una descripción de reclamación.

  6. Con PowerShell, puede usar el cmdlet Add-AdfsClaimDescription .

    Add-AdfsClaimDescription -Name 'Windows device group' -ClaimType 'https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup' `
-ShortName 'windowsdevicegroup' -IsAccepted $true -IsOffered $true -IsRequired $false -Notes 'The windows group SID of the device'

Nota:

En una granja basada en WID, el comando de PowerShell debe ejecutarse en el servidor de AD FS principal. En una granja basada en SQL, el comando de PowerShell se puede ejecutar en cualquier servidor de AD FS que sea miembro de la granja de servidores.

Paso 6: Habilitación del bit de autenticación compuesta en el atributo msDS-SupportedEncryptionTypes

  1. Habilite el bit de autenticación compuesta en el atributo msDS-SupportedEncryptionTypes de la cuenta que ha designado para ejecutar el servicio de AD FS mediante el cmdlet Set-ADServiceAccount de PowerShell.

Nota:

Si cambia la cuenta de servicio, debe habilitar manualmente la autenticación compuesta ejecutando los cmdlets de Windows PowerShell Set-ADUser -compoundIdentitySupported:$true.

Set-ADServiceAccount -Identity “ADFS Service Account” -CompoundIdentitySupported:$true
  1. Reinicie el servicio AD FS.

Nota:

Una vez que "CompoundIdentitySupported" se establece en true, se produce un error en la instalación de la misma gMSA en servidores nuevos (2012R2/2016) con el siguiente error: Install-ADServiceAccount : No se puede instalar la cuenta de servicio. Mensaje de error: "El contexto proporcionado no coincide con el destino".

Solución: establezca temporalmente CompoundIdentitySupported en $false. Este paso hace que AD FS deje de emitir reclamaciones de WindowsDeviceGroup. Set-ADServiceAccount -Identity "ADFS Service Account" -CompoundIdentitySupported:$false Instale la gMSA en el nuevo servidor y, posteriormente, habilite CompoundIdentitySupported de nuevo en $True. Deshabilitar CompoundIdentitySupported y, a continuación, volver a habilitar no necesita que se reinicie el servicio AD FS.

Paso 7: Actualizar la confianza del proveedor de reclamaciones de AD FS para Active Directory

  1. Actualice la confianza del proveedor de notificaciones de AD FS para Active Directory para que incluya la siguiente regla de notificación "Tránsito" para la notificación "WindowsDeviceGroup".
  2. En Administración de AD FS, haga clic en Confianzas del proveedor de notificaciones y, en el panel derecho, haga clic con el botón derecho en Active Directory y seleccione Editar reglas de notificación.
  3. En Editar reglas de reclamación para el Active Directory, hacer clic en Agregar regla.
  4. En el Asistente para agregar regla de transformación de reclamaciones, seleccione Permitir o filtrar una reclamación entrante y haga clic en Siguiente.
  5. Agregue un nombre para mostrar y seleccione Grupo de dispositivos Windows en la lista desplegable Tipo de notificación entrante .
  6. Haga clic en Finalizar. Haga clic en Aplicar y aceptar. Captura de pantalla de los cuadros de diálogo de AD FS, Editar reglas de notificación para Active Directory y Editar regla: Grupo de dispositivos de Windows con flechas y llamadas que muestran el flujo de trabajo descrito anteriormente.

Paso 8: En el usuario de confianza (RP) donde se esperan las notificaciones "WindowsDeviceGroup", agregue una regla de notificación "Tránsito" o "Transformación" similar.

  1. En Administración de AD FS, haga clic en Confianzas de terceros y, en el panel derecho, haga clic con el botón derecho en su RP y seleccione Editar reglas de declaraciones.
  2. En Reglas de Transformación de Emisión, haga clic en Agregar Regla.
  3. En el Asistente para agregar regla de transformación de reclamaciones, seleccione Permitir o filtrar una reclamación entrante y haga clic en Siguiente.
  4. Agregue un nombre para mostrar y seleccione Grupo de dispositivos Windows en la lista desplegable Tipo de notificación entrante .
  5. Haga clic en Finalizar. Haga clic en Aplicar y aceptar. Captura de pantalla de los cuadros de diálogo de AD FS, Editar reglas de notificación para myclaims.fedhome.in y Editar regla: Grupo de dispositivos de Windows con flechas y llamadas que muestran el flujo de trabajo descrito anteriormente.

