Comparte este artículo
Las herramientas de gestión de identidades y accesos (IAM, por sus siglas en inglés) se han vuelto más necesarias que nunca en el entorno informático moderno de hoy en día, especialmente con el número de personas que trabajan a distancia y la prevalencia de las amenazas digitales que acechan a la vuelta de cada esquina. A medida que el mercado de IAM ha ido evolucionando, muchos proveedores han luchado por mantenerse al día con las necesidades cambiantes de las organizaciones. Hoy en día, las organizaciones confían en varias combinaciones de soluciones heredadas y basadas en la cloud para dar soporte a procesos críticos al tiempo que proporcionan flexibilidad a sus empleados.
Sobre esta base, Microsoft presentó Active Directory Federation Services (ADFS) como una característica adicional para el sistema operativo Windows Server cuando estas tendencias empezaron a aparecer en 2003. ADFS permite a las organizaciones ampliar el acceso de inicio de sesión único (SSO, por sus siglas en inglés) de los usuarios a recursos fuera del cortafuegos de la empresa y más allá de los límites de la organización. Proporciona a las organizaciones la flexibilidad necesaria para agilizar la experiencia del usuario final al tiempo que mejora el control de los administradores de TI sobre las cuentas de usuario en aplicaciones propias y de terceros.
En este artículo, repasaremos qué es ADFS, cómo funciona, sus casos de uso y por qué el sector se está alejando de las soluciones complementarias y aisladas como ADFS para adoptar soluciones de IAM en la cloud más completas.
¿Qué es ADFS?
ADFS es la solución SSO local de Microsoft que autentica a los usuarios en aplicaciones incompatibles con Active Directory (AD) e Integrated Windows Authentication (IWA). Microsoft lanzó ADFS como una oportunidad para muchas organizaciones que estaban aprovechando el boom del software-como-servicio (SaaS, por sus siglas en inglés) de la década de 2000.
En aquella época, Microsoft dominaba el sector informático y casi todas las aplicaciones que utilizaban las organizaciones eran locales y estaban basadas en Windows. Esto creaba problemas de autenticación para las aplicaciones que se encontraban fuera del ecosistema Windows y del perímetro de la organización. Sin embargo, ADFS permite que la información de identidad se comparta de forma segura fuera de la red de una empresa, con el fin de acceder a recursos orientados a la web, como aplicaciones web alojadas por organizaciones con las que se habían establecido relaciones.
En esencia, permite a las organizaciones crear una “relación de confianza” entre sí a través de Internet, complementando AD mediante la ampliación de identidades en configuraciones locales a entornos basados en la cloud. Funciona como cualquier servicio SSO basado en aplicaciones web que utilice el protocolo SAML (Secure Assertion Markup Language). ADFS también puede utilizar cookies y otros estándares de token, como los tokens web JSON (JWT), para proporcionar servicios de autenticación; sin embargo, se aprovecha más en configuraciones locales que en la cloud.
¿Cuáles son las distintas partes de la ADFS?
La ADFS consta de cuatro componentes principales:
- Active Directory. Aquí es donde se almacena la información de identidad de ADFS. ADFS extiende la información de AD más allá de la red de la empresa. Esto permite a los usuarios acceder a aplicaciones basadas en Windows y de terceros mientras se encuentran fuera de las redes corporativas.
- Servidor de federación. Gestiona las confianzas federadas entre socios comerciales mediante la emisión de tokens de seguridad. El servidor de federación procesa las solicitudes de autenticación de usuarios externos y emite tokens de seguridad para reclamaciones basadas en credenciales almacenadas en AD.
- Proxy del servidor de federación. Se despliega en la extranet de la organización y enlaza a los usuarios externos y al servidor de federación. De este modo, el servidor de federación no queda expuesto directamente a Internet para evitar riesgos de seguridad.
- Servidor web ADFS. Alberga el Agente Web ADFS, un servicio que permite o deniega el acceso de un usuario a las aplicaciones web basándose en las cookies de autenticación y los tokens de seguridad que se le envían.
¿Cómo funciona ADFS?
ADFS utiliza una autenticación basada en reclamaciones, que verifica a un usuario a partir de un conjunto de “reclamaciones” sobre su identidad a partir de un token de confianza. A continuación, ADFS ofrece a los usuarios una única solicitud de SSO, lo que les permite acceder a múltiples aplicaciones y sistemas, aunque residan en redes diferentes.
En ADFS, dos organizaciones establecen una federación de identidades confirmando la confianza entre dos ámbitos de seguridad. Un servidor de federación en una organización autentica a un usuario a través de los Servicios de Dominio de Active Directory (AD DS) estándar. A continuación, el AD DS emite un token que consiste en una serie de afirmaciones sobre el usuario, incluida su identidad en la organización.
