Controles de autenticación de dispositivos en AD FS
En este documento se muestra cómo habilitar los controles de autenticación de dispositivos en Windows Server 2016 y 2012 R2.
Controles de autenticación de dispositivos en AD FS 2012 R2
Originalmente. en AD FS 2012 R2 había una propiedad de autenticación global denominada DeviceAuthenticationEnabled que controlaba la autenticación de los dispositivos.
Para configurar su valor, se usaba el comdlet Set-AdfsGlobalAuthenticationPolicy, como se muestra a continuación:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Para deshabilitar la autenticación de dispositivos, se usaba el mismo cmdlet para establecer el valor en $false.
Controles de autenticación de dispositivos en AD FS 2016
El único tipo de autenticación de dispositivos admitido en la versión 2012 R2 era clientTLS. En AD FS 2016, además de clientTLS, hay dos nuevos tipos de autenticación para los dispositivos modernos. Son las siguientes:
- PKeyAuth
- PRT
Para controlar el nuevo comportamiento, se usa la propiedad DeviceAuthenticationEnabled en combinación con una nueva propiedad denominada DeviceAuthenticationMethod.
El método de autenticación de dispositivos determina el tipo de autenticación que se usará: PRT, PKeyAuth, clientTLS o alguna combinación. Tiene los siguientes valores:
- SignedToken: solo PRT
- PKeyAuth: PRT + PKeyAuth
- ClientTLS: PRT + clientTLS
- All: todos los anteriores
Como puede ver, PRT forma parte de todos los métodos de autenticación de dispositivos, lo que lo convierte en el método predeterminado que siempre está habilitado cuando se establece DeviceAuthenticationEnabled en $true.
Ejemplo: para configurar el método o los métodos, use el cmdlet DeviceAuthenticationEnabled como se explica en los párrafos anteriores, junto con la nueva propiedad:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Nota
En AD FS 2019, se puede usar DeviceAuthenticationMethod con el comando Set-AdfsRelyingPartyTrust.
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
Nota
Habilitar la autenticación de dispositivos (estableciendo DeviceAuthenticationEnabled en $true) significa que DeviceAuthenticationMethod se establece implícitamente en SignedToken, lo que equivale a PRT.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
Nota
El método de autenticación de dispositivos predeterminado es SignedToken. Otros valores son PKeyAuth, ClientTLS y All.
El significado de los valores de DeviceAuthenticationMethod ha cambiado ligeramente desde que se lanzó AD FS 2016. Consulte la tabla siguiente para conocer el significado de cada valor, en función del nivel de actualización:
| Versión de AD FS | Valor de DeviceAuthenticationMethod | Significado |
|---|---|---|
| RTM 2016 | SignedToken | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| Todo | PRT + PkeyAuth + clientTLS | |
| RTM 2016 actualizado con Windows Update | SignedToken (nuevo significado) | PRT (solo) |
| PkeyAuth (nuevo) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| Todo | PRT + PkeyAuth + clientTLS |