Como configurar tu laboratorio con ADFS usando Windows Server 2012 – Parte 1
Que tal, Mark y Tom con una serie de artículos que creemos les va a gustar. Siento que la mitad de nuestros posts están construyendo algún tipo de laboratorio. En PFE nos encantan los laboratorios.. Así es como la mayoría de nosotros aprendemos. Configura un laboratorio, juega un poco con la tecnología y configúrala. Es diversión para todos, cierto?! Estamos empezando a tener más y más peticiones de clientes acerca de cómo empezar con ADFS. Pensamos que podemos iniciar a todos encaminándolos a través del proceso de cómo crear tu propio laboratorio con ADFS.
Configuración Inicial
Primero necesitas tener un Bosque de AD. Si no tienes uno, checa el artículo de Doug Gabbard. https://blogs.technet.com/b/askpfeplat/archive/2013/01/30/no-excuses-you-need-a-lab-for-active-directory-2012.aspx
Antes de comenzar, asumimos que tienes la siguiente configuración:
- Active Directory Forest
- Servidor para ADFS con Windows Server 2012
- Unido al dominio.
- Configuración de red valida.
Creando una cuenta de Servicio
ADFS funciona con una cuenta de servicio. Esta necesita ser creada antes de ejecutar la instalación.
Algunas advertencias sobre la cuenta de servicio:
#1: No le muevas a los Service Principal Names (SPN) de ninguna cuenta relacionada con ADFS. El asistente de configuración de ADFS configure automáticamente los Service Principal Names (SPN) correctos en esta cuenta de servicio así que no te preocupes por configurar el SPN.
#2: Asegúrate que el nombre de la computadora física de la granja de ADFS sea igual al nombre del servicio ADFS. Si piensas llamar a tu servicio de ADFSsts.markmorow.com, asegúrate que ninguno de los servidores en la granja tengan este mismo nombre. Si lo haces, inmediatamente tendrás un caso de un SPN duplicad, lo cual prevendrá la autenticación por medio de Kerberos hacia esta granja de ADFS. Aquí hay más información en SPNs duplicados:
https://blogs.technet.com/b/askpfeplat/archive/2012/03/29/the-411-on-the-kdc-11-events.aspx
Para mi ambiente de prueba he creado una cuenta llamada ADFS_SVC y mi servidor se llama ADFS01Corp.
Obteniendo los Certificados
Como lo explico Jasmin en https://blogs.technet.com/b/askpfeplat/archive/2013/07/22/faq-on-adfs-part-1.aspx necesitamos tres certificados para ADFS. Pero en realidad, solo se necesita uno para la instalación. Se necesita un certificado para comunicaciones de servidor (SSL). Tenemos tres opciones: [DG1] [MM2] [MM3]
1.) Puedes obtener un certificado firmado públicamente. Como este ambiente es de pruebas tal vez no quieras pagar por uno.
2.) Puedes generar un certificado auto-firmado (self-signed). Aquí hay una Buena guía en como hacerlo. https://www.sslshopper.com/article-how-to-create-a-self-signed-certificate-in-iis-7.html
3.) Puedes requerir un certificado desde tu PKI interna. Tienes PKI interno verdad??? https://social.technet.microsoft.com/wiki/contents/articles/4797.ad-cs-and-pki-step-by-steps-labs-walkthroughs-howto-and-examples.aspx
Yo escogí el #3. Solo utilice un par de horas y pude configurar PKI en mi laboratorio. Las guías son muy fáciles de seguir. No tengas miedo.
Primero necesitamos solicitar un certificado. Hacemos eso desde la consola MMC y agregamos certificados para la cuenta de computadora, Equipo local, clic derecho – Personal, Todas las tareas, solicitar Nuevo certificado.
Seleccionamos Active Directory Enrollment Policy Y hacemos clic en siguiente.
Si no aparece Web Server, asegúrate que tu plantilla de Web Server este publicad y tengas permisos. Como se puede ver necesitamos configuración adicional. Haz clic en el texto azul.
El nombre de nuestro certificado será STS.tudominio.com. Obviamente configure el nombre de acuerdo tus necesidades. Haz clic en OK y finaliza el proceso de certificados.
Instalación de ADFS
OK ahora que tenemos todos nuestros pre-requisitos vamos a hacer la instalación de ADFS.
Empecemos por agregar el rol de ADFS desde Server Manager. Clic en Siguiente.
Esto agregara muchos otros roles y característica adicionales que son necesarios. Haz Clic en siguiente en esta pantalla hasta que llegues a los servicios de ADFS.
Después de dar siguiente en algunas pantallas llegaras a esta ventana. Después hablaremos del proxy ADFS, pero por ahora solo dejaremos el “Federation Service” seleccionado. Continua dando clic en siguiente hasta llegar a Finalizar y después permite que la instalación termine.
Veras un signo de exclamación Amarillo en la parte superior derecha que te avisara que hay configuraciones adicionales que hacer. Haz clic en “Run the AD FS Management snap-in”
Esto abrirá la consola de ADFS para terminar la configuración. Haz clic en “ADFS Federation Server Configuration Wizard”
Dado que este es nuestro primer servidor de ADFS vamos a seleccionar “Create New Federation Service” y después hacer clic en Siguiente.
Estaremos creando una granja de un solo servidor. Clic en siguiente.
ADFS debería de tomar el certificado del servidor automáticamente. Hacemos clic en siguiente.
Escribe la cuenta de servicio que creamos previamente y haz clic en siguiente. La instalación debería de iniciar.
Todo listo. Ahora vamos a configurar la base de datos WID. Si quieres usar una base de datos SQL tienes que hacer la instalación desde la línea de comandos. En la segunda parte de esta serie hablaremos de como configurar un “relaying party” y una aplicación web para ver los claims.
Mark “Next, Next” Morowczynski, Tom “Finish” Moser