En el otro lado de la organización (lado de los recursos), otro servidor de la federación confirma los tokens y proporciona otro token para permitir que los servidores locales acepten la identidad reclamada. Esto permite al sistema proporcionar un acceso controlado a sus recursos sin necesidad de que un usuario se autentique directamente en la aplicación.
El diagrama siguiente resume el flujo de trabajo de los sistemas basados en ADFS:
¿Por qué utilizan ADFS las organizaciones?
Antes de 2003, las organizaciones utilizaban en gran medida AD e IWA para gestionar el acceso de los usuarios finales a los recursos corporativos. A medida que el acceso remoto y los servicios basados en la cloud se hicieron más populares, se hizo evidente que AD e IWA no podían hacer frente a las autenticaciones modernas. Esto se debía a que los usuarios de estos entornos a menudo quieren acceder a aplicaciones que no son propiedad de la empresa, como SaaS y aplicaciones web.
ADFS resolvió y simplificó los problemas de autenticación de terceros, permitiendo a las organizaciones gestionar mejor el acceso a los recursos en un lugar de trabajo en evolución. Con ADFS, los usuarios se autenticaban en todos los sistemas y aplicaciones de terceros aprobados una vez que iniciaban sesión con sus credenciales de Windows.
Gracias a la función SSO, los usuarios no tenían que recordar credenciales de cuentas desconocidas y dispares al acceder a aplicaciones SaaS y web. Además de a los usuarios, ADFS también ofrece ventajas tanto a los administradores de TI como a los desarrolladores. Por ejemplo, los administradores de TI podían mantener en gran medida su configuración AD existente, especialmente si otros aspectos de su entorno seguían siendo en gran medida locales y basados en Windows.
Esto les permitió tener una visibilidad completa sobre sus identidades digitales. ADFS también proporcionó a los desarrolladores un enfoque sencillo para autenticar a los usuarios mediante identidades en el directorio de la organización, lo que les permitió centrarse en tareas más productivas.
¿Cuáles son las limitaciones de ADFS?
Aunque ADFS se hizo popular cuando AD era el principal servicio de directorio que se utilizaba y los entornos de TI estaban todos basados en Windows, viene con algunos problemas y limitaciones que no se pueden ignorar.
Aunque ADFS es una función gratuita en los sistemas operativos Windows Server, su puesta en marcha requiere una licencia y un servidor para alojar los servicios de federación. Esto puede resultar costoso para una organización. No sólo se debe tener en cuenta los costos de las licencias de acceso de cliente (CAL, por sus siglas en ingles) de usuario final, sino que también debe recordarse que, desde que Microsoft lanzó Windows Server 2016, se ha aumentado el costo de las licencias de servidor, que ahora se basa en un costo por núcleo. Además de los problemas de costos, ADFS no proporciona la flexibilidad necesaria para las organizaciones que tienen un entorno de TI mixto (es decir, algo más que recursos basados en Windows).
Para seguir siendo competitivos en el entorno actual, las herramientas de IAM y SSO deben conectar a los usuarios con el mayor número posible de recursos de TI, independientemente de su plataforma, proveedor, ubicación o protocolo. Nadie quiere emplear, pagar o gestionar múltiples soluciones dispares que aún no gestionan completamente la identidad y el acceso, y el sector se está alejando de las soluciones puntuales de SSO de aplicaciones web como ADFS hacia aquellas que están totalmente integradas en plataformas de IAM más completas.
Al quedarse con ADFS, las organizaciones se encierran esencialmente en un ecosistema basado en Windows más algunas soluciones SaaS. Dado que Microsoft ya no es el único actor en la industria de TI, las organizaciones solo pueden unificar su gestión de identidades cuando se aventuran fuera del ecosistema de Microsoft.
Modernice su infraestructura con JumpCloud
Aprovechar una herramienta como JumpCloud Directory Platform puede ayudar a las organizaciones a agilizar la gestión de identidades en entornos heterogéneos. La migración de ADFS a JumpCloud también resulta ser un proceso sencillo. JumpCloud puede utilizarse como una completa extensión para AD en la cloud, y un puente de identidad para recursos no Windows como Linux y macOS o como un reemplazo para AD moderno y completamente funcional.
JumpCloud ofrece una completa plataforma IAM en la cloud con capacidades True SSOTM que permiten a los usuarios conectarse de forma segura y eficiente a prácticamente cualquier recurso de TI a través de SSO: piense en dispositivos Mac, Windows y Linux, redes Wi-Fi, VPN, aplicaciones en la cloud y heredadas, servidores de archivos físicos y virtuales, etc.
Comience con JumpCloud hoy
Pruebe la solución IAM moderna y simplificada de JumpCloud con True SSO, ¡y vea si resulta la adecuada para su organización! Inicie una prueba de JumpCloud para acceder a toda la plataforma de forma gratuita.
