Capacidad de OI: Administración de identidades y acceso: del nivel racionalizado al dinámico
En esta página
.gif){kind=icon}
Introducción
Requisito: Aprovisionamiento de cuentas de usuario centralizado y automatizado en sistemas heterogéneos
Requisito: Autenticación basada en directorios de clientes externos y asociados empresariales
Introducción
La administración de identidades y acceso es una capacidad de la optimización de infraestructura principal y la base para implementar muchas capacidades en el modelo de optimización de infraestructura.
En la tabla siguiente se incluyen los desafíos de alto nivel, las soluciones aplicables y las ventajas de adoptar el nivel dinámico en administración de identidades y acceso.
Desafíos |
Soluciones |
Ventajas |
|---|---|---|
Desafíos para la empresa Los usuarios continúan necesitando servicio de asistencia para tener acceso a los recursos, no hay aprovisionamiento de usuarios No hay una visión clara de la identidad de la organización Desafíos de TI Falta de inicio de sesión único para varios sistemas aunque las identidades se administran de forma centralizada y es fácil administrar los parámetros y las configuraciones Los usuarios continúan recibiendo varias solicitudes de autenticación diariamente |
Proyectos Implementar una solución para administrar de forma centralizada el aprovisionamiento de usuarios Implementar una solución de administración externa de identidades más allá de los límites de la organización y la plataforma |
Ventajas empresariales El inicio de sesión único para varios sistemas reduce los costos de administración y aumenta la productividad del usuario Se conectan varios repositorios de identidades de forma externa en el interior del firewall o de forma confiable para permitir el aprovisionamiento de flujos de trabajo de identidad Ventajas de TI Administración de contraseñas centralizada Automatización de la eliminación de cuentas y la administración del ciclo de vida de la identidad Costos de soporte técnico y tiempo de inactividad del usuario reducidos |
La administración continua de identidades y acceso se centra en las siguientes capacidades, tal como se describe en la serie Administración de identidades y acceso de Microsoft:
Base de la administración de identidades y acceso
Administración del ciclo de vida de la identidad
Administración de acceso e inicio de sesión único
Tenga en cuenta que las capacidades descritas más arriba son componentes clave del servicio de administración de identidades y acceso en una organización. Para obtener más información, consulte la serie Administración de identidades y acceso de Microsoft.
Los niveles estandarizado y racionalizado de la administración de identidades y acceso del modelo de optimización de infraestructuras se ocupan de las áreas clave de un servicio de directorio unificado y de la aplicación automatizada de configuraciones y directivas de seguridad. El nivel dinámico amplía estas capacidades implementando el aprovisionamiento de cuentas de usuario y el acceso seguro a los recursos de red automatizados para terceros.
Requisito: Aprovisionamiento de cuentas de usuario centralizado y automatizado en sistemas heterogéneos
Destinatarios
Lea esta sección si no dispone de una herramienta centralizada y automatizada para el aprovisionamiento de cuentas de usuario en un 80% o más de los sistemas heterogéneos.
Introducción
Las grandes organizaciones de hoy en día suelen tener procesos complejos con diseños poco satisfactorios para aprovisionar los sistemas con información para los usuarios de la red de equipos. En algunas organizaciones, por ejemplo, se puede tardar incluso dos semanas hasta que los nuevos empleados puedan tener acceso al correo electrónico y a las aplicaciones que necesitan para realizar su trabajo. Los procesos manuales con muchas tareas que están normalmente relacionados con el aprovisionamiento de identidades agregan gastos generales, retrasan la productividad de los empleados y suelen conllevar un entorno de red que no es seguro.
