Lista de comprobación: configurar un servidor de federación

  • Artículo

Esta lista de comprobación incluye las tareas de implementación necesarias para preparar un servidor que ejecuta Windows Server® 2012 para el rol de servidor de federación en Servicios de federación de Active Directory (AD FS) (AD FS).

Nota

Complete las tareas de esta lista de comprobación en orden. Cuando un vínculo de referencia le dirija a un procedimiento, vuelva a este tema tras completar los pasos de este procedimiento, de tal forma que pueda continuar con las tareas restantes de la lista de comprobación.

Icon for the Setting up a federation server check list.Lista de comprobación: Configuración de un servidor de federación

Tarea Referencia
Antes de empezar a implementar los servidores de federación de AD FS, revise; 1.) ventajas y desventajas de elegir Windows Internal Database (WID) o SQL Server almacenar la base de datos de configuración de AD FS 2). Tipos de topología de implementación de AD FS y sus recomendaciones de ubicación de servidor y diseño de red asociados. Icon for the Determine Your AD FS Deployment Topology link you can use in reference to setting up a federation server.Determinar la topología de implementación de AD FS

Icon for the AD FS Deployment Topology Considerations link you can use in reference to setting up a federation server.Consideraciones sobre la topología de implementación de AD FS
Revise la guía de planeamiento de la capacidad de AD FS para determinar el número adecuado de servidores de federación que debe usar en el entorno de producción. Icon for the Planning for Federation Server Capacity link you can use in reference to setting up a federation server.Planeación de la capacidad del servidor de federación
Revise la información de la Guía de diseño de AD FS sobre dónde colocar servidores de federación en su organización Icon for the Planning Federation Server Placement link you can use in reference to setting up a federation server.Planeación de la ubicación del servidor de federación

Icon for the Where to Place a Federation Server link you can use in reference to setting up a federation server.Dónde colocar un servidor de federación
Determine si un servidor de federación independiente o una granja de servidores de federación es mejor para la implementación. Icon for the When to Create a Federation Server link you can use in reference to setting up a federation server.Cuándo crear un servidor de federación

Icon for the When to Create a Federation Server Farm link you can use in reference to setting up a federation server.Cuándo se debe crear una granja de servidores de federación
Determine si este nuevo servidor de federación se creará en la organización del asociado de cuenta o en la organización del asociado de recursos. Icon for the Review the Role of the Federation Server in the Account Partner link you can use in reference to setting up a federation server.Revisar el rol del servidor de federación en el asociado de cuenta

Icon for the Review the Role of the Federation Server in the Resource Partner link you can use in reference to setting up a federation server.Revisar el rol del servidor de federación en el asociado de recurso
Revise la forma en que los servidores de federación usan certificados de comunicación de servicio y certificados de firma de tokens para autenticar de forma segura las solicitudes de proxy de servidor de federación y cliente. Precaución: Aunque la práctica habitual era usar certificados con nombres de host sin calificar, como https://myserver, estos certificados no tienen valor de seguridad y pueden permitir que un atacante suplante un servicio de federación de AD FS para clientes de empresa. Por lo tanto, se recomienda usar un nombre de dominio completo (FQDN), como https://myserver.contoso.com y usar solo certificados SSL emitidos al FQDN del servicio de federación. Icon for the Certificate Requirements for Federation Servers link you can use in reference to setting up a federation server.Requisitos de certificado para servidores de federación
Revise la información sobre cómo actualizar el sistema de nombres de dominio (DNS) de red corporativa para que se pueda producir una resolución correcta de nombres en los servidores de federación. Icon for the Name Resolution Requirements for Federation Servers link you can use in reference to setting up a federation server.Requisitos de resolución de nombres para servidores de federación
Únase al equipo que se convertirá en el servidor de federación en un dominio del bosque de asociado de cuenta o bosque de asociado de recursos donde se usará para autenticar a los usuarios de ese bosque o desde bosques de confianza. Nota: Si desea configurar un servidor de federación en la organización del asociado de cuenta, el equipo primero debe estar unido a cualquier dominio del bosque donde se usará el servidor de federación para autenticar a los usuarios de ese bosque o de bosques de confianza. Icon for the Join a Computer to a Domain link you can use in reference to setting up a federation server.Unir un equipo a un dominio
Cree un registro de recursos en el DNS de red corporativa que apunte el nombre de host DNS del servidor de federación a la dirección IP del servidor de federación. Icon for the Add a Host (A) Resource Record to Corporate DNS for a Federation Server link you can use in reference to setting up a federation server.Agregar un registro de recursos de host (A) a DNS corporativo para un servidor de federación
(Opcional) Si va a agregar un servidor de federación a una granja de servidores de federación, es posible que tenga que exportar primero la clave privada del certificado de firma de tokens existente (en el primer servidor de federación de la granja) para que tenga un formato de archivo del certificado listo cuando otros servidores de federación deben importar el mismo certificado.

