Con Windows Server 2016, tenemos una nueva versión de AD FS disponible para usar con nuestras diversas implementaciones en la nube. Por tal motivo, hoy veremos algunas de las nuevas características y funcionalidad de los Servicios de Federación de Active Directory (AD FS) en esta nueva versión.
Con Windows Server 2016 tenemos serias mejoras en el proceso de actualización, en la forma de realizar nuestra auditoría y en las herramientas de restauración rápida de AD FS. Anteriormente, con las versiones anteriores de AD FS, el proceso de actualizar la granja de servidores incluía la instalación de una nueva granja de servidores para luego, cambiar sus registros de DNS para apuntar a ella. Realmente esto no era lo que llamaríamos comúnmente una actualización sino mas bien una nueva instalación que luego reemplazaría la vieja.
El proceso de actualizar la granja de servidores de AD FS, con esta nueva versión de Windows Server 2016, es muy similar al proceso de actualizar nuestro Active Directory, por lo que es muy familiar y sencillo. Con Active Directory, hablamos de Forest Function Level (FFL) y Domain Function Level (DFL). Con AD FS, hablamos de Farm Behavior Level (FBL).
Ya con la version anterior, es decir con Windows Server 2012 R2, podemos agregar nuevos servidores Windows Server 2016 AD FS a nuestra granja de servidores existente y, luego podemos eliminar nuestros servidores Windows Server 2012 R2 AD FS existentes. Una vez que todos los servidores de nuestra arquitectura de AD FS se estén ejecutando en Windows Server 2016, podemos actualizar el nivel funcional de nuestros servidores y comenzar a aprovechar las nuevas características de AD FS. Si nuestra arquitectura de servidores de AD FS se está ejecutando sin una base de datos SQL (mediante WID), deberemos designar uno de los servidores de servidor de AD del Windows Server 2016 como nodo principal antes de realizar la promoción FBL ejecutando el siguiente cmdlet de PowerShell:
Set-AdfsSyncProperties -Role PrimaryComputer
Una vez que se configuramos el servidor principal de AD FS, necesitaremos hacer una preparación de bosque y una preparación de dominio y, a continuación, ejecutar el cmdlet de PowerShell:
Invoke-AdfsFarmBehaviorLevelRaise
Con la Auditoría mejorada que nos frece Windows Server 2016, nos sera mucho mas facil hacer el seguimiento y control de nuestra arquitectura de AD FS. Quedaran registrados varios eventos de auditoría para un solo evento y, en algunos casos, no registrarán nada. Con Windows Server 2016 AD FS, la auditoría de AD FS está activada de forma predeterminada en el nivel básico. Existen tres posibles niveles de auditoría para los servidores de AD FS: Ninguno, Básico (predeterminado) y Verbose. Siendo Verbose el nivel máximo de auditoria, se registraran todos los eventos, Basic registrará un máximo de 5 eventos para una sola solicitud.
En lo referido a las herramientas de restauración rápida de AD FS, este fue uno de los principales conflictos con una migración a la nube, y el esfuerzo que debíamos realizar para ello. Con AD FS, por ejemplo, podemos tener un "inicio de sesión único", pero requiere que se implementen varios servidores para garantizar la alta disponibilidad.
Con la nueva herramienta de restauración rápida de AD FS, los administradores tenemos la posibilidad de exportar la configuración de un solo servidor AD FS para poder implementar un nuevo servidor AD FS en caso de un fallo del servidor o la herramienta de restauración rápida pueda utilizarse para duplicar nuestro AD FS en un entorno de test.
La herramienta de restauración rápida respalda la siguiente información
-
Base de datos de configuración de AD FS
-
Archivo de configuración de AD FS
-
Certificados de firma de token
-
Certificado SSL y claves privadas correspondientes
-
Proveedores de autenticación personalizados, almacenes de atributos y trusts de proveedores de reclamaciones locales
Esta herramienta se puede descargar gratuitamente de Microsoft, y se puede utilizarse en Windows Server 2016 o en windows Server 2012 R2. Requiere .NET 4.0 o superior instalado en el servidor y el servidor recuperado debe estar en la misma versión que el servidor de origen original. Una vez instalado, podemos hacer una copia de seguridad de un servidor AD FS con el cmdlet Backup-ADFS PowerShell. Las restauraciones se realizan a través del cmdlet Restore-AD FS, tal como hemos visto en el pasado.
Con las Políticas de control de acceso, tenemos la capacidad de admitir reglas personalizadas que permiten a algunos usuarios autenticarse bajo condiciones especificadas. El escenario más común es que los empleados por hora sólo puedan iniciar sesión en su cuenta de correo electrónico de Office 365 cuando están físicamente en el trabajo.
Esto puede lograrse utilizando políticas de emisión de reclamaciones (o por su nombre en ingles: claims issuance policies), pero estas políticas son muy difíciles de configurar y administrar. Con Windows Server 2016 AD FS, tenemos la capacidad de controlar este tipo de autenticaciones a través de políticas de control de acceso que son muy similares a las politicas de grupo en Active Directory.
AD FS tiene plantillas de políticas de control de acceso integradas que nos servirán para cubrir la mayoría de los escenarios comunes que nuestra organización quiera imponer; tales como permitir que un grupo específico autentique o no se autentique en momentos específicos; o que requiera autenticación de múltiples factores para los usuarios que autentican fuera de la red corporativa son ejemplos de políticas de acceso que puede configurar.
Estas son solo algunas de las nuevas características que trae Windows Server 2016 con respecto a Active Directory Federation Services (ADFS), próximamente estaré publicando un video a modo de demo sobre esta característica.
Espero les sea de interés y utilidad. Saludos. Roberto Di Lello