BLOG

Federación de identidades y SSO para clientes de Microsoft y F5

Miniatura F5
F5
Publicado el 11 de enero de 2018

Aprovechando el impulso que obtuvimos con Microsoft Ignite en septiembre, hay motivos de alegría para quienes utilizan los Servicios de federación de Active Directory (AD FS) de Microsoft. Siento incredulidad, pero sigo leyendo, te prometo que hay alegría en marcha.   

¿Por qué es tan importante AD FS? Como probablemente hayas notado en el título, AD FS es la solución de Microsoft para implementar la federación de identidades y el inicio de sesión único (SSO) desde la red corporativa a las aplicações de intranet, extranet y nube. Esto significa que los usuarios pueden usar su información de inicio de sesión corporativa para acceder a aplicações fuera de la organización. Por ejemplo, AD FS permite a sus usuarios iniciar sesión desde el entorno Microsoft/Windows y tener acceso sin inconvenientes a Office 365 y aplicações externas como Salesforce o Box.

Probablemente estés pensando que las empresas llevan años haciendo esto y que no es nada emocionante. ¿Dónde está la alegría que prometiste? Ya casi llegamos, aguanta. Aquellos que estén familiarizados con la implementación de AD FS probablemente también estén familiarizados con Microsoft Web Aplicação Proxy (WAP). WAP es el producto de puerta de enlace de Microsoft para permitir el acceso externo a aplicações internas (detrás del firewall), como AD FS, por ejemplo. WAP tiene soporte específico para AD FS usando el Protocolo de Integración de Proxy y Servicios de Federación de Active Directory ( MS-ADFSPIP , en lo que seguramente será el acrónimo más largo que aparece en este blog). Este protocolo permite la autenticación mutua basada en certificados requerida y el intercambio de información específica entre el servidor AD FS y el WAP.

Los usuarios externos deben pasar por el WAP para acceder a AD FS. WAP se ejecuta en servidores Windows. Esta es la parte que añade complejidad y coste. Por lo general, estos sistemas deben tener una carga equilibrada y una alta configuración de seguridad porque están expuestos a Internet abierto y es posible que se necesiten muchos de ellos para escalar.

Aquí está la parte buena: F5 ha habilitado la plataforma F5 BIG-IP para que admita MS-ADFSPIP, y es el primer producto que no es de Microsoft en hacerlo. ¿Qué quiere decir esto? F5 BIG-IP con el Administrador de políticas de acceso (APM) puede reemplazar los servidores WAP y los balanceadores de carga que los soportan. Puede utilizar como proxy AD FS una solución segura diseñada para estar expuesta a Internet. Con F5 como proxy de AD FS, puede reducir la cantidad de servidores en la DMZ, simplificar la implementación, escalar más rápido y aún tener soporte completo para MS-ADFSPIP.

Puede consultar la sesión de Microsoft Ignite donde Samuel Devasahayan, gerente principal del programa de grupo de la división de identidad de Microsoft, revela la emocionante noticia aquí . Casi puedes oír las lágrimas de alegría cayendo.