En este art\u00edculo, repasaremos qu\u00e9 es ADFS, c\u00f3mo funciona, sus casos de uso y por qu\u00e9 el sector se est\u00e1 alejando de las soluciones complementarias y aisladas como ADFS para adoptar soluciones de IAM en la cloud m\u00e1s completas.<\/p>\n\n\n\n
\u00bfQu\u00e9 es ADFS?<\/strong><\/h2>\n\n\n\nADFS es la soluci\u00f3n SSO local de Microsoft que autentica a los usuarios en aplicaciones incompatibles con Active Directory (AD)<\/a> e Integrated Windows Authentication (IWA). Microsoft lanz\u00f3 ADFS como una oportunidad para muchas organizaciones que estaban aprovechando el boom del software-como-servicio (SaaS, por sus siglas en ingl\u00e9s) de la d\u00e9cada de 2000. <\/p>\n\n\n\nEn aquella \u00e9poca, Microsoft dominaba el sector inform\u00e1tico y casi todas las aplicaciones que utilizaban las organizaciones eran locales y estaban basadas en Windows. Esto creaba problemas de autenticaci\u00f3n para las aplicaciones que se encontraban fuera del ecosistema Windows y del per\u00edmetro de la organizaci\u00f3n. Sin embargo, ADFS permite que la informaci\u00f3n de identidad se comparta de forma segura fuera de la red de una empresa, con el fin de acceder a recursos orientados a la web, como aplicaciones web alojadas por organizaciones con las que se hab\u00edan establecido relaciones. <\/p>\n\n\n\n
En esencia, permite a las organizaciones crear una “relaci\u00f3n de confianza” entre s\u00ed a trav\u00e9s de Internet, complementando AD mediante la ampliaci\u00f3n de identidades en configuraciones locales a entornos basados en la cloud. Funciona como cualquier servicio SSO basado en aplicaciones web que utilice el protocolo SAML (Secure Assertion Markup Language)<\/a>. ADFS tambi\u00e9n puede utilizar cookies y otros est\u00e1ndares de token, como los tokens web JSON (JWT)<\/a>, para proporcionar servicios de autenticaci\u00f3n; sin embargo, se aprovecha m\u00e1s en configuraciones locales que en la cloud. <\/p>\n\n\n\n\u00bfCu\u00e1les son las distintas partes de la ADFS? <\/strong><\/h3>\n\n\n\nLa ADFS consta de cuatro componentes principales:<\/p>\n\n\n\n
\n- Active Directory.<\/strong> Aqu\u00ed es donde se almacena la informaci\u00f3n de identidad de ADFS. ADFS extiende la informaci\u00f3n de AD m\u00e1s all\u00e1 de la red de la empresa. Esto permite a los usuarios acceder a aplicaciones basadas en Windows y de terceros mientras se encuentran fuera de las redes corporativas.<\/li>\n\n\n\n
- Servidor de federaci\u00f3n.<\/strong> Gestiona las confianzas federadas entre socios comerciales mediante la emisi\u00f3n de tokens de seguridad. El servidor de federaci\u00f3n procesa las solicitudes de autenticaci\u00f3n de usuarios externos y emite tokens de seguridad para reclamaciones basadas en credenciales almacenadas en AD. <\/li>\n\n\n\n
- Proxy del servidor de federaci\u00f3n.<\/strong> Se despliega en la extranet de la organizaci\u00f3n y enlaza a los usuarios externos y al servidor de federaci\u00f3n. De este modo, el servidor de federaci\u00f3n no queda expuesto directamente a Internet para evitar riesgos de seguridad. <\/li>\n\n\n\n
- Servidor web ADFS.<\/strong> Alberga el Agente Web ADFS, un servicio que permite o deniega el acceso de un usuario a las aplicaciones web bas\u00e1ndose en las cookies de autenticaci\u00f3n y los tokens de seguridad que se le env\u00edan. <\/li>\n<\/ul>\n\n\n\n
