Servicios de federación de Active Directory 2.0: Puertas abiertas a la nube

Los nuevos servicios de federación de Active Directory de Microsoft prometen aumentar ampliamente la seguridad de nube.

Jeffrey Schwartz

Servicios de federación de Active Directory (AD FS) 2.0 de Microsoft promete simplificar la autenticación segura para varios sistemas. También hará lo mismo para el portafolio de Microsoft basado en cloud. Además, se espera que la interoperabilidad extendida de AD FS 2.0 ofrezca la misma autenticación segura para otros proveedores de nube, como Amazon.com Inc., Google Inc. y Salesforce.com Inc.

AD FS 2.0, anteriormente denominado “Geneva Server”, se lanzó en mayo. Esta es la tan esperada extensión a Microsoft Active Directory que proporciona administración de identidad federada interoperable basada en notificaciones. Al agregar AD FS 2.0 a una implementación de AD existente, la TI permite a las personas iniciar sesión una sola vez a Active Directory y luego usar sus credenciales para iniciar sesión en cualquier otra aplicación o sistema con recursos de solicitudes.

John “J.G.” Chirapurath, director senior del grupo empresarial de identidad y seguridad de Microsoft, indica: “en el fondo, estamos simplificando la manera en la que debe funcionar la obtención del acceso y como asuntos como iniciar sesión una sola vez deberían funcionar desde lo local hasta la nube".

A diferencia del primer lanzamiento, AD FS 2.0 es compatible con el lenguaje de marcado de aserción de seguridad (SAML) 2.0, lenguaje ampliamente implementado. Muchos servicios de nube de terceros usan autenticación basada en SAML 2.0. Este es el componente clave para proporcionar interoperabilidad con otras aplicaciones y servicios de nube.

Kevin von Keyserling, es presidente y director general de Certified Security Solutions Inc. (CSS), empresa radicada en Independence, Ohio, además de ser integrador de sistemas y Gold Certified Partner de Microsoft. Él comenta: “consideramos que la federación y la autenticación y autorización basada en notificaciones son componentes absolutamente fundamentales para el éxito y la acogida de servicios basados en cloud”.

Si bien AD FS 2.0 no necesariamente enfrentará todos los problemas de seguridad relacionados con el movimiento de sistemas tradicionales y datos a la nube, todo indica que elimina una barrera clave, especialmente para aplicaciones tales como SharePoint y con toda certeza para la gama de aplicaciones. Muchas empresas evitan usar servicios de nube, como Windows Azure, por preocupaciones relacionadas con la seguridad y por la falta de control en la autenticación.

“Los problemas de seguridad, en especial en lo relativo a identidad y la administración de esas identidades, son quizás el mayor obstáculo para alcanzar el nirvana de cloud computing”, dice Chirapurath. “De igual manera que el correo electrónico condujo al uso explosivo de Active Directory, los servicios de federación de Active Directory harán lo mismo para la nube”.

Dado que AD FS 2.0 se puede integrar fácilmente dentro de aplicaciones que se ejecutan en Windows Azure, las organizaciones pueden hacer tokens digitales basados en notificaciones o selectores de identidad que funcionen tanto en Windows Server 2008 como en los servicios de Microsoft basados en cloud, lo que permite crear redes de nube híbridas. La meta es permitir a un usuario que autentique sin ningún problema en Windows Server o Windows Azure y comparta esas credenciales con aplicaciones que puedan aceptar tokens basados en SAML 2.0.

Los desarrolladores también pueden hacer que sus aplicaciones .NET usen recursos de identidad con Microsoft Windows Identity Foundation (WIF).

WIF proporciona el marco subyacente del modelo de identidad basado en notificaciones de Microsoft. Las aplicaciones desarrolladas con WIF poseen esquemas de autenticación, los cuales se implementaron en Microsoft .NET framework, tales como atributos de identificación, funciones, grupos y políticas, además de maneras de administrar esas notificaciones. Las aplicaciones creadas por desarrolladores empresariales e ISV basadas en WIF también podrán aceptar estas notificaciones.

La autenticación de paso federada en AD FS 2.0 está habilitada para aceptar tokens basados en los estándares de federación de servicios web (WSFED), WS-Trust y SAML. Si bien Microsoft ha promocionado WSFED por un largo tiempo, sólo hace 18 meses decidió dar compatibilidad a la especificación SAML, cuyo uso es mucho más extendido.