Pasos para configurar AD FS en Windows Server 2016

A continuación se detallan los pasos para configurar la autenticación compuesta en AD FS para Windows Server 2016.

Paso 1: Habilitar KDC admite notificaciones, autenticación compuesta y protección de Kerberos en la directiva predeterminada del controlador de dominio

  1. En Administrador del servidor, seleccione Herramientas, Administración de directivas de grupo.
  2. Vaya a la directiva predeterminada del controlador de dominio, haga clic con el botón derecho y seleccione Editar.
  3. En el Editor de administración de directivas de grupo, en Configuración del equipo, expanda Directivas, Plantillas administrativas, Sistema y KDC.
  4. En el panel derecho, haga doble clic en Compatibilidad con KDC para reclamaciones, autenticación compuesta y blindaje de Kerberos.
  5. En la nueva ventana de diálogo, establezca la compatibilidad de KDC para reclamaciones en Habilitado.
  6. En Opciones, seleccione Compatible en el menú desplegable y, a continuación, haga clic en Aplicar y aceptar.

Paso 2: Habilitar la compatibilidad del cliente Kerberos con notificaciones, autenticación compuesta y protección de Kerberos en equipos que acceden a aplicaciones federadas

  1. En una directiva de grupo aplicada a los equipos que acceden a aplicaciones federadas, en el Editor de administración de directivas de grupo, en Configuración del equipo, expanda Directivas, expanda Plantillas administrativas, expanda Sistema y seleccione Kerberos.
  2. En el panel derecho de la ventana del Editor de administración de directivas de grupo, haga doble clic en El cliente Kerberos admite notificaciones, autenticación compuesta y protección de Kerberos.
  3. En la nueva ventana de diálogo, establezca Compatibilidad con cliente Kerberos en Habilitado y haga clic en Aplicar y aceptar.
  4. Cierra el Editor de administración de directivas de grupo.

Paso 3: Configurar el proveedor de autenticación principal

  1. Establezca el proveedor de autenticación principal en Autenticación de Windows para la configuración de la intranet de AD FS.
  2. En Administración de AD FS, en Directivas de autenticación, seleccione Autenticación principal y, en Configuración global , haga clic en Editar.
  3. En Editar directiva de autenticación global en Intranet , seleccione Autenticación de Windows.
  4. Haga clic en Aplicar y aceptar.
  5. Con PowerShell puede usar el cmdlet Set-AdfsGlobalAuthenticationPolicy .
Set-AdfsGlobalAuthenticationPolicy -PrimaryIntranetAuthenticationProvider 'WindowsAuthentication'

Nota:

En una granja basada en WID, el comando de PowerShell debe ejecutarse en el servidor de AD FS principal. En una granja basada en SQL, el comando de PowerShell se puede ejecutar en cualquier servidor de AD FS que sea miembro de la granja de servidores.

Paso 4: Habilitación del bit de autenticación compuesta en el atributo msDS-SupportedEncryptionTypes

  1. Habilite el bit de autenticación compuesta en el atributo msDS-SupportedEncryptionTypes de la cuenta que ha designado para ejecutar el servicio de AD FS mediante el cmdlet Set-ADServiceAccount de PowerShell.

Nota:

Si cambia la cuenta de servicio, debe habilitar manualmente la autenticación compuesta ejecutando los cmdlets de Windows PowerShell Set-ADUser -compoundIdentitySupported:$true.

Set-ADServiceAccount -Identity “ADFS Service Account” -CompoundIdentitySupported:$true
  1. Reinicie el servicio AD FS.