\u00bfC\u00f3mo funciona ADFS?<\/strong><\/h2>\n\n\n\nADFS utiliza una autenticaci\u00f3n basada en reclamaciones, que verifica a un usuario a partir de un conjunto de “reclamaciones” sobre su identidad a partir de un token de confianza. A continuaci\u00f3n, ADFS ofrece a los usuarios una \u00fanica solicitud de SSO, lo que les permite acceder a m\u00faltiples aplicaciones y sistemas, aunque residan en redes diferentes. <\/p>\n\n\n\n
En ADFS, dos organizaciones establecen una federaci\u00f3n de identidades<\/a> confirmando la confianza entre dos \u00e1mbitos de seguridad. Un servidor de federaci\u00f3n en una organizaci\u00f3n autentica a un usuario a trav\u00e9s de los Servicios de Dominio de Active Directory (AD DS)<\/a> est\u00e1ndar. A continuaci\u00f3n, el AD DS emite un token que consiste en una serie de afirmaciones sobre el usuario, incluida su identidad en la organizaci\u00f3n.\u00a0<\/p>\n\n\n\nEn el otro lado de la organizaci\u00f3n (lado de los recursos), otro servidor de la federaci\u00f3n confirma los tokens y proporciona otro token para permitir que los servidores locales acepten la identidad reclamada. Esto permite al sistema proporcionar un acceso controlado a sus recursos sin necesidad de que un usuario se autentique directamente en la aplicaci\u00f3n. <\/p>\n\n\n\n
El diagrama siguiente resume el flujo de trabajo de los sistemas basados en ADFS:<\/p>\n\n\n\n![\"\"](\"https:\/\/jumpcloud.com\/\/wp-content\/uploads\/sites\/3\/2023\/04\/sistemas-basados-en-adfs.jpg\")
<\/figure>\n\n\n\n\u00bfPor qu\u00e9 utilizan ADFS las organizaciones?<\/strong><\/h2>\n\n\n\nAntes de 2003, las organizaciones utilizaban en gran medida AD e IWA para gestionar el acceso de los usuarios finales a los recursos corporativos. A medida que el acceso remoto y los servicios basados en la cloud se hicieron m\u00e1s populares, se hizo evidente que AD e IWA no pod\u00edan hacer frente a las autenticaciones modernas. Esto se deb\u00eda a que los usuarios de estos entornos a menudo quieren acceder a aplicaciones que no son propiedad de la empresa, como SaaS y aplicaciones web.<\/p>\n\n\n\n
ADFS resolvi\u00f3 y simplific\u00f3 los problemas de autenticaci\u00f3n de terceros, permitiendo a las organizaciones gestionar mejor el acceso a los recursos en un lugar de trabajo en evoluci\u00f3n. Con ADFS, los usuarios se autenticaban en todos los sistemas y aplicaciones de terceros aprobados una vez que iniciaban sesi\u00f3n con sus credenciales de Windows. <\/p>\n\n\n\n
Gracias a la funci\u00f3n SSO, los usuarios no ten\u00edan que recordar credenciales de cuentas desconocidas y dispares al acceder a aplicaciones SaaS y web. Adem\u00e1s de a los usuarios, ADFS tambi\u00e9n ofrece ventajas tanto a los administradores de TI como a los desarrolladores. Por ejemplo, los administradores de TI pod\u00edan mantener en gran medida su configuraci\u00f3n AD existente, especialmente si otros aspectos de su entorno segu\u00edan siendo en gran medida locales y basados en Windows. <\/p>\n\n\n\n
Esto les permiti\u00f3 tener una visibilidad completa sobre sus identidades digitales. ADFS tambi\u00e9n proporcion\u00f3 a los desarrolladores un enfoque sencillo para autenticar a los usuarios mediante identidades en el directorio de la organizaci\u00f3n, lo que les permiti\u00f3 centrarse en tareas m\u00e1s productivas. <\/p>\n\n\n\n
\u00bfCu\u00e1les son las limitaciones de ADFS?<\/strong><\/h2>\n\n\n\nAunque ADFS se hizo popular cuando AD era el principal servicio de directorio que se utilizaba y los entornos de TI estaban todos basados en Windows, viene con algunos problemas y limitaciones que no se pueden ignorar.<\/p>\n\n\n\n
