administración de riesgos con la autenticación multifactor adicional para aplicaciones confidenciales

En esta guía

En esta guía se proporciona la siguiente información:

Conceptos clave: mecanismos de autenticación en AD FS

Ventajas de los mecanismos de autenticación en AD FS

Servicios de federación de Active Directory (AD FS) en Windows Server 2012 R2 ofrece a los administradores de TI un conjunto más completo y flexible de herramientas para autenticar a los usuarios que deseen acceder a los recursos corporativos. Ofrece a los administradores un control flexible de los métodos de autenticación principal y adicional, proporciona una experiencia de administración completa para configurar las directivas de autenticación (tanto mediante la interfaz de usuario como mediante Windows PowerShell) y mejora la experiencia de los usuarios finales que tienen acceso a las aplicaciones y los servicios protegidos por AD FS. A continuación se recopilan algunas de las ventajas de proteger la aplicación y los servicios con AD FS en Windows Server 2012 R2:

  • Directiva de autenticación global: un recurso de administración centralizado desde el que un administrador de TI puede elegir los métodos de autenticación que se usarán para autenticar a los usuarios basándose en la ubicación de red desde la que tienen acceso a los recursos protegidos. Esto permite a los administradores hacer lo siguiente:

    • Ordenar el uso de métodos de autenticación más seguros para las solicitudes de acceso procedentes de la extranet.

    • Habilitar la autenticación de dispositivos para la autenticación de segundo factor optimizada. Así se vincula la identidad del usuario al dispositivo registrado que se usa para tener acceso al recurso, con lo que se ofrece una verificación de identidad compuesta más segura antes de tener acceso a los recursos protegidos.

      Nota

      Para obtener más información sobre el objeto de dispositivo, el servicio de registro de dispositivos, la unión al área de trabajo y el dispositivo como autenticación de segundo factor y SSO sin problemas, vea Unirse a un área de trabajo desde cualquier dispositivo para SSO y autenticación de segundo factor sin problemas en todas las aplicaciones de la compañía.

    • Se puede establecer la obligatoriedad de MFA para todos los accesos desde la extranet o de manera condicional basándose en la identidad del usuario, la ubicación de red o el dispositivo que se usa para obtener acceso a los recursos protegidos.

  • Mayor flexibilidad a la hora de configurar las directivas de autenticación: se pueden configurar directivas de autenticación personalizadas para los recursos protegidos con AD FS con distinto valor empresarial. Por ejemplo, puede requerir MFA para una aplicación con un fuerte impacto empresarial.

  • Facilidad de uso: herramientas de administración sencillas e intuitivas como el complemento MMC de administración de AD FS y los cmdlets de Windows PowerShell permiten a los administradores de TI configurar las directivas de autenticación con relativa facilidad. Con Windows PowerShell, puede crear scripts de sus soluciones para usarlos a escala y automatizar tareas administrativas rutinarias.

  • Mayor control de los activos corporativos: como administrador puede usar AD FS para configurar una directiva de autenticación que se aplique a un recurso concreto, con lo que se tendrá un mayor control sobre la forma en que se protegen los recursos corporativos. Las aplicaciones no pueden reemplazar las directivas de autenticación especificadas por los administradores de TI. Para aplicaciones y servicios confidenciales, puede habilitar la obligatoriedad de MFA, la autenticación de dispositivos y, opcionalmente, la repetición de la autenticación cada vez que se tenga acceso al recurso.

  • Compatibilidad con proveedores de MFA personalizados: para las organizaciones que usan métodos de MFA de terceros, AD FS ofrece la posibilidad de incorporar y usar estos métodos de autenticación sin problemas.

Ámbito de autenticación

En AD FS en Windows Server 2012 R2, se puede especificar una directiva de autenticación en un ámbito global que se aplique a todos los servicios y aplicaciones protegidos por AD FS. También se pueden establecer directivas de autenticación para aplicaciones y servicios concretos (relaciones de confianza para usuario autenticado) protegidos por AD FS. Si se especifica una directiva de autenticación para una aplicación concreta (por relación de confianza para usuario autenticado) no se reemplaza la directiva de autenticación global. Si la directiva de autenticación global o la directiva de autenticación por relación de confianza para usuario autenticado requieren MFA, MFA se desencadenará cuando el usuario intente autenticarse a esta relación de confianza para usuario autenticado. La directiva de autenticación global es una reserva para las relaciones de confianza para usuario autenticado (aplicaciones y servicios) que no tengan configurada una directiva de autenticación específica.

