¿Qué es Active Directory Federation Services (AD FS)?

Active Directory Federation Services (AD FS) es una característica de inicio de sesión único (SSO) desarrollada por Microsoft que otorga acceso seguro y autenticado a cualquier dominio, dispositivo, aplicación web o sistema dentro del Active Directory (AD) de la organización, así como a sistemas de terceros aprobados.

AD FS es un sistema federado, lo que significa que centraliza la identidad del usuario y permite que cada persona use las credenciales de AD existentes para acceder a aplicaciones dentro de una red corporativa. Usa también fuentes fiables fuera de la organización, como una red en la nube, una aplicación SaaS o la extranet de otra empresa. AD FS también permite a los usuarios acceder a aplicaciones integradas con AD para trabajar en remoto a través de la nube.

El propósito de AD FS es simplificar la experiencia del usuario al tiempo que permite a la organización mantener unas directivas de seguridad sólidas. Con AD FS, los usuarios solo tienen que crear y recordar una única credencial para acceder a múltiples aplicaciones, sistema y recursos.

¿Cómo funciona AD FS?

AD FS funciona de manera muy similar a un SSO general, ya que autentica la identidad del usuario y verifica sus privilegios de acceso.

Verificación de la identidad del usuario

Un SSO de AD FS usa la información que se encuentra en el repositorio de datos de la empresa para confirmar la identidad del usuario con dos o más datos, como el nombre completo del usuario, el número de empleado, el número de teléfono, la identificación del empleado o la dirección de correo electrónico.

Gestión de reclamaciones de usuarios

AD FS sigue un modelo de autenticación basado en reclamaciones. Esto significa que el sistema produce un token seguro que contiene los derechos de acceso, o reclamaciones, relacionados con cada usuario. Cuando el usuario intenta acceder a un sistema, AD FS comprobará la solicitud con una lista de sistemas y aplicaciones que el usuario está autorizado a usar dentro de AD o Azure AD (ahora conocido como Entra ID). Esta verificación incluye los recursos internos de la organización, así como sistemas de terceros.

Confianza federada

La autenticación de AD FS para sistemas de terceros se completa a través de un servicio proxy utilizado por el directorio activo y la aplicación externa, que combina tanto la identidad del usuario como la regla de reclamación. Esta capacidad, conocida como confianza federada o confianza entre partes, permite al usuario evitar la autenticación de su identidad con cada aplicación directamente.

Proceso de autenticación de AD FS

El proceso de autenticación de AD FS consta de cinco pasos básicos:

1. El usuario accede a un enlace asociado con el servicio AD FS e introduce sus credenciales de usuario.
2. El servicio AD FS autentica la identidad del usuario.
3. La herramienta AD FS genera una reclamación de autenticación personalizada para el usuario, que enumera los recursos para los que el usuario tiene aprobación de uso.
4. El servicio AD FS reenvía esta reclamación a otras aplicaciones si el usuario intenta acceder a ellas.
5. La aplicación de destino concede o deniega la acción de acuerdo con los términos detallados en la reclamación.

¿Por qué usan AD FS las organizaciones?

Los empleados acceden rutinariamente a cientos de aplicaciones para realizar su trabajo. Por eso desean contar con una herramienta de autenticación o gestión de identidad que elimine la necesidad de autenticarse individualmente en todas las aplicaciones y preserve la seguridad. Los servicios SSO como AD FS aportan muchas ventajas tanto al usuario final como a la organización.

Ventajas de AD FS para los usuarios finales

• Sencillez. Con AD FS, el usuario final puede usar las mismas credenciales en diferentes aplicaciones y sistemas internos y externos, sin tener que crear y recordar varias de ellas.
• Experiencia de usuario mejorada. Una vez que AD FS autentica su identidad, los usuarios pueden moverse sin problemas entre aplicaciones internas y externas. Esta herramienta de gestión de identidad elimina la necesidad de que el usuario introduzca contraseñas o interrumpa de alguna otra forma su flujo de trabajo.
• Mayor eficiencia. AD FS proporciona un acceso intuitivo a la cantidad deseada de aplicaciones web, sistemas o dispositivos. Para el usuario final, esto significa que puede pasar con fluidez de una tarea a la siguiente.

Por qué usar AD FS: ventajas de AD FS para las organizaciones

• Menos carga de trabajo para el soporte de TI. Una de las tareas más habituales del servicio técnico es restablecer contraseñas olvidadas, perdidas o caducadas. Con AD FS, el equipo de TI puede reducir el tiempo dedicado a problemas rutinarios con las contraseñas para centrarse en tareas más importantes. También dedicarán menos tiempo a crear credenciales para las nuevas cuentas.
• Desactivación simplificada. Cuando un empleado abandona la empresa, AD FS cuenta con un proceso sencillo y eficiente para desactivar todos los servicios y recursos relacionados con el usuario. En lugar de eliminar cada cuenta individualmente, algo que lleva tiempo y genera errores, el equipo de TI puede desactivar el usuario y las reclamaciones asociadas en AD FS.
• Eficiencia organizativa. Cuando los empleados son más eficientes en sus trabajos, la organización también mejora. AD FS elimina las molestias en la experiencia de usuario del empleado y logra una mayor productividad.
• Seguridad mejorada. Al usar AD FS, se reduce la necesidad de que los usuarios finales reutilicen viejas contraseñas, que usen las mismas contraseñas en diferentes aplicaciones o que las anoten a mano. Así se reduce la probabilidad de que un adversario digital use una contraseña descifrada para acceder a varias cuentas asociadas.

