Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las organizaciones experimentan ataques que intentan forzar por fuerza bruta, poner en peligro o bloquear las cuentas de usuario mediante el envío de solicitudes de autenticación basadas en contraseñas. Para ayudar a proteger a las organizaciones frente a riesgos, AD FS ha introducido funcionalidades como el bloqueo "inteligente" de extranet y el bloqueo basado en direcciones IP.
Sin embargo, estas mitigaciones son reactivas. Para proporcionar una manera proactiva, para reducir la gravedad de estos ataques, AD FS tiene la capacidad de solicitar otros factores antes de recopilar la contraseña.
Por ejemplo, AD FS 2016 introdujo la autenticación multifactor de Microsoft Entra como autenticación principal para que los códigos OTP de la aplicación Authenticator se pudieran usar como primer factor. A partir de AD FS 2019, puede configurar proveedores de autenticación externos como factores de autenticación principales.
Hay dos escenarios clave que permiten:
Escenario 1: protección de la contraseña
Proteja primero el inicio de sesión basado en contraseña frente a ataques por fuerza bruta y bloqueos al solicitar un factor externo adicional. Una solicitud de contraseña solo se ve cuando la autenticación externa se completa correctamente. Esto elimina una manera cómoda de que los atacantes hayan intentado poner en peligro o deshabilitar cuentas.
Este escenario consta de dos componentes:
- Solicitud de autenticación multifactor de Microsoft Entra (disponible en AD FS 2016 en adelante) o un factor de autenticación externo como autenticación principal
- Nombre de usuario y contraseña como autenticación adicional en AD FS
Escenario 2: sin contraseña
Elimine las contraseñas completamente, pero complete una autenticación segura y multifactor mediante métodos totalmente no basados en contraseñas en AD FS
- Autenticación multifactor de Microsoft Entra con la aplicación Authenticator
- Windows 10 Hello para empresas
- Certificate authentication
- Proveedores de autenticación externos
Concepts
What primary authentication really means is that it's the method the user is prompted for first, prior to additional factors. Anteriormente, los únicos métodos principales disponibles en AD FS eran métodos integrados para la autenticación multifactor de Active Directory o Microsoft Entra u otros almacenes de autenticación LDAP. Los métodos externos se pueden configurar como autenticación "adicional", que tiene lugar después de que la autenticación principal se haya completado correctamente.
En AD FS 2019, la autenticación externa como funcionalidad principal significa que todos los proveedores de autenticación externos registrados en la granja de AD FS (con Register-AdfsAuthenticationProvider) están disponibles para la autenticación principal y la autenticación "adicional". Se pueden habilitar de la misma manera que los proveedores integrados, como la autenticación de formularios y la autenticación de certificados, para uso de intranet o extranet.
Una vez habilitado un proveedor externo para extranet, intranet o ambos, estará disponible para que los usuarios los usen. Si hay más de un método habilitado, los usuarios ven una página de opciones y pueden elegir un método principal, igual que lo hacen para la autenticación adicional.
Prerequisites
Antes de configurar proveedores de autenticación externos como principales, asegúrese de que tiene los siguientes requisitos previos.
- El nivel de comportamiento de la granja de AD FS (FBL) se ha elevado a "4" (este valor se traduce en AD FS 2019).
- Este es el valor FBL predeterminado para las nuevas granjas de AD FS 2019.
- En el caso de las granjas de AD FS basadas en Windows Server 2012 R2 o 2016, se puede elevar el FBL usando el cmdlet de PowerShell Invoke-AdfsFarmBehaviorLevelRaise. Para obtener más información sobre cómo actualizar una granja de AD FS, consulte el artículo de actualización de granjas SQL o granjas WID.
- Puede comprobar el valor de FBL mediante el cmdlet Get-AdfsFarmInformation.
- La granja de AD FS 2019 está configurada para usar las nuevas páginas “paginadas” orientadas al usuario de la versión 2019.
- Este es el comportamiento predeterminado para las nuevas granjas de AD FS 2019.
- En el caso de las granjas de AD FS actualizadas desde Windows Server 2012 R2 o 2016, los flujos paginados se habilitan automáticamente cuando la autenticación externa como principal (la característica descrita en este documento) está habilitada como se describe en la sección siguiente de este artículo.
Habilitación de métodos de autenticación externos como principal
Una vez comprobados los requisitos previos, hay dos maneras de configurar proveedores de autenticación adicionales de AD FS como principales: PowerShell o la consola de administración de AD FS.
Using PowerShell
PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true
El servicio AD FS debe reiniciarse después de habilitar o deshabilitar la autenticación adicional como principal.
Uso de la consola de administración de AD FS
In the AD FS Management console, under Service ->Authentication Methods, under Primary Authentication Methods, select Edit
Active la casilla Permitir proveedores de autenticación adicionales como principal.
El servicio AD FS debe reiniciarse después de habilitar o deshabilitar la autenticación adicional como principal.
Habilitación del nombre de usuario y la contraseña como autenticación adicional
Para completar el escenario de "proteger la contraseña", habilite el nombre de usuario y la contraseña como autenticación adicional mediante PowerShell o la consola de administración de AD FS. Se proporcionan ejemplos para ambos métodos.
Habilitación del nombre de usuario y la contraseña como autenticación adicional mediante PowerShell
PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider
PS C:\>$providers = $providers + "FormsAuthentication"
PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers
Habilitación del nombre de usuario y la contraseña como autenticación adicional mediante la consola de administración de AD FS
In the AD FS Management console, under Service ->Authentication Methods, under Additional Authentication Methods, select Edit
Select the checkbox for Forms Authentication to enable username and password as additional authentication.