Por: Jeffrey Schwartz
Servicios de federación de Active Directory (AD FS) 2.0 de Microsoft promete simplificar la autenticación segura para varios sistemas. También hará lo mismo para el portafolio de Microsoft basado en cloud. Además, se espera que la interoperabilidad extendida de AD FS 2.0 ofrezca la misma autenticación segura para otros proveedores de nube, como Amazon.com Inc., Google Inc. y Salesforce.com Inc.
AD FS 2.0, anteriormente denominado “Geneva Server”, se lanzó en mayo. Esta es la tan esperada extensión a Microsoft Active Directory que proporciona administración de identidad federada interoperable basada en notificaciones. Al agregar AD FS 2.0 a una implementación de AD existente, la TI permite a las personas iniciar sesión una sola vez a Active Directory y luego usar sus credenciales para iniciar sesión en cualquier otra aplicación o sistema con recursos de solicitudes.
John “J.G.” Chirapurath, director senior del grupo empresarial de identidad y seguridad de Microsoft, indica: “en el fondo, estamos simplificando la manera en la que debe funcionar la obtención del acceso y como asuntos como iniciar sesión una sola vez deberían funcionar desde lo local hasta la nube”.
A diferencia del primer lanzamiento, AD FS 2.0 es compatible con el lenguaje de marcado de aserción de seguridad (SAML) 2.0, lenguaje ampliamente implementado. Muchos servicios de nube de terceros usan autenticación basada en SAML 2.0. Este es el componente clave para proporcionar interoperabilidad con otras aplicaciones y servicios de nube.
Kevin von Keyserling es presidente y director general de Certified Security Solutions Inc. (CSS), empresa radicada en Independence, Ohio, además de ser integrador de sistemas y Gold Certified Partner de Microsoft. Él comenta: “consideramos que la federación y la autenticación y autorización basada en notificaciones son componentes absolutamente fundamentales para el éxito y la acogida de servicios basados en cloud”.
Si bien AD FS 2.0 no necesariamente enfrentará todos los problemas de seguridad relacionados con el movimiento de sistemas tradicionales y datos a la nube, todo indica que elimina una barrera clave, especialmente para aplicaciones tales como SharePoint y con toda certeza para la gama de aplicaciones. Muchas empresas evitan usar servicios de nube, como Windows Azure, por preocupaciones relacionadas con la seguridad y por la falta de control en la autenticación.
“Los problemas de seguridad, en especial en lo relativo a identidad y la administración de esas identidades, son quizás el mayor obstáculo para alcanzar el nirvana de cloud computing”, dice Chirapurath. “De igual manera que el correo electrónico condujo al uso explosivo de Active Directory, los servicios de federación de Active Directory harán lo mismo para la nube”.
Dado que AD FS 2.0 se puede integrar fácilmente dentro de aplicaciones que se ejecutan en Windows Azure, las organizaciones pueden hacer tokens digitales basados en notificaciones o selectores de identidad que funcionen tanto en Windows Server 2008 como en los servicios de Microsoft basados en cloud, lo que permite crear redes de nube híbridas. La meta es permitir a un usuario que autentique sin ningún problema en Windows Server o Windows Azure y comparta esas credenciales con aplicaciones que puedan aceptar tokens basados en SAML 2.0.
Los desarrolladores también pueden hacer que sus aplicaciones .NET usen recursos de identidad con Microsoft Windows Identity Foundation (WIF).
WIF proporciona el marco subyacente del modelo de identidad basado en notificaciones de Microsoft. Las aplicaciones desarrolladas con WIF poseen esquemas de autenticación, los cuales se implementaron en Microsoft .NET framework, tales como atributos de identificación, funciones, grupos y políticas, además de maneras de administrar esas notificaciones. Las aplicaciones creadas por desarrolladores empresariales e ISV basadas en WIF también podrán aceptar estas notificaciones.
La autenticación de paso federada en AD FS 2.0 está habilitada para aceptar tokens basados en los estándares de federación de servicios web (WSFED), WS-Trust y SAML. Si bien Microsoft ha promocionado WSFED por un largo tiempo, sólo hace 18 meses decidió dar compatibilidad a la especificación SAML, cuyo uso es mucho más extendido.