Aunque ADFS es una funci\u00f3n gratuita en los sistemas operativos Windows Server, su puesta en marcha requiere una licencia y un servidor para alojar los servicios de federaci\u00f3n. Esto puede resultar costoso para una organizaci\u00f3n. No s\u00f3lo se debe tener en cuenta los costos de las licencias de acceso de cliente (CAL, por sus siglas en ingles) de usuario final, sino que tambi\u00e9n debe recordarse que, desde que Microsoft lanz\u00f3 Windows Server 2016, se ha aumentado el costo de las licencias de servidor, que ahora se basa en un costo por n\u00facleo. Adem\u00e1s de los problemas de costos, ADFS no proporciona la flexibilidad necesaria para las organizaciones que tienen un entorno de TI mixto (es decir, algo m\u00e1s que recursos basados en Windows). <\/p>\n\n\n\n
Para seguir siendo competitivos en el entorno actual, las herramientas de IAM y SSO deben conectar a los usuarios con el mayor n\u00famero posible de recursos de TI, independientemente de su plataforma, proveedor, ubicaci\u00f3n o protocolo. Nadie quiere emplear, pagar o gestionar m\u00faltiples soluciones dispares que a\u00fan no gestionan completamente la identidad y el acceso, y el sector se est\u00e1 alejando de las soluciones puntuales de SSO de aplicaciones web como ADFS hacia aquellas que est\u00e1n totalmente integradas en plataformas de IAM m\u00e1s completas.<\/p>\n\n\n\n
Al quedarse con ADFS, las organizaciones se encierran esencialmente en un ecosistema basado en Windows m\u00e1s algunas soluciones SaaS. Dado que Microsoft ya no es el \u00fanico actor en la industria de TI, las organizaciones solo pueden unificar su gesti\u00f3n de identidades cuando se aventuran fuera del ecosistema de Microsoft.<\/p>\n\n\n\n
Modernice su infraestructura con JumpCloud<\/strong><\/h2>\n\n\n\nAprovechar una herramienta como JumpCloud Directory Platform<\/a> puede ayudar a las organizaciones a agilizar la gesti\u00f3n de identidades en entornos heterog\u00e9neos. La migraci\u00f3n de ADFS a JumpCloud tambi\u00e9n resulta ser un proceso sencillo. JumpCloud puede utilizarse como una completa extensi\u00f3n para AD en la cloud, y un puente de identidad para recursos no Windows como Linux y macOS o como un reemplazo para AD<\/a> moderno y completamente funcional.<\/p>\n\n\n\nJumpCloud ofrece una completa plataforma IAM en la cloud con capacidades True SSOTM<\/sup> que permiten a los usuarios conectarse de forma segura y eficiente a pr\u00e1cticamente cualquier recurso de TI a trav\u00e9s de SSO: piense en dispositivos Mac, Windows y Linux, redes Wi-Fi<\/a>, VPN, aplicaciones en la cloud y heredadas, servidores de archivos f\u00edsicos y virtuales, etc.<\/p>\n\n\n\n
Comience con JumpCloud hoy<\/h3>\n\n\n\n
En aquella \u00e9poca, Microsoft dominaba el sector inform\u00e1tico y casi todas las aplicaciones que utilizaban las organizaciones eran locales y estaban basadas en Windows. Esto creaba problemas de autenticaci\u00f3n para las aplicaciones que se encontraban fuera del ecosistema Windows y del per\u00edmetro de la organizaci\u00f3n. Sin embargo, ADFS permite que la informaci\u00f3n de identidad se comparta de forma segura fuera de la red de una empresa, con el fin de acceder a recursos orientados a la web, como aplicaciones web alojadas por organizaciones con las que se hab\u00edan establecido relaciones. <\/p>\n\n\n\n