La administración manual de las tareas de aprovisionamiento es lenta y no suele aplicar de manera coherente directivas para el acceso y la autorización. Sin unos procesos confiables y automatizados a menudo no será práctico ni el intento de implementar todas las directivas deseables
Las organizaciones almacenan la información de identidad en numerosos repositorios o almacenes de datos. El uso de un producto que incluya la funcionalidad de metadirectorios permite sincronizar los datos existentes, de modo que éstos sean coherentes en todos los almacenes. Para pasar al nivel dinámico, es necesario implementar y utilizar tecnologías que permitan el aprovisionamiento centralizado y automatizado.
Fase 1: Evaluación
Durante la fase de evaluación, debe realizar las actividades típicas que tienen lugar cuando un empleado pasa a formar parte de la organización, cuando se traslada o cuando se produce una reorganización de personal, se restablecen las contraseñas o se produce alguna otra solicitud común de iniciativa propia a los directorios de usuario. Estos procesos o flujos de trabajo se producirán siempre en cualquier organización. Algunos flujos de trabajo de cambio se procesan de manera más manual que otros. El producto de la fase de evaluación es un catálogo que contiene el flujo de trabajo existente para resolver solicitudes comunes de aprovisionamiento de directorios, directivas existentes en torno al acceso y la autorización e identificación de los controles manuales necesarios para la autorización de cambio o de acceso. El registro del tiempo necesario típico desde la solicitud inicial a la resolución del cambio también ayudará al planear qué tareas son prioritarias y puede usarse para calcular las mejoras de productividad una vez que la solución de aprovisionamiento se haya implementado.
Fase 2: Identificación
Después de haber identificado los flujos de trabajo subyacentes, las directivas y el esfuerzo necesario para llevar a cabo las tareas comunes de aprovisionamiento de usuarios, la fase de identificación identifica áreas de mejora para los directorios o las actividades de usuario existentes.
Este documento explica tres escenarios principales para llevar a cabo la fase de identificación:
Aprovisionamiento controlado por RR.HH.
Administración de grupos
Autoservicio de aprovisionamiento
Estos escenarios se corresponden normalmente con muchos de los desafíos asociados con el aprovisionamiento de cuentas y los servicios de directorio de la organización, pero no se trata de una lista exhaustiva. Los objetivos de esta fase serán identificar muchas de las áreas clave de mejora o las infracciones de directivas actuales que deban incluirse durante la fase de evaluación y planeación del proyecto. Los criterios de éxito deben incluir mejoras de la eficacia relacionadas con las tareas, así como la corrección de los problemas indicados en las siguientes secciones.
Aprovisionamiento controlado por RR.HH.
En este escenario, la sincronización de la información de identidad sólo es parte de la solución requerida. Además de habilitar una perspectiva completa de los usuarios, también necesita una solución de aprovisionamiento automatizada.
El aprovisionamiento controlado por RR.HH. trata y corrige los siguientes problemas:
Esfuerzo duplicado al mantener almacenes de datos dispares
Datos incoherentes
Usuarios que "toman prestada" la cuenta de otro
Cuentas no actualizadas (aquéllas que no se han deshabilitado o eliminado)
Acceso inapropiado
Administración de grupos
Las organizaciones suelen usar grupos de distribución para distribuir correo electrónico y grupos de seguridad para agrupar convenientemente a los usuarios con derechos similares. El desafío consiste en administrar estos distintos tipos de grupos para garantizar que se concedan o revoquen los derechos correctos de manera oportuna de acuerdo con las reglas empresariales, al tiempo que se proporciona el enrutamiento más eficaz del correo electrónico y la mejor experiencia de usuario.
Sin una solución centralizada y automatizada, resulta difícil tanto colocar a los usuarios en los grupos adecuados durante el proceso de aprovisionamiento como administrar los grupos, ya que los usuarios cambian de funciones, puestos y ubicaciones durante sus trayectorias profesionales. Esta situación genera frustración en los usuarios, un aumento del volumen de llamadas al servicio de asistencia y la concesión de acceso inapropiada a algunos usuarios.