Llevarlo a la banca
Danny Kim, CTO de FullArmor Corp, un Microsoft Gold Certified Partner radicado en Boston, quien ha realizado pruebas de esfuerzo para AD FS 2.0, comenta que ya tiene clientes importantes que desean usarlo para implementar sistemas en la nube.
Kim dice: “AD FS 2.0 vincula las identidades a nuestro espacio del servidor y a nuestros servicios basados en cloud y tenemos una versión que funciona a través de todos estos entornos”.
Según Kim, un importante banco de inversiones de Nueva York está entre aquellos que desean usarlo ahora mismo para permitirle a los usuarios autenticarse en aplicaciones alojadas en los sistemas basados en Windows Azure de FullArmor.
“Esta es una empresa preocupada por la seguridad que indicó ‘a no ser que la seguridad esté garantizada, no implementaremos estos servicios en la nube’”, comenta Kim. A esto agrega que, al mismo tiempo, el banco busca eventualmente dejar de comprar y usar servidores tan pronto como sea seguro desplazarse a la nube. AD FS 2.0 asigna el token del usuario en AD, el cual se pasa a través de otros sistemas habilitados para AD FS 2.0, explica Kim.
Los funcionarios de Microsoft dicen que algo igualmente importante es el hecho de que Microsoft ahora puede hacer pasar esas notificaciones a través de cualquier sistema basado en SAML. Microsoft realizó pruebas de interoperabilidad con otros proveedores por medio de Liberty Alliance, una organización de estándares que supervisa las especificaciones de administración de identidad.
“Nos reunimos con un grupo de proveedores… y ellos probaron la implementación del protocolo SAML y descubrieron que operaba en conformidad en una amplia gama de casos de prueba” indicó Matt Steele, administrador senior de programa del equipo AD FS de Microsoft, en una conversación de Vídeo de Channel 9 de Microsoft después de que se publicara la versión RC de AD FS. “Esto significa que podemos publicitar, como siempre hemos querido, que AD FS 2.0 implementa el protocolo SAML y que es interoperativo con todos esos proveedores en todos esos casos de prueba”.
¿Coincidirá la implementación con las pruebas?
Pese a esto, algunos sugieren que es posible que Microsoft tenga expectativas exageradas. Por ejemplo, sigue sin respuesta qué tan compatibles son los tokens de SAML con aquellos proporcionados por las plataformas de otros proveedores, dice Patrick Harding, CTO de Ping Identity Corp., el cual proporciona su propio servidor de inicio de sesión único que funciona a través de varias plataformas.
“Hemos estado trabajando con SAML desde hace cuatro años” comenta Harding, cuya compañía es tanto competencia como partner de Microsoft. “Tenemos completamente claro que SAML en laboratorio y SAML en el mundo real pueden ser muy, muy diferentes, especialmente cuando existen muchos proveedores de SaaS [Software como servicio] que eligen escribir sus propias implementaciones de SAML; y siempre hay inconvenientes con esos”.
[....]
Hay muchos problemas relacionados con seguridad de nube que podrían ser desincentivos para implementar aplicaciones en la nube. Cumplimiento, integridad de datos y comprensión de las implicaciones de la arquitectura multiempresa son sólo unos pocos ejemplos.
Sin embargo, en lo referente a la administración de identidad, Microsoft y otros han dado adelantos clave en el refuerzo de la infraestructura para atravesar identidades comunes, pero sigue habiendo trabajo pendiente del lado del cliente. De todas maneras, con AD FS 2.0, las empresas que consideran usar los servicios de nube se pueden beneficiar de agregar una actualización gratuita a Windows Server.
“El usuario final puede tener la misma experiencia en la nube que la que tiene en su propia red; esa es una de las ventajas o incentivos para las grandes empresas que están evaluando usar Federation Services y expandirlo”, indica von Keyserling. “Esta aplicación proporciona servicios de nube sin tener que detenerse y lidiar con el restablecimiento de contraseñas y la administración de credenciales, además de permitir [a las empresas] concentrarse en la ejecución de su estrategia de negocios en lugar de los inconvenientes cotidianos asociados a lidiar con problemas de seguridad”.
Contenido completo en: Technet
See original here:
Servicios de federación de Active Directory 2.0: Puertas abiertas a la nube |