En esencia, permite a las organizaciones crear una “relaci\u00f3n de confianza” entre s\u00ed a trav\u00e9s de Internet, complementando AD mediante la ampliaci\u00f3n de identidades en configuraciones locales a entornos basados en la cloud. Funciona como cualquier servicio SSO basado en aplicaciones web que utilice el protocolo SAML (Secure Assertion Markup Language)<\/a>. ADFS tambi\u00e9n puede utilizar cookies y otros est\u00e1ndares de token, como los tokens web JSON (JWT)<\/a>, para proporcionar servicios de autenticaci\u00f3n; sin embargo, se aprovecha m\u00e1s en configuraciones locales que en la cloud. <\/p>\n\n\n\n La ADFS consta de cuatro componentes principales:<\/p>\n\n\n\n ADFS utiliza una autenticaci\u00f3n basada en reclamaciones, que verifica a un usuario a partir de un conjunto de “reclamaciones” sobre su identidad a partir de un token de confianza. A continuaci\u00f3n, ADFS ofrece a los usuarios una \u00fanica solicitud de SSO, lo que les permite acceder a m\u00faltiples aplicaciones y sistemas, aunque residan en redes diferentes. <\/p>\n\n\n\n En ADFS, dos organizaciones establecen una federaci\u00f3n de identidades<\/a> confirmando la confianza entre dos \u00e1mbitos de seguridad. Un servidor de federaci\u00f3n en una organizaci\u00f3n autentica a un usuario a trav\u00e9s de los Servicios de Dominio de Active Directory (AD DS)<\/a> est\u00e1ndar. A continuaci\u00f3n, el AD DS emite un token que consiste en una serie de afirmaciones sobre el usuario, incluida su identidad en la organizaci\u00f3n.\u00a0<\/p>\n\n\n\n En el otro lado de la organizaci\u00f3n (lado de los recursos), otro servidor de la federaci\u00f3n confirma los tokens y proporciona otro token para permitir que los servidores locales acepten la identidad reclamada. Esto permite al sistema proporcionar un acceso controlado a sus recursos sin necesidad de que un usuario se autentique directamente en la aplicaci\u00f3n. <\/p>\n\n\n\n El diagrama siguiente resume el flujo de trabajo de los sistemas basados en ADFS:<\/p>\n\n\n\n Antes de 2003, las organizaciones utilizaban en gran medida AD e IWA para gestionar el acceso de los usuarios finales a los recursos corporativos. A medida que el acceso remoto y los servicios basados en la cloud se hicieron m\u00e1s populares, se hizo evidente que AD e IWA no pod\u00edan hacer frente a las autenticaciones modernas. Esto se deb\u00eda a que los usuarios de estos entornos a menudo quieren acceder a aplicaciones que no son propiedad de la empresa, como SaaS y aplicaciones web.<\/p>\n\n\n\n ADFS resolvi\u00f3 y simplific\u00f3 los problemas de autenticaci\u00f3n de terceros, permitiendo a las organizaciones gestionar mejor el acceso a los recursos en un lugar de trabajo en evoluci\u00f3n. Con ADFS, los usuarios se autenticaban en todos los sistemas y aplicaciones de terceros aprobados una vez que iniciaban sesi\u00f3n con sus credenciales de Windows. <\/p>\n\n\n\n Gracias a la funci\u00f3n SSO, los usuarios no ten\u00edan que recordar credenciales de cuentas desconocidas y dispares al acceder a aplicaciones SaaS y web. Adem\u00e1s de a los usuarios, ADFS tambi\u00e9n ofrece ventajas tanto a los administradores de TI como a los desarrolladores. Por ejemplo, los administradores de TI pod\u00edan mantener en gran medida su configuraci\u00f3n AD existente, especialmente si otros aspectos de su entorno segu\u00edan siendo en gran medida locales y basados en Windows. <\/p>\n\n\n\n Esto les permiti\u00f3 tener una visibilidad completa sobre sus identidades digitales. ADFS tambi\u00e9n proporcion\u00f3 a los desarrolladores un enfoque sencillo para autenticar a los usuarios mediante identidades en el directorio de la organizaci\u00f3n, lo que les permiti\u00f3 centrarse en tareas m\u00e1s productivas. <\/p>\n\n\n\n Aunque ADFS se hizo popular cuando AD era el principal servicio de directorio que se utilizaba y los entornos de TI estaban todos basados en Windows, viene con algunos problemas y limitaciones que no se pueden ignorar.