Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2
Guía de recorrido : Gestión del riesgo con autenticación adicional de múltiples factores para aplicaciones confidenciales
En esta guía
En esta guía se proporciona la siguiente información:
Mecanismos de autenticación en AD FS : descripción de los mecanismos de autenticación disponibles en Servicios de federación de Active Directory (AD FS) en Windows Server 2012 R2
Información general del escenario : una descripción de un escenario en el que se usan los Servicios de federación de Active Directory (AD FS) para habilitar la autenticación multifactor (MFA) en función de la pertenencia a grupos de usuarios.
Nota:
En AD FS en Windows Server 2012 R2, puede habilitar MFA en función de la ubicación de red, la identidad del dispositivo y la pertenencia a grupos o identidades de usuario.
Para obtener instrucciones detalladas paso a paso para configurar y comprobar este escenario, consulte Guía del tutorial: Administración de riesgos con autenticación multifactor adicional para aplicaciones confidenciales.
Conceptos clave: mecanismos de autenticación en AD FS
Ventajas de los mecanismos de autenticación en AD FS
Los Servicios de federación de Active Directory (AD FS) en Windows Server 2012 R2 proporcionan a los administradores de TI un conjunto de herramientas más completo y flexible para autenticar a los usuarios que desean acceder a los recursos corporativos. Permite a los administradores tener un control flexible sobre los métodos de autenticación principales y adicionales, proporciona una experiencia de administración enriquecida para configurar directivas de autenticación (tanto a través de la interfaz de usuario como de Windows PowerShell) y mejora la experiencia de los usuarios finales que acceden a aplicaciones y servicios protegidos por AD FS. A continuación se muestran algunas de las ventajas de proteger la aplicación y los servicios con AD FS en Windows Server 2012 R2:
Directiva de autenticación global: una funcionalidad de administración central, desde la que un administrador de TI puede elegir qué métodos de autenticación se usan para autenticar a los usuarios en función de la ubicación de red desde la que acceden a los recursos protegidos. Esto permite a los administradores hacer lo siguiente:
Exija el uso de métodos de autenticación más seguros para las solicitudes de acceso desde la extranet.
Habilitar la autenticación de dispositivos para la autenticación de segundo factor optimizada. Esto vincula la identidad del usuario al dispositivo registrado que se usa para acceder al recurso, lo que ofrece una comprobación de identidad compuesta más segura antes de acceder a los recursos protegidos.
Nota:
Para obtener más información sobre el objeto de dispositivo, el servicio de registro de dispositivos, la unión al área de trabajo y el dispositivo como autenticación de segundo factor y SSO sin problemas, vea Unirse a un área de trabajo desde cualquier dispositivo para SSO y autenticación de segundo factor sin problemas en todas las aplicaciones de la compañía.
Establezca el requisito de autenticación multifactor (MFA) para todo el acceso a la extranet o de forma condicional en función de la identidad del usuario, la ubicación de red o un dispositivo utilizado para acceder a los recursos protegidos.
Mayor flexibilidad en la configuración de directivas de autenticación: puede configurar directivas de autenticación personalizadas para recursos protegidos por AD FS con distintos valores empresariales. Por ejemplo, puede requerir MFA para la aplicación con un alto impacto empresarial.
Facilidad de uso: herramientas de administración sencillas e intuitivas, como el complemento MMC de administración de AD FS basado en GUI y los cmdlets de Windows PowerShell permiten a los administradores de TI configurar directivas de autenticación con facilidad relativa. Con Windows PowerShell, puede crear scripts de las soluciones para su uso a escala y automatizar tareas administrativas mundanas.
Mayor control sobre los recursos corporativos: dado que como administrador puede usar AD FS para configurar una directiva de autenticación que se aplica a un recurso específico, tiene un mayor control sobre cómo se protegen los recursos corporativos. Las aplicaciones no pueden invalidar las directivas de autenticación especificadas por los administradores de TI. Para aplicaciones y servicios confidenciales, puede habilitar el requisito de MFA, la autenticación de dispositivos y, opcionalmente, la autenticación fresca cada vez que se accede al recurso.
Compatibilidad con proveedores de MFA personalizados: para organizaciones que aprovechan métodos de MFA de terceros, AD FS ofrece la capacidad de incorporar y usar estos métodos de autenticación sin problemas.