Una directiva de autenticación global se aplica a todas las relaciones de confianza para usuario autenticado protegidas por AD FS. Puede configurar las siguientes opciones como parte de la directiva de autenticación global:

Las directivas de autenticación por relación de confianza para usuario autenticado se aplican de forma concreta a los intentos de acceso a esa relación de confianza para usuario autenticado (aplicación o servicio). Puede configurar las siguientes opciones como parte de la directiva de autenticación por relación de confianza para usuario autenticado:

  • Si se requiere a los usuarios que proporcionen sus credenciales cada vez que inician sesión

  • Configuración de MFA basada en el usuario/grupo, registro de dispositivo y datos de ubicación de solicitud de acceso

Métodos de autenticación principal y adicionales

Con AD FS en Windows Server 2012 R2, además del mecanismo de autenticación principal, los administradores pueden configurar métodos de autenticación adicionales. Los métodos de autenticación principal están integrados y su finalidad es validar las identidades de los usuarios. Se pueden configurar factores de autenticación adicionales para solicitar que se proporcione más información sobre el usuario y, con ello, garantizar una autenticación más segura.

La autenticación principal en AD FS de Windows Server 2012 R2 ofrece las siguientes opciones:

  • Para los recursos publicados a los que se va a tener acceso desde fuera de la red corporativa, la autenticación mediante formularios está seleccionada de manera predeterminada. Además, también puede habilitar la autenticación de certificado (es decir, autenticación basada en tarjetas inteligentes o autenticación de certificado de cliente de usuario que funcione con AD DS).

  • Para los recursos de intranet, la autenticación de Windows está seleccionada de manera predeterminada. Además, también puede habilitar la autenticación mediante formularios o de certificado.

Si selecciona más de un método de autenticación, permitirá a sus usuarios disponer de varias opciones a la hora de elegir el método de autenticación en la página de inicio de sesión de la aplicación o el servicio.

También puede habilitar la autenticación de dispositivos para la autenticación de segundo factor optimizada. Así se vincula la identidad del usuario al dispositivo registrado que se usa para tener acceso al recurso, con lo que se ofrece una verificación de identidad compuesta más segura antes de tener acceso a los recursos protegidos.

Nota

Para obtener más información sobre el objeto de dispositivo, el servicio de registro de dispositivos, la unión al área de trabajo y el dispositivo como autenticación de segundo factor y SSO sin problemas, vea Unirse a un área de trabajo desde cualquier dispositivo para SSO y autenticación de segundo factor sin problemas en todas las aplicaciones de la compañía.

Si especifica el método de autenticación de Windows (opción predeterminada) para los recursos de la intranet, las solicitudes de autenticación utilizan este método sin problemas en los exploradores compatibles con la autenticación de Windows.

Nota

La autenticación de Windows no es compatible con todos los exploradores. El mecanismo de autenticación de AD FS en Windows Server 2012 R2 detecta el agente de usuario del explorador del usuario y utiliza una opción configurable para determinar si ese agente de usuario es compatible con la autenticación de Windows. Los administradores pueden agregar entradas a esta lista de agentes de usuario (a través del comando Set-AdfsProperties -WIASupportedUserAgents de Windows PowerShell) para especificar cadenas de agente de usuario alternativos para los exploradores compatibles con la autenticación de Windows. Si el agente de usuario del cliente no es compatible con la autenticación de Windows, el método de reserva predeterminado es la autenticación mediante formularios.

Configuración de MFA

La configuración de MFA en AD FS en Windows Server 2012 R2 consta de dos partes: la especificación de las condiciones en las que el uso de MFA es obligatorio y la selección de un método de autenticación adicional. Para obtener más información acerca de los métodos de autenticación adicionales, consulte Configuración de métodos de autenticación adicionales para AD FS.