La administración de grupos trata y corrige los siguientes problemas:
Retrasos en el acceso de nuevos usuarios
Listas de distribución incorrectas
Grupos no actualizados
Correo electrónico redundante
Autorizaciones que no se eliminan cuando un usuario deja un grupo
Número excesivo de cuentas administrativas
Autoservicio de aprovisionamiento
Aunque se suele considerar que el aprovisionamiento controlado por RR.HH. es la fuente fidedigna para los empleados permanentes, no siempre es un origen de datos confiable para controlar el aprovisionamiento completamente automático de contratistas y empleados temporales.
El autoservicio de aprovisionamiento trata y corrige los siguientes problemas:
Retrasos de los contratistas para llevar a cabo sus trabajos
Cuentas no actualizadas
Entrega ineficaz o insegura de contraseñas
Cuentas duplicadas
Fase 3: Evaluación y planeación
En la fase de evaluación y planeación, se buscan las tecnologías que pueden usarse como ayuda para automatizar el aprovisionamiento de cuentas de usuario y el autoservicio. Debe evaluar y comparar la funcionalidad y los costos asociados con las herramientas y su implementación. Una vez seleccionada la tecnología, durante el proceso de planeación debe analizar la implementación de la tecnología de aprovisionamiento y establecer prioridades para los escenarios. Microsoft ofrece varias herramientas que se pueden usar para centralizar y automatizar el aprovisionamiento de usuarios en entornos informáticos heterogéneos:
Identity Lifecycle Manager 2007 (ILM 2007) de Microsoft
Microsoft Identity Integration Server (MIIS) 2003
Aprovisionamiento sin interacción (ZTP)
Microsoft Identity Lifecycle Manager 2007
Microsoft Identity Lifecycle Manager 2007 (ILM 2007) es la tecnología recomendada para automatizar el aprovisionamiento de cuentas de usuario. ILM 2007 ofrece una solución integrada y completa para administrar todo el ciclo de vida de las identidades de usuario y las credenciales asociadas. ILM 2007 se basa en las capacidades de metadirectorios y aprovisionamiento de usuarios de Microsoft Identity Integration Server 2003 (MIIS 2003) y agrega capacidades nuevas para administrar credenciales seguras, como las tarjetas inteligentes, con Certificate Lifecycle Manager 2007 (CLM 2007). Ofrece sincronización de identidades, administración de certificados y contraseñas, así como aprovisionamiento de usuarios en una sola solución que funciona en todo Microsoft Windows® y otros sistemas empresariales. Por consiguiente, las organizaciones pueden definir y automatizar los procesos usados para administrar identidades desde la creación hasta la retirada. La orientación acerca de recursos técnicos para ILM 2007 continúa en desarrollo. Consulte el artículo Creación de un flujo de trabajo de aprovisionamiento de un solo paso publicado en el número de mayo de 2007 de TechNet Magazine para obtener más información.
Microsoft Identity Integration Server 2003
Microsoft Identity Integration Server 2003 es un servicio centralizado que almacena e integra información de identidad en organizaciones con varios directorios. El objetivo de MIIS 2003 es proporcionar a las empresas una visión unificada de toda la información de identidad conocida sobre los usuarios, las aplicaciones y los recursos de red. Microsoft TechNet ofrece varios recursos para planear e implementar servicios automatizados de aprovisionamiento de usuarios con MIIS 2003. Cabe destacar Aprovisionamiento y flujo de trabajo, de la serie Administración de identidades y acceso de Microsoft.