Llevarlo a la banca

Danny Kim, CTO de FullArmor Corp, un Microsoft Gold Certified Partner radicado en Boston, quien ha realizado pruebas de esfuerzo para AD FS 2.0, comenta que ya tiene clientes importantes que desean usarlo para implementar sistemas en la nube.

Kim dice: “AD FS 2.0 vincula las identidades a nuestro espacio del servidor y a nuestros servicios basados en cloud y tenemos una versión que funciona a través de todos estos entornos".

Según Kim, un importante banco de inversiones de Nueva York está entre aquellos que desean usarlo ahora mismo para permitirle a los usuarios autenticarse en aplicaciones alojadas en los sistemas basados en Windows Azure de FullArmor.

“Esta es una empresa preocupada por la seguridad que indicó 'a no ser que la seguridad esté garantizada, no implementaremos estos servicios en la nube'", comenta Kim. A esto agrega que, al mismo tiempo, el banco busca eventualmente dejar de comprar y usar servidores tan pronto como sea seguro desplazarse a la nube. AD FS 2.0 asigna el token del usuario en AD, el cual se pasa a través de otros sistemas habilitados para AD FS 2.0, explica Kim.

Los funcionarios de Microsoft dicen que algo igualmente importante es el hecho de que Microsoft ahora puede hacer pasar esas notificaciones a través de cualquier sistema basado en SAML. Microsoft realizó pruebas de interoperabilidad con otros proveedores por medio de Liberty Alliance, una organización de estándares que supervisa las especificaciones de administración de identidad.

“Nos reunimos con un grupo de proveedores... y ellos probaron la implementación del protocolo SAML y descubrieron que operaba en conformidad en una amplia gama de casos de prueba" indicó Matt Steele, administrador senior de programa del equipo AD FS de Microsoft, en una conversación de Vídeo de Channel 9 de Microsoft después de que se publicara la versión RC de AD FS. “Esto significa que podemos publicitar, como siempre hemos querido, que AD FS 2.0 implementa el protocolo SAML y que es interoperativo con todos esos proveedores en todos esos casos de prueba".

¿Coincidirá la implementación con las pruebas?

Pese a esto, algunos sugieren que es posible que Microsoft tenga expectativas exageradas. Por ejemplo, sigue sin respuesta qué tan compatibles son los tokens de SAML con aquellos proporcionados por las plataformas de otros proveedores, dice Patrick Harding, CTO de Ping Identity Corp., el cual proporciona su propio servidor de inicio de sesión único que funciona a través de varias plataformas.

“Hemos estado trabajando con SAML desde hace cuatro años” comenta Harding, cuya compañía es tanto competencia como partner de Microsoft. “Tenemos completamente claro que SAML en laboratorio y SAML en el mundo real pueden ser muy, muy diferentes, especialmente cuando existen muchos proveedores de SaaS [Software como servicio] que eligen escribir sus propias implementaciones de SAML; y siempre hay inconvenientes con esos”.

Harding también hace una reflexión acerca de la rapidez con la que la comunidad de desarrolladores en .NET acogerá WIF. “Si bien es una buena idea, WIF exige que los desarrolladores aprendan desde cero un paradigma y un marco de desarrollo totalmente nuevos para aprender qué necesitan para integrar sus aplicaciones a AD FS”, indica.

Sin embargo, Kim discrepa con esto. “No creo que haya una curva de aprendizaje particularmente alta para los desarrolladores familiarizados con el entorno .NET”, dice.

Quest desarrolla herramientas de desarrollo familiares, para reducir también la pequeña curva de aprendizaje. Como extra, dice Sotnikov, “Algunas herramientas y plataformas de nube no nos permiten realmente reutilizar nuestro código C++ and C# existente, pero esta solución permitió hasta 50 por ciento del código existente.”  

Fuera de estos problemas, Harding reconoce que el lanzamiento de AD FS 2.0 probablemente abra el paso a nuevas iniciativas de cloud computing. “AD FS 2.0 es significativo porque valida la importancia de la administración de identidad federada. Se volverá un componente indispensable para SaaS y cloud computing”, afirma. “Con Microsoft, el viento siempre está a favor, y esto va a afirmar entre la gente el hecho de que la federación es real”.