<\/p>\n\n\n\n Aunque ADFS es una funci\u00f3n gratuita en los sistemas operativos Windows Server, su puesta en marcha requiere una licencia y un servidor para alojar los servicios de federaci\u00f3n. Esto puede resultar costoso para una organizaci\u00f3n. No s\u00f3lo se debe tener en cuenta los costos de las licencias de acceso de cliente (CAL, por sus siglas en ingles) de usuario final, sino que tambi\u00e9n debe recordarse que, desde que Microsoft lanz\u00f3 Windows Server 2016, se ha aumentado el costo de las licencias de servidor, que ahora se basa en un costo por n\u00facleo. Adem\u00e1s de los problemas de costos, ADFS no proporciona la flexibilidad necesaria para las organizaciones que tienen un entorno de TI mixto (es decir, algo m\u00e1s que recursos basados en Windows). <\/p>\n\n\n\n Para seguir siendo competitivos en el entorno actual, las herramientas de IAM y SSO deben conectar a los usuarios con el mayor n\u00famero posible de recursos de TI, independientemente de su plataforma, proveedor, ubicaci\u00f3n o protocolo. Nadie quiere emplear, pagar o gestionar m\u00faltiples soluciones dispares que a\u00fan no gestionan completamente la identidad y el acceso, y el sector se est\u00e1 alejando de las soluciones puntuales de SSO de aplicaciones web como ADFS hacia aquellas que est\u00e1n totalmente integradas en plataformas de IAM m\u00e1s completas.<\/p>\n\n\n\n Al quedarse con ADFS, las organizaciones se encierran esencialmente en un ecosistema basado en Windows m\u00e1s algunas soluciones SaaS. Dado que Microsoft ya no es el \u00fanico actor en la industria de TI, las organizaciones solo pueden unificar su gesti\u00f3n de identidades cuando se aventuran fuera del ecosistema de Microsoft.<\/p>\n\n\n\n Aprovechar una herramienta como JumpCloud Directory Platform<\/a> puede ayudar a las organizaciones a agilizar la gesti\u00f3n de identidades en entornos heterog\u00e9neos. La migraci\u00f3n de ADFS a JumpCloud tambi\u00e9n resulta ser un proceso sencillo. JumpCloud puede utilizarse como una completa extensi\u00f3n para AD en la cloud, y un puente de identidad para recursos no Windows como Linux y macOS o como un reemplazo para AD<\/a> moderno y completamente funcional.<\/p>\n\n\n\n JumpCloud ofrece una completa plataforma IAM en la cloud con capacidades True SSOTM<\/sup> que permiten a los usuarios conectarse de forma segura y eficiente a pr\u00e1cticamente cualquier recurso de TI a trav\u00e9s de SSO: piense en dispositivos Mac, Windows y Linux, redes Wi-Fi<\/a>, VPN, aplicaciones en la cloud y heredadas, servidores de archivos f\u00edsicos y virtuales, etc.<\/p>\n\n\n\n\u00bfCu\u00e1les son las distintas partes de la ADFS? <\/strong><\/h3>\n\n\n\n
\n
\u00bfC\u00f3mo funciona ADFS?<\/strong><\/h2>\n\n\n\n
<\/figure>\n\n\n\n\u00bfPor qu\u00e9 utilizan ADFS las organizaciones?<\/strong><\/h2>\n\n\n\n
\u00bfCu\u00e1les son las limitaciones de ADFS?<\/strong><\/h2>\n\n\n\n
Modernice su infraestructura con JumpCloud<\/strong><\/h2>\n\n\n\n
Comience con JumpCloud hoy<\/h3>\n\n\n\n