Limitaciones y desventajas de AD FS

AD FS tiene varias limitaciones y desventajas importantes que las organizaciones deben tener en cuenta como parte de su estrategia comercial.

Costes de infraestructura. Aunque AD FS está disponible en Windows Server de manera gratuita, requiere una licencia de Windows Server y un servidor dedicado para funcionar.

Costes operativos y de mantenimiento. Más allá de las inversiones en infraestructura, como licencias y servidores, usar y mantener AD FS supone unos costes adicionales para la organización. Y, lo que es más importante, mantener la confianza entre los dominios de AD y las aplicaciones externas requiere una profunda experiencia técnica y apoyo por parte de la organización de TI. Esto puede complicarse aún más en un entorno de Azure. AD FS también genera un alto coste de mantenimiento y funcionamiento relacionado con actualizaciones de infraestructura, administración de la federación e inversiones en seguridad, como los costes de certificados de capa de sockets seguros (SSL).

Complejidad. Aunque AD FS simplifica la experiencia del usuario, normalmente es muy complicado de configurar, implementar y usar, especialmente en la nube o Microsoft Azure. Agregar aplicaciones al servicio también requiere habilidades técnicas importantes. Irónicamente, la experiencia del usuario de AD FS no es intuitiva y debe gestionarla un profesional de TI con formación especializada.

Limitaciones adicionales de AD FS

• AD FS no es compatible con el uso compartido de archivos entre usuarios o grupos
• AD FS no es compatible con servidores de impresión
• AD FS no es compatible con la mayoría de conexiones de escritorio remoto
• AD FS no puede acceder a los recursos de Active Directory

Componentes y elementos de diseño de AD FS

Componentes de AD FS:

Entra ID (Azure AD): servicios de directorio propios de Microsoft que permiten a los administradores de red asignar y administrar privilegios de cuentas para todos los recursos de la red.

AD FS Server: servidor dedicado que mantiene y almacena tokens de seguridad y otros recursos de autenticación, como las cookies.

Azure AD Connect: el módulo que conecta Active Directory con Azure AD, que normalmente se utiliza en implementaciones híbridas.

Federation Server: herramienta SSO que proporciona servicios de autenticación y acceso a múltiples sistemas en diferentes empresas a través de un token de seguridad común basado en el AD del host.

Federation Server Proxy: puerta de enlace entre AD y el atacante externo que coordina las solicitudes de acceso con el servidor de federación.

Comparación entre AD FS y Cloud Identity

AD FS no es ni mucho menos la única herramienta de SSO/Federación disponible en el mercado en la actualidad. Algunas organizaciones pueden generar las mismas funcionalidades a un coste menor a través de un servicio de identidad en la nube de terceros o una herramienta de gestión de identidades basada en la nube.

Los autenticadores de identidad en la nube tienden a ser más económicos debido al menor coste operativo asociado con la nube. Estas herramientas también ofrecen una integración perfecta con cientos de aplicaciones.

Las organizaciones deben trabajar con su socio de ciberseguridad para determinar qué herramienta de autenticación es la óptima para su empresa.

AD FS y ciberseguridad

Con el cambio al trabajo en remoto y la creciente dependencia de la nube, las empresas deben replantearse cómo autenticar a los usuarios y proporcionarles privilegios de acceso. Si bien AD FS proporciona un acceso intuitivo y eficiente, implica riesgos de seguridad potencialmente graves.

Es importante trabajar con tu socio de ciberseguridad para garantizar que AD FS se monitoriza y parchea continuamente, y que otros riesgos de seguridad también se solucionan dentro de la estrategia de ciberseguridad.

CrowdStrike ofrece las siguientes tres prácticas recomendadas para que las organizaciones utilicen AD FS de forma segura:

1. Unifica la visibilidad del bosque de AD, tanto de forma local como en Microsoft Azure. Determina cualquier brecha de seguridad en las directivas de autenticación, los roles de usuario, los privilegios de acceso y las cuentas humanas y de servicios. Detecta también cualquier desviación de acceso, tanto en las instalaciones locales como en Microsoft Entra ID.
2. Mejora la seguridad de AD con acceso condicional. Utiliza un conjunto de herramientas de ciberseguridad que evalúa continuamente los riesgos en función del comportamiento del usuario en diferentes entidades como endpoints, servidores, aplicaciones, ubicación, roles y grupos de usuarios. La herramienta también aplica acceso condicional si se detecta una anomalía. De este modo, evitarás accesos de alto riesgo y eliminarás las molestias para los accesos de confianza.
3. Centraliza la investigación y la respuesta a incidentes. Asegúrate de que la solución de ciberseguridad genera un informe exhaustivo de cualquier actividad sospechosa o anómala, y que incluya información de marca de tiempo, actividad, origen y destino.