Ámbito de autenticación
En AD FS en Windows Server 2012 R2, puede especificar una directiva de autenticación en un ámbito global que sea aplicable a todas las aplicaciones y servicios protegidos por AD FS. También puede establecer directivas de autenticación para aplicaciones y servicios específicos (confianzas de terceros) protegidos por AD FS. La especificación de una política de autenticación para una aplicación determinada (por confianza de la parte que confía) no invalida la política de autenticación global. Si la directiva de autenticación global o la directiva de autenticación por relación de confianza para usuario autenticado requieren MFA, MFA se desencadenará cuando el usuario intente autenticarse a esta relación de confianza para usuario autenticado. La directiva de autenticación global es una reserva para las relaciones de confianza para usuario autenticado (aplicaciones y servicios) que no tengan configurada una directiva de autenticación específica.
Una directiva de autenticación global se aplica a todos los usuarios de confianza protegidos por AD FS. Puede configurar las siguientes opciones como parte de la directiva de autenticación global:
Métodos de autenticación que se usarán para la autenticación principal
Configuración y métodos para la Autenticación Multifactor (MFA)
Indica si la autenticación del dispositivo está habilitada. Para obtener más información, consulte Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.
Las directivas de autenticación por relación de confianza para usuario autenticado se aplican de forma concreta a los intentos de acceso a esa relación de confianza para usuario autenticado (aplicación o servicio). Puede configurar las siguientes opciones como parte de la directiva de autenticación por relación de confianza para usuario autenticado:
Si los usuarios deben proporcionar sus credenciales cada vez en el inicio de sesión
Configuración de MFA basada en los datos de ubicación de usuario o grupo, registro de dispositivos y solicitud de acceso
Métodos de autenticación principales y adicionales
Con AD FS en Windows Server 2012 R2, además del mecanismo de autenticación principal, los administradores pueden configurar métodos de autenticación adicionales. Los métodos de autenticación principales están integrados y están diseñados para validar las identidades de los usuarios. Puede configurar factores de autenticación adicionales para solicitar que se proporcione más información sobre la identidad del usuario y, por tanto, garantizar una autenticación más sólida.
Con la autenticación principal en AD FS en Windows Server 2012 R2, tiene las siguientes opciones:
Para que se acceda a los recursos publicados desde fuera de la red corporativa, la autenticación de formularios está seleccionada de forma predeterminada. Además, también puede habilitar la autenticación de certificados (es decir, la autenticación basada en tarjetas inteligentes o la autenticación de certificado de cliente de usuario que funciona con AD DS).
En el caso de los recursos de intranet, la autenticación de Windows está seleccionada de forma predeterminada. Además, también puede habilitar formularios o autenticación de certificados.
Al seleccionar más de un método de autenticación, permite a los usuarios elegir con qué método autenticarse en la página de inicio de sesión de la aplicación o el servicio.
También puede habilitar la autenticación de dispositivos para la autenticación de segundo factor optimizada. Esto vincula la identidad del usuario al dispositivo registrado que se usa para acceder al recurso, lo que ofrece una comprobación de identidad compuesta más segura antes de acceder a los recursos protegidos.
Nota:
Para obtener más información sobre el objeto de dispositivo, el servicio de registro de dispositivos, la unión al área de trabajo y el dispositivo como autenticación de segundo factor y SSO sin problemas, vea Unirse a un área de trabajo desde cualquier dispositivo para SSO y autenticación de segundo factor sin problemas en todas las aplicaciones de la compañía.
Si especificas el método de autenticación de Windows (opción predeterminada) para los recursos de intranet, las solicitudes de autenticación se someten a este método sin problemas en los exploradores que admiten la autenticación de Windows.
Nota:
La autenticación de Windows no se admite en todos los exploradores. El mecanismo de autenticación de AD FS en Windows Server 2012 R2 detecta el agente de usuario del explorador del usuario y usa una configuración configurable para determinar si ese agente de usuario admite la autenticación de Windows. Los administradores pueden agregar a esta lista de agentes de usuario (mediante el comando de Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents , para especificar cadenas de agente de usuario alternativas para exploradores que admiten la autenticación de Windows). Si el agente de usuario del cliente no es compatible con la autenticación de Windows, el método de reserva predeterminado es la autenticación mediante formularios.