Nota:

Una vez que "CompoundIdentitySupported" se establece en true, se produce un error en la instalación de la misma gMSA en servidores nuevos (2012R2/2016) con el siguiente error: Install-ADServiceAccount : No se puede instalar la cuenta de servicio. Mensaje de error: "El contexto proporcionado no coincide con el destino".

Solución: establezca temporalmente CompoundIdentitySupported en $false. Este paso hace que AD FS deje de emitir reclamaciones de WindowsDeviceGroup. Set-ADServiceAccount -Identity "ADFS Service Account" -CompoundIdentitySupported:$false Instale la gMSA en el nuevo servidor y, posteriormente, habilite CompoundIdentitySupported de nuevo en $True. Deshabilitar CompoundIdentitySupported y, a continuación, volver a habilitar no necesita que se reinicie el servicio AD FS.

Paso 5: Actualizar la confianza del proveedor de notificaciones de AD FS para Active Directory

  1. Actualice la confianza del proveedor de notificaciones de AD FS para Active Directory para que incluya la siguiente regla de notificación "Tránsito" para la notificación "WindowsDeviceGroup".
  2. En Administración de AD FS, haga clic en Confianzas del proveedor de notificaciones y, en el panel derecho, haga clic con el botón derecho en Active Directory y seleccione Editar reglas de notificación.
  3. En Editar reglas de reclamación para el Active Directory, hacer clic en Agregar regla.
  4. En el Asistente para agregar regla de transformación de reclamaciones, seleccione Permitir o filtrar una reclamación entrante y haga clic en Siguiente.
  5. Agregue un nombre para mostrar y seleccione Grupo de dispositivos Windows en la lista desplegable Tipo de notificación entrante .
  6. Haga clic en Finalizar. Haga clic en Aplicar y aceptar.

Paso 6: En el usuario de confianza (RP) donde se esperan las notificaciones "WindowsDeviceGroup", agregue una regla de notificación "Tránsito" o "Transformación" similar.

  1. En Administración de AD FS, haga clic en Confianzas de terceros y, en el panel derecho, haga clic con el botón derecho en su RP y seleccione Editar reglas de declaraciones.
  2. En Reglas de Transformación de Emisión, haga clic en Agregar Regla.
  3. En el Asistente para agregar regla de transformación de reclamaciones, seleccione Permitir o filtrar una reclamación entrante y haga clic en Siguiente.
  4. Agregue un nombre para mostrar y seleccione Grupo de dispositivos Windows en la lista desplegable Tipo de notificación entrante .
  5. Haga clic en Finalizar. Haga clic en Aplicar y aceptar.

Validación

Para validar la publicación de las notificaciones "WindowsDeviceGroup", cree una aplicación de prueba compatible con notificaciones mediante .NET 4.6. Con el SDK de WIF 4.0. Configure la aplicación como parte confiable en AD FS y actualícela con la regla de reclamación tal como se especifica en los pasos anteriores. Al autenticarse en la aplicación mediante el proveedor de autenticación integrada de Windows de AD FS, se crean las siguientes afirmaciones. Validación

Las notificaciones del equipo o dispositivo ahora se pueden consumir para controles de acceso más completos.

Por ejemplo: el siguiente elemento AdditionalAuthenticationRules indica a AD FS que invoque MFA si el usuario que se está autenticando no es miembro del grupo de seguridad "-1-5-21-2134745077-1211275016-3050530490-1117" Y el equipo (desde donde se está autenticando el usuario) no es miembro del grupo de seguridad "S-1-5-21-2134745077-1211275016-3050530490-1115 (WindowsDeviceGroup)"

Sin embargo, si se cumple alguna de las condiciones anteriores, no invoque MFA.

'NOT EXISTS([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup", Value =~ "S-1-5-21-2134745077-1211275016-3050530490-1115"])
&& NOT EXISTS([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "S-1-5-21-2134745077-1211275016-3050530490-1117"])
=> issue(Type = "https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "https://schemas.microsoft.com/claims/multipleauthn");'