Cómo implementar AD FS en Azure

• Paso 1: Creación de sub-redes

• En el portal de Azure, vaya a Crear un recurso >Redes >Virtual Network > Create Virtual Network Cree una nueva red virtual y divídala en dos sub-redes. Esto dividirá la red en una subred interior y una zona desmilitarizada (DMZ, Demilitarized Zone), que se utilizará para implementar servidores proxy de aplicaciones web (WAP, Web Application Proxy). Los servidores WAP ayudan a los usuarios a iniciar sesión utilizando AD FS incluso estando fuera de la red de la empresa.

• Cada una de estas sub-redes necesita un grupo de seguridad de red (NSG) asociado. Vaya a Crear un recurso > Redes > Grupo de Seguridad de Red. En Crear grupo de seguridad de red, especifique la suscripción, el grupo de recursos, el nombre y la región. Seleccione la pestaña Crear. Si ve una notificación que dice Validación aprobada, a continuación, haga clic en Crear.

  Una vez hecho esto, busque Interfaces de red en el archivo en la pestaña Buscar en la parte superior del portal de Azure. Y, a continuación, haga clic en la subred a la que desea asignar el grupo de seguridad de red recién creado. Vaya a Configuración > Grupo de Seguridad de Red > Editar y, a continuación, seleccione el grupo de seguridad de red pertinente. La NSG contendrá listas de control de acceso que regularán y filtrarán el flujo de tráfico en la red.

• Paso 2: Establecimiento de una conexión a la red local

• Azure ofrece tres tipos de conexiones a la red local:
  1. Punto a sitio (P2S, Point-to-site): establece una red VPN entre un único servidor AD FS local y la red Azure. Utiliza certificados para autenticar el servidor. Si el servidor AD FS deja de funcionar, es necesario restablecer la conexión.
  2. Red virtual de sitio a sitio (S2S, Site-to-site): Esto crea una conexión más persistente entre varios servidores locales y la red Azure.
  3. ExpressRoute: Esta es la opción más segura de las tres. Se trata de una conexión privada habilitada en la que los datos no atraviesan la Internet pública.
• Puede elegir el tipo de conectividad que necesita basado en las necesidades de su organización.

• Paso 3: Creación de cuentas de almacenamiento

• En Azure, cree dos cuentas de almacenamiento haciendo clic en Todos los servicios en la parte superior izquierda del portal y busque Cuentas de almacenamiento o escriba Cuentas de almacenamiento para encontrarlo. Deberá vincular la cuenta de almacenamiento al grupo de recursos que se crea en el paso siguiente.

• Paso 4: Creación de un grupo de recursos

• Un grupo de recursos actúa como contenedor de todos los recursos conectados a un servicio. En este caso, cree un grupo de recursos para albergar todos los recursos conectados a AD FS. Utilice el siguiente cmdlet en Azure PowerShell para crear un grupo de recursos:
  1. New-AzResourceGroup
  2. Name NewResourceGroup
  3. Location PreferredLocation

• Paso 5: Creación de conjuntos de disponibilidad e implantación de máquinas virtuales (VM)

• Cree conjuntos de disponibilidad que agruparán dos máquinas virtuales cada uno. Las dos máquinas responderán a las necesidades de alta disponibilidad de las empresas. Para crear conjuntos de disponibilidad, utilice el siguiente cmdlet en Azure PowerShell:
  1. New-AzAvailabilitySet
  2. Location "PreferredLocation"
  3. Name "myAvailabilitySet"
  4. ResourceGroupName "NewResourceGroup"
  5. SKU alineado
  6. PlatformFaultDomainCount 2
  7. PlatformUpdateDomainCount 2
• A continuación, cree e implante cuatro máquinas virtuales: dos para la función DC/AD FS y dos para la función WAP. Utilice el cmdlet New-AzVm en Azure PowerShell para crear nuevas máquinas virtuales en el conjunto de disponibilidad.

• Paso 6: Configuración del rol de AD FS

• Realice réplicas del controlador de dominio local en las dos máquinas virtuales asignadas a los roles de DC.
• Configure AD FS en ambos.

• Paso 7: Configuración del Internal Load Balancer

• En la parte superior izquierda del portal de Azure, haga clic en Crear un recurso y vaya hasta Redes >Load Balancer, y haga clic en el signo más. Asigne el equilibrador de carga a la subred virtual asociada a AD FS porque se utilizará para administrar las solicitudes entre los servidores AD FS y el equipo cliente.
• Configurar los grupos de backend de ILB. Seleccione el Load Balancer y vaya hasta Configuración >Backend Pools > Agregar. El equilibrador de carga usa un grupo de backend de direcciones IP de las interfaces de redes virtuales asociadas a él. Esto se usa para distribuir las solicitudes entre las dos máquinas virtuales.
• Actualización del ILB en el servidor DNS

• Paso 8: Configuración del servidor proxy de acceso web

• Instale WAP en las máquinas virtuales configuradas para WAP.

• Paso 9: Configuración del equilibrio de carga externo

• En la parte superior izquierda del portal de Azure, haga clic en Crear un recurso y vaya hasta Redes > Load Balancer y haga clic en el signo más. Seleccione el Esquema como público, para que este Equilibrador de carga tenga una IP pública.
• Actualice el servidor DNS con esta IP pública.
• Configure el grupo de backend como se detalla en el paso 6.

AD FS ya se ha configurado en Azure AD.

ADAudit Plus, una herramienta de informes y auditoría de Active Directory en tiempo real, puede ayudarle a realizar auditorías de Azure AD. Contiene numerosos informes sobre inicios de sesión, gestión de usuarios, etc., que pueden ayudar a auditar y solucionar problemas de Azure AD y los servicios conectados a él. Puede generar informes completos y fáciles de usar en un abrir y cerrar de ojos.