Configuración de MFA

Las opciones siguientes están disponibles para la configuración de MFA (condiciones bajo las cuales el uso de MFA es obligatorio):

  • Ahora puede requerir MFA para usuarios y grupos concretos del dominio de AD al que se ha unido su servidor de federación.

  • Puede requerir MFA para dispositivos registrados (unidos al área de trabajo) o no registrados (no unidos al área de trabajo).

    Windows Server 2012 R2 sigue un enfoque centrado en el usuario respecto a los dispositivos modernos, donde los objetos de dispositivo representan una relación entre usuario@dispositivo y una empresa. Los objetos de dispositivo son una nueva clase de AD en Windows Server 2012 R2 que se puede usar para ofrecer una identidad compuesta al proporcionar acceso a aplicaciones y servicios. Un nuevo componente de AD FS, el servicio de registro de dispositivos (DRS), aprovisiona una identidad de dispositivo en Active Directory y establece un certificado en el dispositivo de consumo que se utilizará para representar la identidad del dispositivo. A continuación, puede usar esta identidad de dispositivo para unir su dispositivo al área de trabajo, es decir, para conectar su dispositivo personal a Active Directory en su área de trabajo. Cuando una su dispositivo personal al área de trabajo, se convertirá en un dispositivo conocido y proporcionará autenticación de segundo factor sin problemas para las aplicaciones y los recursos protegidos. Dicho de otro modo: después de unir un dispositivo al área de trabajo, la identidad del usuario se vincula con este dispositivo y se puede utilizar para la verificación de identidad compuesta sin problemas antes de tener acceso a un recurso protegido.

    Para obtener más información sobre cómo unirse al área de trabajo, consulte Unirse a un área de trabajo desde cualquier dispositivo para SSO y autenticación de segundo factor sin problemas en todas las aplicaciones de la compañía.

  • Puede requerir MFA cuando la solicitud de acceso a los recursos protegidos provenga de la extranet o la intranet.

Información general del escenario

En este escenario, se habilitará MFA en función de los datos de pertenencia a grupos del usuario para una aplicación específica. Es decir, configurará una directiva de autenticación en el servidor de federación que requiera MFA cuando los usuarios que pertenezcan a un grupo concreto soliciten acceso a una aplicación específica hospedada en un servidor web.

Más concretamente, en este escenario habilitará una directiva de autenticación para una aplicación de prueba basada en notificaciones denominada claimapp, en la que el usuario de AD Robert Hatley estará obligado a someterse a MFA, ya que pertenece al grupo de AD Finance.

Las instrucciones paso a paso para configurar y comprobar este escenario se proporcionan en Tutorial: administración de riesgos con MFA para aplicaciones confidenciales. Para completar los pasos de este tutorial, debe configurar un entorno de laboratorio y seguir los pasos especificados en Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.

En otros escenarios para habilitar MFA en AD FS se incluyen:

  • Habilitar MFA si la solicitud de acceso proviene de la intranet. Se puede modificar el código presentado en la sección «Configurar directiva de MFA» de Tutorial: administración de riesgos con MFA para aplicaciones confidenciales con lo siguiente:

    'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'
    
  • Habilitar MFA si la solicitud de acceso proviene de un dispositivo que no se ha unido al área de trabajo. Se puede modificar el código presentado en la sección «Configurar directiva de MFA» de Tutorial: administración de riesgos con MFA para aplicaciones confidenciales con lo siguiente:

    'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
    
    
  • Habilitar MFA si el acceso proviene de un usuario con un dispositivo unido al área de trabajo, pero no registrado a nombre de este usuario. Se puede modificar el código presentado en la sección «Configurar directiva de MFA» de Tutorial: administración de riesgos con MFA para aplicaciones confidenciales con lo siguiente:

    'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
    
    

Consulte también

Tutorial: administración de riesgos con MFA para aplicaciones confidencialesConfiguración del entorno de laboratorio para AD FS en Windows Server 2012 R2