No está en las cartas

Unos pocos días antes del lanzamiento de AD FS 2.0, Microsoft postergó la siguiente versión de su selector de identidad para tarjetas de información CardSpace, llamada CardSpace 2.0, la cual proporcionaría una UI común para administrar inicios de sesión múltiples. CardSpace 2.0, la cual ha estado en beta desde el año pasado, trabaja con AD FS 2.0 e incluye WIF. Para entregar un puente para los evaluadores beta de CardSpace 2.0, Microsoft lanzó recientemente una Community Technology Preview (CTP) de un complemento para AD FS 2.0, que permitirá a Windows Server emitir tarjetas de información.

“Hay mucho movimiento en el ambiente de tarjetas de información, especialmente cuando tomamos en consideración tecnologías criptográficas como U-Prove, que se mostró en la conferencia de RSA” dice Joel Sider, un administrador de productos senior en el grupo de seguridad Forefront de Microsoft. “También hay nuevos estándares como OpenID. Queremos examinar algunas de las nuevas tendencias.”

Esto nos lleva a la siguiente pregunta: ¿se lanzará eventualmente CardSpace 2.0? Sider afirma: “ciertamente existe apoyo para las tarjetas de información, nuestra participación en las tarjetas de información está activa y funcional”. Microsoft no se ha pronunciado acerca de cuándo se actualizarán sus planes para CardSpace 2.0, pero algunos se preguntan si esa tecnología tiene futuro.

El destino incierto de CardSpace 2.0 “no es una sorpresa dad su limitada acogida,” de acuerdo con Harding. “Desafortunadamente, esto también molestó mucho a todas las personas y compañías que creyeron en el modelo de InfoCard a partir de las exhortaciones de Microsoft.”

Pero el cambio de planes se hizo inevitable a principios de marzo de este año, cuando Scott Charney, el vicepresidente corporativo de Trustworthy Computing de Microsoft, lanzó el CTP de la tecnología U-Prove de la empresa en la conferencia RSA anual en San Francisco. El producto U-Prove se enfoca en la emisión de tokens digitales, los cuales permiten a los usuarios controlar cuanta información se comparte con los receptores de los tokens.

U-Prove, si se usa en AD FS 2.0, permite a los usuarios federar identidades en dominios de confianza. Microsoft lanzó U-Prove en conformidad a su promesa de especificación abierta (OSP) y también donó dos kits de herramientas de referencia para implementar los algoritmos en conformidad a la licencia FreeBSD. Es más, Microsoft lanzó una segunda especificación en conformidad a OSP para integrar U-Prove para selectores de identidad de código abierto. El resultado de todo esto, en términos de si .NET y las comunidades de código abierto acogerán a U-Prove, es algo que veremos con el tiempo.

Transición de nube

Muchos profesionales de TI de Windows y expertos en seguridad parecen ser optimistas frente a AD FS 2.0. Von Keyserling, de CSS, está entre aquellos que creen que AD FS 2.0 jugará un papel clave en la entrega de seguridad de nube mejorada.

“Hemos estado trabajando con empresas globales muy grandes y les hemos ayudado a crear modelos de federación que faciliten la transición al entorno de cloud computing", indica von Keyserling. “Ésta extiende la habilidad de ayudar a mantener identidades a través de organizaciones que son entidades independientes entre sí”.

Por ejemplo, según von Keyserling, si CSS y un cliente quisieran colaborar en un sistema alojado localmente, a través de un grupo de servidores compartido, o en la nube, las dos organizaciones podrían federar sus servicios en conjunto, facilitando la administración de las identidades de sus empleados a ambos.

“Al usar la infraestructura de identidad existente y al aplicarla a la nube, alojada por Microsoft o a través del alojamiento de SharePoint, es claro que la identidad, en nuestro punto de vista, es el centro de la seguridad. También es claro que es una preocupación fundamental para la seguridad de nube en general", agrega.