Aprovisionamiento sin interacción (ZTP, Zero Touch Provisioning)
El aprovisionamiento sin interacción es la implementación de medidas, flujos de trabajo y operaciones necesarias para permitir que los usuarios se suscriban ellos mismos a los servicios y al software. ZTP requiere que las identidades ya estén administradas y amplía el aprovisionamiento de los servicios de identidad y acceso a otras solicitudes de servicios de TI en la empresa. ZTP permite a las organizaciones pasar a un portal administrado de autoservicio de aprovisionamiento que facilita a los delegados llevar a cabo tareas comunes de aprovisionamiento, como restablecimientos de contraseña, aprovisionamiento de correo electrónico e instalación selectiva de aplicaciones. ZTP está basado en Microsoft BizTalk Server y requiere el uso de Systems Management Server 2003. ZTP proporciona una base para aprovisionar de manera confiable servicios comerciales y aplicaciones empresariales u hospedados, lo cual deriva en una reducción de la intervención del administrador durante la fase de aprovisionamiento. Dispone de una versión inicial de ZTP que usa BizTalk Server 2004 por medio de la descarga del Acelerador de solución para Business Desktop Deployment 2007 Enterprise Edition versión 2.5. Para obtener versiones más recientes del aprovisionamiento sin interacción mediante BizTalk Server 2006, póngase en contacto con Microsoft Services.
Evaluación de las tecnologías
Cada una de las tecnologías enumeradas anteriormente, así como las tecnologías disponibles de otros proveedores, pueden ayudar a conseguir el aprovisionamiento automatizado de cuentas u objetos de identidad. Además, las soluciones ZTP agregan otro nivel de funcionalidad a la administración del ciclo de vida de identidades aportando el aprovisionamiento automatizado de solicitudes de servicio comunes, como el autoservicio de solicitud y aprovisionamiento de nuevas aplicaciones y restablecimientos de contraseña. Recomendamos que lea los recursos indicados al evaluar las opciones de tecnología junto con los costos asociados y los requisitos de implementación.
Planeación de la solución
Puede diseñar y planear una solución de aprovisionamiento del mismo modo en que diseñaría y planearía cualquier otro proyecto de TI. El proceso requiere recopilar requisitos; implementar diseños conceptuales, lógicos y físicos; crear una prueba de concepto y, a continuación, crear planes de proyecto, una programación y un presupuesto. Para obtener más información, consulte Agregación y sincronización de identidades.
Para obtener más información acerca del diseño de una solución MIIS 2003, consulte Colección de diseño y planeación de MIIS 2003.
La orientación específica de proyecto para ILM 2007 está actualmente en desarrollo. La orientación que se indica en la serie Administración de identidades y acceso se ha confeccionado y probado para MIIS 2003, pero la mayoría de los conceptos centrales se puede aplicar a la funcionalidad equivalente, así como los objetivos de planeación e implementación para ILM 2007. Visite la biblioteca técnica de ILM 2007 para obtener una orientación más amplia.
Fase 4: Implementación
Después de haber evaluado las soluciones de aprovisionamiento y planeado los proyectos, la fase final es la de implementación. Existen varios requisitos esenciales para implementar una solución de flujo de trabajo y aprovisionamiento. Esta sección se centra únicamente en los requisitos esenciales de identidad y acceso con relación al aprovisionamiento:
Agregación y sincronización de identidades disponible.
Bloqueo de la aplicación de acceso a los datos para .NET 2.0 instalado.
Componente Microsoft Message Queuing (MSMQ) instalado.
Una vez que se cumplen los requisitos esenciales, la implementación consiste en configurar MIIS 2003 o ILM 2007 y empezar a realizar operaciones de administración de identidades, incluidas la importación y sincronización de todos los datos existentes, de modo que se puedan llevar a cabo operaciones continuas.
Para obtener más información acerca de la implementación de una solución de aprovisionamiento mediante ILM 2007, consulte Creación de un flujo de trabajo de aprovisionamiento de un solo paso publicado en el número de mayo de 2007 de TechNet Magazine.
Para obtener más información acerca de la implementación de MIIS 2003 para el aprovisionamiento de cuentas de usuario, consulte la sección Implementación de la solución en el flujo de trabajo y aprovisionamiento de la serie Administración de identidades y acceso de Microsoft.
Más información
Para obtener más información acerca del aprovisionamiento de usuarios, vaya a Microsoft TechNet y busque "aprovisionamiento de usuarios".