La exportación de la clave privada no es necesaria cuando varios equipos (sin necesidad de exportar) pueden reutilizar el certificado de autenticación del servidor emitido o cuando obtenga certificados de autenticación de servidor únicos para cada servidor de federación de la granja de servidores. Nota: El complemento Administración de AD FS hace referencia a los certificados de autenticación de servidor para los servidores de federación como certificados de comunicación de servicio.

 Icon for the Export the Private Key Portion of a Server Authentication Certificate link you can use in reference to setting up a federation server.Exportación de la parte de clave privada de un certificado de autenticación de servidor
Después de obtener un certificado de autenticación de servidor (o clave privada) de una entidad de certificación (CA), debe importar el archivo de certificado al sitio web predeterminado para cada servidor de federación. Nota:La instalación de este certificado en el sitio web predeterminado es un requisito para poder utilizar el Asistente para la configuración del servidor de federación de AD FS. Icon for the Import a Server Authentication Certificate to the Default Web Site link you can use in reference to setting up a federation server.Importar un certificado de autenticación de servidor al sitio web predeterminado
(Opcional) Como alternativa a obtener un certificado de autenticación de servidor de una entidad de certificación, puede usar Internet Information Services (IIS) para crear un certificado de ejemplo para el servidor de federación. Precaución: No es un procedimiento recomendado de seguridad implementar un servidor de federación en un entorno de producción mediante un certificado de autenticación de servidor autofirmado. Icon for the IIS: Create a Self-Signed Server Certificate link you can use in reference to setting up a federation server.IIS: cree un certificado de servidor Self-Signed y complete el procedimiento Importar un certificado de autenticación de servidor al sitio web predeterminado
Si va a configurar un entorno de granja de servidores de federación en una organización asociada de cuenta, debe crear y configurar una cuenta de servicio dedicada en Active Directory Domain Services (AD DS) donde residirá la granja de servidores y configurará cada servidor de federación de la granja de servidores para usar esta cuenta. Al realizar este procedimiento, permitirá que los clientes de la red corporativa se autentiquen en cualquiera de los servidores de federación de la granja mediante la autenticación integrada de Windows. Icon for the Manually Configure a Service Account for a Federation Server Farm link you can use in reference to setting up a federation server.Configurar manualmente una cuenta de servicio para una granja de servidores de federación
Instale el servicio de rol servicio de federación en el equipo que se convertirá en el servidor de federación. Icon for the Install the Federation Service Role Service link you can use in reference to setting up a federation server.Instalación del servicio de rol de federación
Configura el software AD FS en el equipo para que tenga el rol de servidor de federación mediante el Asistente para la configuración del servidor de federación de AD FS.

Siga este procedimiento cuando quiera configurar un servidor de federación independiente, cree el primer servidor de federación en una nueva granja de servidores o una une un equipo a una granja de servidores de federación existente. Nota: En el caso de un diseño de inicio de sesión único (SSO) web federado, debe tener por lo menos un servidor de federación en la organización del asociado de cuenta y por lo menos un servidor de federación en la organización del asociado de recurso.

 Icon for the Create a Stand-Alone Federation Server link you can use in reference to setting up a federation server.Crear un servidor de federación independiente

Icon for the Create the First Federation Server in a Federation Server Farm link you can use in reference to setting up a federation server.Crear el primer servidor de federación en una granja de servidores de federación

Icon for the Add a Federation Server to a Federation Server Farm link you can use in reference to setting up a federation server.Agregar un servidor de federación a una granja de servidores de federación
(Opcional) Use el complemento AD FS Management para agregar y configurar los certificados de AD FS necesarios para implementar el diseño. Para obtener más información sobre cuándo agregar o cambiar certificados mediante el complemento, vea Requisitos de certificado para servidores de federación. Icon for the Add a Token-Signing Certificate link you can use in reference to setting up a federation server.Agregar un certificado de Token-Signing

Icon for the Add a Token-Decrypting Certificate link you can use in reference to setting up a federation server.Agregar un certificado de Token-Decrypting

Icon for the Set a Service Communications Certificate link you can use in reference to setting up a federation server.Establecimiento de un certificado de comunicaciones de servicio
Si este es el primer servidor de federación de la organización, configure el servicio de federación para que se ajuste al diseño de AD FS. Icon for the Checklist: Configuring the Account Partner Organization link you can use in reference to setting up a federation server.Lista de comprobación: Configuración de la organización de asociados de cuenta

Icon for the Checklist: Configuring the Resource Partner Organization link you can use in reference to setting up a federation server.Lista de comprobación: configuración de la organización del asociado del recurso
Desde un equipo cliente, compruebe que el servidor de federación está operativo. setting up a federated serverCompruebe que un servidor de federación está operativo