Active Directory Federation Services (ADFS) es una solución de Single Sign-On (SSO) creada por Microsoft. Como componente de los sistemas operativos Windows Server, proporciona a los usuarios acceso autenticado a aplicaciones que no pueden usar la autenticación integrada de Windows (IWA) a través de Active Directory (AD).
Desarrollado para brindar flexibilidad, ADFS brinda a las organizaciones la capacidad de controlar las cuentas de sus empleados al tiempo que simplifica la experiencia del usuario: los empleados solo necesitan recordar un único conjunto de credenciales para acceder a múltiples aplicaciones a través de SSO.
¿Cómo funciona ADFS?
ADFS gestiona la autenticación a través de un servicio proxy alojado entre AD y la aplicación de destino. Utiliza una confianza federada, que vincula ADFS y la aplicación de destino para conceder acceso a los usuarios. Esto permite a los usuarios iniciar sesión en la aplicación federada a través de SSO sin necesidad de autenticar su identidad directamente en la aplicación.
El proceso de autenticación generalmente sigue estos cuatro pasos:
- El usuario navega a una URL proporcionada por el servicio ADFS.
- Luego, el servicio ADFS autentica al usuario a través del servicio AD de la organización.
- Al autenticarse, el servicio ADFS proporciona al usuario una declaración de autenticación.
- Luego, el navegador del usuario reenvía esta declaración a la aplicación de destino, que otorga o deniega el acceso en función del servicio de federación de confianza creado.
¿Por qué las empresas utilizan ADFS?
ADFS nació de la necesidad de superar los desafíos de autenticación creados por AD en un mundo en línea cada vez más conectado. AD e IWA tienen limitaciones establecidas cuando se trata de la autenticación moderna y no pueden autenticar a los usuarios que acceden a aplicaciones integradas de AD externamente. Este es un desafío en el lugar de trabajo moderno, donde los usuarios a menudo necesitan acceder a aplicaciones que no son propiedad ni están administradas por su organización de AD.
ADFS puede resolver y simplificar estos desafíos de autenticación de terceros, pero conlleva ciertos riesgos y desventajas.
ADFS resuelve el problema de los usuarios que necesitan acceder a aplicaciones integradas de AD mientras trabajan de forma remota, ofreciendo una solución flexible mediante la cual pueden autenticarse utilizando sus credenciales AD organizacionales estándar a través de una interfaz web. Permite a los usuarios de una organización acceder a las aplicaciones de otra organización más allá del ámbito de su dominio AD. Los ejemplos incluyen aplicaciones en una organización asociada o servicios en la nube modernos, que ahora forman parte del panorama de TI extendido de muchas organizaciones.
Más del 90% de las organizaciones utilizan Active Directory, lo que significa que muchas también utilizan ADFS.
¿Cuáles son los riesgos y desventajas?
ADFS tiene sus desventajas, lo que lo convierte en una solución de autenticación lejos de ser ideal. Estas desventajas incluyen los costos ocultos de infraestructura y mantenimiento, así como los riesgos de seguridad.
Aunque ADFS es una función gratuita en Windows Server, la puesta en marcha de ADFS requiere una licencia de Windows Server y un servidor para alojar el servicio ADFS, lo que tiene un costo para la organización. En particular, el costo de una licencia de servidor ha aumentado desde el lanzamiento de Windows Server 2016, y la licencia ahora se basa en cada núcleo.
Costos ocultos de mantenimiento
Además de los costos directos de la puesta en marcha de ADFS, las organizaciones también deben considerar los costos operativos continuos de la administración y el mantenimiento de un servicio ADFS. Los empleados con profundos conocimientos técnicos deben mantener las relaciones de confianza entre los dominios de AD y los servidores ADFS deben parchearse, actualizarse y respaldarse de forma regular. Además, dado que ADFS es un servicio crítico, la alta disponibilidad es clave. Dependiendo de cómo esté configurado, ADFS puede costar más de lo previsto: tanto directamente, ya que se requiere más infraestructura, como indirectamente, a medida que aumenta la complejidad.
Complejidad general
La puesta en marcha, la configuración y el mantenimiento de una solución ADFS no es una tarea sencilla. Además, cada vez que se agrega una aplicación a un servicio ADFS, el proceso requiere mucho tiempo y es técnicamente complicado, lo que dificulta la agilidad de TI.
Riesgos de seguridad
Una instalación estándar de ADFS lista para usar no es tan segura como puede ser. Para protegerlo adecuadamente, hay varios pasos que el departamento de TI debe realizar. Además, como ADFS se ejecuta en un Windows Server, también debe ser reforzado y protegido para garantizar que la solución no esté en riesgo.
ADFS frente a identidad en la nube
No hay duda de que ADFS tiene algunas ventajas que lo convierten en una opción popular para las organizaciones que buscan una solución de identidad federada. Sin embargo, ADFS tiene distintas desventajas que no se pueden ignorar.
Los servicios de identidad basados en la nube de terceros pueden poseer características que coincidan, y en algunos casos superen, las de ADFS. Las soluciones de identidad en la nube son más rentables debido a los menores gastos operativos generales necesarios para ejecutarlas; más allá de eso, tienen alta disponibilidad incorporada e integración perfecta con cientos de aplicaciones. Okta proporciona soluciones de identidad seguras basadas en la nube para sus usuarios: soluciones que no solo resolverán los desafíos de autenticación, sino que también mantendrán la seguridad siempre presente.
Obtenga más información sobre cómo y encuentre las soluciones de autenticación adecuadas para su empresa.