Para ver cómo Microsoft aborda el aprovisionamiento, vaya a https://www.microsoft.com/technet/itshowcase/content/ensidcon.mspx.
Punto de control del tema
|
Requisitos |
|---|---|
Definición de un objeto de identidad actual para el aprovisionamiento de los flujos de trabajo de la organización, así como de las áreas que se deben mejorar u optimizar. |
|
|
Identificación de las tecnologías que se usan para administrar los ciclos de vida de la identidad del objeto. |
|
Implementación de una solución consolidada para automatizar los flujos de trabajo de aprovisionamiento de la cuenta de usuario común. |
.gif)
Una vez completados los pasos anteriores, su organización habrá cumplido los requisitos mínimos del nivel dinámico para las capacidades de aprovisionamiento de usuarios centralizado y automatizado del modelo de optimización de infraestructuras. Le recomendamos que atienda a la orientación de los recursos de procedimientos recomendados adicionales para el aprovisionamiento con el fin de asegurarse de que los niveles de acceso de usuarios y de seguridad de la red se mantienen de acuerdo con un estándar conocido.
Ir a la siguiente pregunta de autoevaluación.
Requisito: Autenticación basada en directorios de clientes externos y asociados empresariales
Destinatarios
Lea esta sección si no dispone de una herramienta basada en directorios para permitir el acceso autenticado a clientes y asociados comerciales externos.
Introducción
En la Guía de planeación de optimización de infraestructura para implementadores: del nivel básico al estandarizado, analizamos el uso de los servicios de directorio para la autenticación de usuarios. Para pasar al nivel dinámico, la optimización de la infraestructura principal requiere la capacidad de extender la autenticación de forma segura a clientes y asociados comerciales externos cuando sea necesario. La mayoría de las organizaciones necesitan facilitar de alguna manera información a los clientes y asociados comerciales externos de forma continua. Las organizaciones de TI pueden usar las federaciones de identidades para tomar decisiones basadas en los datos de identidad de otras organizaciones, al tiempo que también pueden compartir determinada información acerca de las identidades de sus propios usuarios. Una federación representa un acuerdo entre dos organizaciones con un objetivo común y suele estructurarse de manera que cada organización conserva la administración de su propia información interna, sus directivas de acceso y objetos de identidad.
Fase 1: Evaluación
Es inevitable compartir los datos y la información con las partes interesadas de su organización. Durante la fase de evaluación, hará un inventario de los datos compartidos e indicará cómo se lleva a cabo actualmente. Los resultados de la fase de evaluación será una documentación que incluya recursos en los que los datos y la información se suelen compartir y que muestre dónde una federación puede mejorar la eficacia al proporcionar acceso a las partes interesadas externas de confianza.
Fase 2: Identificación
En función de los recursos identificados durante la fase de evaluación, puede determinar que algunos de los flujos de trabajo existentes puedan hacerse más seguros mediante procesos manuales para controlar el flujo de datos. En los casos en los que el acceso protegido y autenticado por parte de clientes o asociados externos no compromete la seguridad de la organización, usará la fase de identificación para aislar recursos, asociados y clientes prioritarios. Los resultados de la fase de identificación incluirán una lista detallada de esas organizaciones, junto con los recursos relacionados y la correspondiente lista de objetos de identidad a los que se destina el proyecto inicial.
Fase 3: Evaluación y planeación
Como consecuencia del progreso dentro del modelo de optimización de la infraestructura principal y del cumplimiento de los requisitos esenciales del nivel estandarizado, la organización dispondrá por lo menos de una infraestructura de Active Directory. En el modelo también se supone que las organizaciones que se encuentran en el nivel racionalizado conocen Active Directory Application Mode (ADAM). Durante la fase de evaluación y planeación, se examinarán las tecnologías que permiten extender la autenticación del servicio de directorio a las partes interesadas externas, principalmente los Servicios de federación de Active Directory (ADFS), y se planeará la implementación de la solución. Para conocer otras opciones para administrar el acceso a los recursos de extranet, consulte Administración del acceso a extranet: Enfoques de la administración del acceso a extranet en Microsoft TechNet.