Chirapurath dice que esa es una preocupación clave en Microsoft. "Cuando pensamos acerca de la identidad, en realidad estamos pensando en los fundamentos de la seguridad, puesto que una identidad muestra quien eres y que puedes hacer”, indica. “Muchas veces, los desafíos de cloud computing se encuentran en el área de la identidad. Lo que AD FS permite es compartir esas identidades locales con la nube; ya sea Windows Azure o cualquier otra nube que sea compatible con SAML [o con los estándares de WS], de manera que pueda sacar el mayor provecho de Active Directory local y hacer que esas identidades operen para sus esfuerzos de cloud computing”.

Implementación de AD FS 2.0

Microsoft indica que AD FS 2.0 se puede implementar en AD sin necesidad de extensiones de esquemas. Se necesita instalar en Windows Server 2008 o 2008 R2.  

Microsoft también espera que las tiendas de Windows acojan la nueva plataforma Forefront Identity Manager (FIM) 2010, que se lanzó en marzo. FIM es un repositorio que administra identidades, la obtención de acceso a derechos y credenciales, además de las políticas asociadas a estos. También permite a los administradores de TI que controlen las identidades por medio de una consola de administrador basada en SharePoint.

Hay muchos problemas relacionados con seguridad de nube que podrían ser desincentivos para implementar aplicaciones en la nube. Cumplimiento, integridad de datos y comprensión de las implicaciones de la arquitectura multiempresa son sólo unos pocos ejemplos.

Sin embargo, en lo referente a la administración de identidad, Microsoft y otros han dado adelantos clave en el refuerzo de la infraestructura para atravesar identidades comunes, pero sigue habiendo trabajo pendiente del lado del cliente. De todas maneras, con AD FS 2.0, las empresas que consideran usar los servicios de nube se pueden beneficiar de agregar una actualización gratuita a Windows Server.

“El usuario final puede tener la misma experiencia en la nube que la que tiene en su propia red; esa es una de las ventajas o incentivos para las grandes empresas que están evaluando usar Federation Services y expandirlo”, indica von Keyserling. “Esta aplicación proporciona servicios de nube sin tener que detenerse y lidiar con el restablecimiento de contraseñas y la administración de credenciales, además de permitir [a las empresas] concentrarse en la ejecución de su estrategia de negocios en lugar de los inconvenientes cotidianos asociados a lidiar con problemas de seguridad”. 

Jeffrey Schwartz (jschwartz@1105media.com) es editor extraordinario de la revista Redmond*.*

Barra lateral: Identificadores clave

• Servicios de federación de Active Directory (AD FS) 2.0: Una extensión de Microsoft Active Directory que promete permitir una administración de identidad federada basada en notificaciones sin problemas
• Windows Server, Windows Azure y otros servicios y aplicaciones de nube.
• SAML 2.0: El estándar XML de amplia compatibilidad para el intercambio de información entre dominios seguros ahora es parte de AD FS 2.0.
• WSFED: WS-Federation es la especificación principal sobre la cual se creó AD FS. A medida que SAML se transformó en el estándar de facto, Microsoft agregó compatibilidad con esa especificación en el lanzamiento nuevo.
• Windows Identity Foundation (WIF): WIF proporciona el marco subyacente del modelo de identidad basado en notificaciones de Microsoft. Las aplicaciones poseen esquemas de autenticación, los cuales se implementaron en .Net Framework, tales como atributos de identificación, funciones, grupos y políticas, además de maneras de administrar esas notificaciones. Las aplicaciones basadas en WIF creadas por desarrolladores empresariales e ISV podrán aceptar estas notificaciones.
• CardSpace v1: Un componente de Microsoft .NET Framework que proporciona selectores de identidad que nativos de Windows 7 y Windows Vista.
• U-Prove:  Este se enfoca en la emisión de tokens digitales que permiten a los usuarios controlar cuanta información se comparte con los receptores del token. U-Prove, si se usa en AD FS 2.0, permite a los usuarios federar identidades en dominios de confianza. Se lanzó una Community Technology Preview en marzo.
• OpenID: El estándar de facto para proporcionar un identificador, que reciben soporte técnico de Microsoft, Google Inc., Yahoo! Inc., VeriSign Inc. y varios sitios clave de redes sociales y de blogs.            

J.S.

Contenido relacionado

• Usar Servicios de federación de Active Directory
• Administración de usuarios de Active Directory con ILM 2007
• Mejoras de PKI en Windows 7 y Windows Server 2008 R2