Configuración de MFA
Hay dos partes para configurar MFA en AD FS en Windows Server 2012 R2: especificar las condiciones en las que se requiere MFA y seleccionar un método de autenticación adicional. Para obtener más información sobre los métodos de autenticación adicionales, vea Configurar métodos de autenticación adicionales para AD FS.
Configuración de MFA
Las siguientes opciones están disponibles para la configuración de MFA (condiciones en las que se requiere MFA):
Puede requerir MFA para usuarios y grupos específicos en el dominio de AD al que está unido el servidor de federación.
Puede requerir MFA para dispositivos registrados (unidos al área de trabajo) o no registrados (no unidos al área de trabajo).
Windows Server 2012 R2 adopta un enfoque centrado en el usuario en dispositivos modernos en los que los objetos de dispositivo representan una relación entre user@device y una empresa. Los objetos de dispositivo son una nueva clase de AD en Windows Server 2012 R2 que se puede usar para ofrecer identidad compuesta al proporcionar acceso a aplicaciones y servicios. Un nuevo componente de AD FS: el servicio de registro de dispositivos (DRS), aprovisiona una identidad de dispositivo en Active Directory y establece un certificado en el dispositivo de consumidor que se usará para representar la identidad del dispositivo. A continuación, puede usar esta identidad de dispositivo para unir su dispositivo al área de trabajo, es decir, para conectar su dispositivo personal a Active Directory en su área de trabajo. Cuando se une el dispositivo personal al área de trabajo, se convierte en un dispositivo conocido y se proporciona autenticación de segundo factor sin problemas a los recursos y aplicaciones protegidos. En otras palabras, después de unir un dispositivo al área de trabajo, la identidad del usuario está vinculada a este dispositivo y se puede usar para una comprobación de identidad compuesta sin problemas antes de que se acceda a un recurso protegido.
Para obtener más información sobre cómo unirse al área de trabajo, consulte Unirse a un área de trabajo desde cualquier dispositivo para SSO y autenticación de segundo factor sin problemas en todas las aplicaciones de la compañía.
Puede requerir MFA cuando la solicitud de acceso a los recursos protegidos proceda de la extranet o de la intranet.
Información general sobre el escenario
En este escenario, habilitará MFA en función de los datos de pertenencia a grupos del usuario para una aplicación específica. En otras palabras, configurará una directiva de autenticación en el servidor de federación para requerir MFA cuando los usuarios que pertenecen a un determinado grupo solicitan acceso a una aplicación específica hospedada en un servidor web.
Más concretamente, en este escenario, se habilita una directiva de autenticación para una aplicación de prueba basada en notificaciones denominada claimapp, en la que se requerirá que un usuario de AD Robert Hatley se someta a MFA, ya que pertenece a un grupo de AD Finance.
Las instrucciones paso a paso para configurar y comprobar este escenario se proporcionan en la Guía de tutorial: Administración del riesgo con Autenticación multifactor adicional para aplicaciones confidenciales. Para completar los pasos de este tutorial, debe configurar un entorno de laboratorio y seguir los pasos descritos en Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.
Otros escenarios de habilitación de MFA en AD FS son los siguientes:
Habilite MFA, si la solicitud de acceso procede de la extranet. Puede modificar el código presentado en la sección "Configurar la política de MFA" de la Guía paso a paso: Administrar el riesgo con autenticación multifactor adicional para aplicaciones confidenciales con lo siguiente:
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'Habilite MFA, si la solicitud de acceso procede de un dispositivo no unido al área de trabajo. Puede modificar el código presentado en la sección "Configurar la política de MFA" de la Guía paso a paso: Administrar el riesgo con autenticación multifactor adicional para aplicaciones confidenciales con lo siguiente:
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'Habilite MFA, si el acceso proviene de un usuario que utiliza un dispositivo que pertenece al entorno de trabajo, pero que no está registrado a nombre de ese usuario. Puede modificar el código presentado en la sección "Configurar la política de MFA" de la Guía paso a paso: Administrar el riesgo con autenticación multifactor adicional para aplicaciones confidenciales con lo siguiente:
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
Véase también
Guía del tutorial: Administración del riesgo con autenticación multifactor adicional para aplicaciones confidenciales: Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2