Active Directory Application Mode (ADAM)
ADAM ofrece servicios de directorio especialmente a las aplicaciones habilitadas para directorios. ADAM no requiere ni se basa en dominios o bosques de Active Directory. Sin embargo, en entornos en los que existe Active Directory, ADAM puede usar Active Directory para la autenticación de las entidades principales de seguridad de Windows.
Servicios de federación de Active Directory (ADFS)
Servicios de federación de Active Directory (ADFS) es un componente de Microsoft Windows Server 2003 R2 que proporciona clientes basados en explorador (internos o externos a su red) con acceso de inicio de sesión único (SSO) a las aplicaciones protegidas de Internet, incluso si las cuentas de usuario y aplicaciones se encuentran en redes u organizaciones completamente distintas.
Si la aplicación se encuentra en una red y la cuenta de usuario, en otra, al usuario se le solicitan normalmente credenciales secundarias cuando intenta obtener acceso a la aplicación. Estas credenciales secundarias representan la identidad del usuario en el ámbito en que reside la aplicación y suele requerirlas el servidor web que aloja la aplicación para poder tomar la decisión de autorización más apropiada.
Con ADFS, las organizaciones pueden pasar por alto las solicitudes de credenciales secundarias proporcionando relaciones de confianza (confianzas de federación) que pueden usar para proyectar la identidad digital y los derechos de acceso del usuario a los asociados de confianza. En este entorno federado, cada organización continúa administrando sus propias identidades, pero cada una también puede proyectar y aceptar identidades de otras organizaciones con seguridad.
ADFS está estrechamente integrado en Active Directory. ADFS recupera atributos de usuario de Active Directory y autentica usuarios con Active Directory. ADFS también usa la autenticación integrada de Windows.
Mediante la implementación de ADFS, la organización puede ampliar su infraestructura existente de Active Directory para proporcionar acceso a recursos ofrecidos por asociados de confianza en Internet. Estos asociados de confianza pueden incluir terceros externos, otros departamentos o filiales de la misma organización.
Escenarios de federación
ADFS admite tres escenarios de identidades federadas:
SSO web federado
SSO web federado con confianza de bosque
SSO web
SSO web federado y SSO web son los escenarios requeridos para pasar al nivel dinámico en el modelo de infraestructura principal.
SSO web federado
El escenario SSO web federado de ADFS implica comunicación segura, que suele abarcar varios firewalls, redes perimetrales y servidores de resolución de nombres, además de toda la infraestructura de enrutamiento de Internet. La comunicación a través de un entorno SSO web federado puede ayudar a fomentar transacciones en línea más eficaces y seguras entre las organizaciones que están unidas mediante relaciones federadas de confianza.
.gif)
Figura 3. SSO web federado
SSO web federado con confianza de bosque
El escenario SSO web federado con confianza de bosque de ADFS implica dos bosques de Active Directory en una misma organización, como muestra la siguiente ilustración.
.gif)
Figura 4. SSO web federado con confianza de bosque
SSO web
En el escenario SSO web, los usuarios sólo deben autenticarse una vez para tener acceso a varias aplicaciones basadas en Web. En este escenario, todos los usuarios son externos y no existe confianza de federación. Puesto que los servidores web deben ser accesibles por Internet y también poder unirse al dominio de Active Directory, se conectan a dos redes; es decir, son de hosts múltiples. La primera red se conecta a Internet (la red perimetral) para proporcionar la conectividad necesaria. La segunda red contiene el bosque de Active Directory (la red protegida), que no es directamente accesible desde Internet.
