Configurar un equipo para el rol de servidor proxy de federación
Después de configurar un equipo con los certificados necesarios y de instalar el servicio de rol de proxy de servicio de federación, ya puede configurar el equipo para que se convierta en un servidor proxy de federación. Puede realizar el siguiente procedimiento para que el equipo actúe como servidor proxy de federación.
Importante
Antes de realizar este procedimiento para configurar el equipo de servidor proxy de federación, asegúrese de que ha seguido todos los pasos descritos en Lista de comprobación: Configurar un servidor proxy de federación en el orden en el que aparecen. Asegúrese de que se han implementado al menos un servidor de federación y todas las credenciales necesarias para la autorización de la configuración del servidor proxy de federación. Asimismo, debes configurar enlaces de Capa de sockets seguros (SSL) en el sitio web predeterminado. De lo contrario, el asistente no se iniciará. Todas estas tareas deben completarse para que el servidor proxy de federación funcione.
Una vez que haya configurado el equipo, compruebe que el servidor proxy de federación funciona del modo esperado. Para obtener más información, consulta Comprobar que un servidor proxy de federación está operativo.
La pertenencia al grupo Administradores o equivalente en el equipo local es el requisito mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas adecuadas y pertenencias a grupos en Grupos predeterminados de dominio y locales.
Cómo configurar un equipo para el rol de servidor proxy de federación
Hay dos maneras de iniciar el Asistente para la configuración del servidor de federación de AD FS. Para iniciar el asistente, realiza una de las acciones siguientes:
En la pantalla Inicio, escriba Asistente para la configuración de servidores proxy de federación de AD FS y, a continuación, presione ENTER.
En cualquier momento después de completar el asistente de instalación, abra el Explorador de Windows, vaya a la carpeta C:\Windows\ADFS y haga doble clic en FsConfigWizard.exe.
Mediante cualquiera de los métodos, inicie el asistente y, en la página Bienvenida, haga clic en Siguiente.
En la página Especificar el nombre del Servicio de federación, en Nombre del Servicio de federación, escriba el nombre que representa el Servicio de federación para el que este equipo actuará en el rol de servidor proxy.
En función de los requisitos específicos de tu red, determina si tendrás que utilizar un servidor proxy HTTP para reenviar las solicitudes al servicio de federación. Si lo necesita, seleccione la casilla de verificación Usar un servidor proxy HTTP al enviar solicitudes a este Servicio de federación, en Dirección del servidor proxy HTTP, escriba la dirección del servidor proxy, haga clic en Probar conexión para comprobar la conectividad y luego haga clic en Siguiente.
Cuando se te pida, especifica las credenciales necesarias para establecer una relación de confianza entre este servidor proxy de federación y el servicio de federación.
De manera predeterminada, solo la cuenta de servicio que usan el servicio de federación o un miembro del grupo local BUILTIN\Administrators puede autorizar un servidor proxy de federación.
En la página Listo para aplicar configuración, comprueba los detalles. Si la configuración parece ser correcta, haga clic en Siguiente para comenzar a configurar este equipo con estos valores de servidor proxy.
En la página Resultados de la configuración, comprueba los resultados. Una vez completados todos los pasos de configuración, haga clic en Cerrar para salir del asistente.
No hay ningún complemento de Microsoft Management Console (MMC) para administrar los servidores proxy de federación. Para configurar los parámetros de cada uno de los servidores proxy de federación de su organización, use cmdlets de Windows PowerShell.
Cómo configurar un puerto TCP/IP alternativo para operaciones de proxy
De manera predeterminada, el servicio de servidor proxy de federación está configurado para usar el puerto TCP 443 para el tráfico HTTPS y el puerto 80 para el tráfico HTTP para la comunicación con el servidor de federación. Si deseas configurar puertos diferentes, como el puerto TCP 444 para HTTPS y el puerto 81 para HTTP, debes llevar a cabo las siguientes tareas.
Nota
Si piensa implementar inicialmente AD FS para operar con puertos TCP/IP alternativos, primero debe modificar los puertos de sus enlaces de protocolo IIS para HTTP y HTTPS en el servidor de federación y en los equipos de servidor proxy de federación. Debe hacerlo antes de ejecutar el asistente para configuración de AD FS para la configuración inicial. Si configura primero Internet Information Services (IIS), la configuración de puerto TCP/IP alternativa se detectará cuando se lleve a cabo la configuración con el asistente en AD FS, y el siguiente procedimiento no será necesario. Si deseas cambiar más adelante la configuración del puerto, actualiza primero los enlaces de protocolo IIS y utiliza el siguiente procedimiento para actualizar correctamente la configuración del puerto. Para obtener más información sobre esta configuración, consulte el artículo 149605 en Microsoft Knowledge Base.
Cómo configurar puertos TCP/IP alternativos para que los use el servidor proxy de federación
Configura el servidor de federación para que utilice los puertos no predeterminados.
Para ello, especifica el número del puerto no predeterminado incluyéndolo con las opciones HttpsPort y HttpPort como parte del cmdlet Set-ADFSProperties. Por ejemplo, para configurar estos puertos, use los siguientes comandos en la sesión de Windows PowerShell en el equipo del servidor de federación:
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81Configure el servidor de federación para que utilice los puertos no predeterminados.
Para ello, especifique el número del puerto no predeterminado incluyéndolo con las opciones HttpsPort y HttpPort como parte del cmdlet Set-ADFSProxyProperties . Por ejemplo, para configurar estos puertos, use los siguientes comandos en la sesión de Windows PowerShell en el equipo del servidor de federación:
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81Nota
Las direcciones URL del punto de conexión no están habilitadas de forma predeterminada para el servicio de servidor proxy de federación. Si va a configurar una nueva instalación del servidor de federación, primero debe habilitar los puntos de conexión del servicio de servidor proxy de federación. Por ejemplo, se da por hecho que has habilitado para proxy todos los extremos a los que hace referencia el ejemplo del procedimiento, seleccionándolos en el complemento Administración de AD FS y seleccionando Habilitar en proxy.
Actualice la instalación de IIS en el servidor proxy de federación, de modo que los extremos del Lenguaje de marcado de aserción de seguridad (SAML) y de WS-Trust se configuren para reflejar el número del puerto actualizado. Si desea hacerlo, puede usar el bloc de notas para modificar lo indicado más adelante en el archivo Web.config, que se encuentra en systemdrive%\inetpub\adfs\ls\ en el equipo de servidor proxy de federación. Por ejemplo, si suponemos que tiene un servidor de federación denominado sts1.contoso.com y que el número del puerto nuevo es 444, debe examinar la ubicación del archivo Web.config, abrirlo en el bloc de notas en el equipo de servidor proxy de federación, buscar la siguiente sección, modificar el número de puerto como se indica a continuación, guardar los cambios y salir del bloc de notas.
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />Agregue la cuenta de usuario de servicio del servidor proxy de federación a la lista de control de acceso (ACL) para las direcciones URL del punto de conexión asociadas. Por ejemplo, si el número de puerto es 1234 y la cuenta de usuario que se usa para ejecutar el servicio del servidor proxy de federación AD FS es la cuenta de servicio de red integrada, escriba el siguiente comando en un símbolo del sistema:
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"Los comandos anteriores deben ejecutarse tanto en el servidor de federación como en los equipos del servidor proxy de federación.
Referencias adicionales
Lista de comprobación: configuración de un servidor proxy de federación