.gif)
Figura 5. SSO web
Planeación de la implementación de ADFS
Al planear una implementación de ADFS, tendrá que considerar requisitos esenciales de tecnología, objetivos de proyecto, planeación de asociados o de federación, estrategia de aplicaciones federadas y diseño de infraestructuras.
Requisitos previos
Es necesario que disponga de los siguientes servicios o funcionalidades antes de implementar ADFS:
Active Directory. Se requiere un dominio de Active Directory únicamente para el servidor de federación de recursos. No se usa para alojar cuentas de clientes.
ADAM. ADAM se usa para contener las cuentas de cliente que se usarán para generar testigos de ADFS. Para obtener más información acerca de Active Directory o ADAM, consulte el Apéndice B: Revisión de conceptos clave de ADFS.
Servidor de federación de cuentas o recursos. Este servidor de federación actúa tanto en la función de cuenta como en la función de recurso. El servidor de federación de cuentas o recursos se configura de manera que el servicio de federación incluya valores para una aplicación y para un almacén de cuentas (en este caso, ADAM) que contiene las cuentas de cliente. Para obtener más información, consulte Revisar la función del servidor de federación en la organización del asociado de cuentas y Revisar la función del servidor de federación en la organización del asociado de recursos.
Servidor web habilitado para ADFS. El servidor web habilitado para ADFS puede alojar una aplicación para notificaciones o una aplicación basada en testigos de Windows NT®. El agente web de ADFS confirma que recibe testigos válidos de las cuentas de cliente antes de permitir el acceso al sitio web protegido. Para obtener más información, consulte Cuándo crear un servidor web habilitado para ADFS.
Cliente. Mientras se encuentra en Internet, el cliente obtiene acceso a una aplicación web protegida por ADFS por medio de un explorador web compatible. El equipo cliente del cliente en Internet se comunica directamente con el servidor de federación para autenticarse.
Consideraciones de planeación principales
Las siguientes guías son recursos técnicos para planear los servicios de ADFS. Use estos recursos para ayudar a desarrollar un plan de proyecto para implementar los servicios de ADFS.
Asignación de los objetivos de implementación a un diseño de ADFS
Planeación de la colocación de servidores web habilitados para ADFS
Planeación de la colocación de proxys de servidores de federación
Fase 4: Implementación
Tras haber recopilado información acerca del entorno y decidido un diseño de Servicios de federación de Active Directory (ADFS) siguiendo la orientación que contiene la Guía de diseño de ADFS, puede empezar a planear la implementación del diseño de ADFS de la organización. Con el diseño de ADFS concluido y la información de este tema, puede determinar qué tareas deben llevarse a cabo para implementar ADFS en la organización. Para obtener una orientación técnica detallada acerca de la implementación de ADFS, consulte la Guía de implementación de ADFS de la biblioteca técnica de Windows Server 2003 R2.
Para ver una guía paso a paso acerca de cómo configurar y administrar ADFS, vaya a http://technet2.microsoft.com/WindowsServer/f/?en/library/d022ac37-9b74-4ba1-95aa-55868c0ebd8c1033.mspx.
Más información
Para obtener más información acerca de ADFS, vaya a Microsoft TechNet y busque "ADFS".
Punto de control del tema
|
Requisitos |
|---|---|
|
Validación de la necesidad y los usos para ofrecer acceso autenticado a entidades externas. |
|
Determinación de estrategias y directivas para proporcionar acceso externo a recursos definidos. |
|
Implementación de tecnologías para garantizar el acceso seguro de usuarios externos definidos a servicios definidos. |
Si ha llevado a cabo los pasos enumerados anteriormente, su organización cumple el requisito mínimo del nivel dinámico para las capacidades de autenticación basada en directorios de clientes y asociados comerciales externos del modelo de optimización de infraestructuras. Recomendamos que siga la orientación de recursos adicionales de prácticas recomendadas para la autenticación de asociados y clientes.
Ir a la siguiente pregunta de autoevaluación.