Compartir a través de

Configurar un equipo para el rol de servidor proxy de federación

Después de configurar un equipo con los certificados necesarios y de instalar el servicio de rol de proxy de servicio de federación, ya puede configurar el equipo para que se convierta en un servidor proxy de federación. Puede usar el procedimiento siguiente para que el equipo actúe en el rol proxy de servidor de federación.

Importante

Antes de usar este procedimiento para configurar el equipo proxy del servidor de federación, asegúrese de que ha seguido todos los pasos descritos en Lista de comprobación: Configuración de un proxy de servidor de federación en el orden en que se muestran. Asegúrese de que se implementa al menos un servidor de federación y de que se implementan todas las credenciales necesarias para autorizar una configuración de proxy de servidor de federación. Asimismo, debes configurar enlaces de Capa de sockets seguros (SSL) en el sitio web predeterminado. De lo contrario, el asistente no se iniciará. Todas estas tareas deben completarse para que este proxy de servidor de federación pueda funcionar.

Después de terminar de configurar el equipo, compruebe que el proxy del servidor de federación funciona según lo previsto. Para obtener más información, vea Comprobar que un proxy de servidor de federación está operativo.

La pertenencia al grupo Administradores o equivalente en el equipo local es el requisito mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en los grupos predeterminados de dominio y local.

Para configurar un equipo para el rol de proxy del servidor de federación

  1. Hay dos maneras de iniciar el Asistente para la configuración del servidor de federación de AD FS. Para iniciar el asistente, realiza una de las acciones siguientes:

    • En la pantalla Inicio , escribaAsistente para configuración de proxy del servidor de federación de AD FS y presione ENTRAR.

    • Cada vez que se complete el asistente para la instalación, abra el Explorador de Windows, vaya a la carpeta C:\Windows\ADFS y, a continuación, haga doble clic en FspConfigWizard.exe.

  2. Con cualquiera de los métodos, inicie el asistente y, en la página principal , haga clic en Siguiente.

  3. En la página Especificar Nombre del Servicio de Federación, bajo Nombre del Servicio de Federación, escriba el nombre que representa al Servicio de Federación para el cual este equipo actuará como proxy.

  4. En función de sus requisitos de red específicos, determine si necesitará usar un servidor proxy HTTP para reenviar solicitudes al servicio de federación. Si es así, active la casilla Usar un servidor proxy HTTP al enviar solicitudes a este servicio de federación , en Dirección del servidor proxy HTTP , escriba la dirección del servidor proxy, haga clic en Probar conexión para comprobar la conectividad y, a continuación, haga clic en Siguiente.

  5. Cuando se le solicite, especifique las credenciales necesarias para establecer una confianza entre este proxy de servidor de federación y el Servicio de federación.

    De forma predeterminada, solo la cuenta de servicio utilizada por el Servicio de federación o un miembro del grupo LOCAL BUILTIN\Administrators puede autorizar un proxy de servidor de federación.

  6. En la página Listo para aplicar configuración, comprueba los detalles. Si la configuración parece ser correcta, haga clic en Siguiente para empezar a configurar este equipo con estas opciones de proxy.

  7. En la página Resultados de la configuración, comprueba los resultados. Una vez completados todos los pasos de configuración, haga clic en Cerrar para salir del asistente.

    No hay ningún complemento de Microsoft Management Console (MMC) que se use para administrar los proxy del servidor de federación. Para configurar las opciones de cada uno de los proxy de servidor de federación de la organización, use los cmdlets de Windows PowerShell.

Configuración de un puerto TCP/IP alternativo para operaciones de proxy

De forma predeterminada, el servicio proxy del servidor de federación está configurado para usar el puerto TCP 443 para el tráfico HTTPS y el puerto 80 para el tráfico HTTP para la comunicación con el servidor de federación. Para configurar puertos diferentes, como el puerto TCP 444 para HTTPS y el puerto 81 para HTTP, se deben completar las siguientes tareas.

Nota:

Si tiene previsto implementar inicialmente AD FS para funcionar con puertos TCP/IP alternativos, primero debe modificar los puertos en los enlaces de protocolo IIS para HTTP y HTTPS tanto en el servidor de federación como en los equipos proxy del servidor de federación. Esto debe ocurrir antes de ejecutar los asistentes de configuración de AD FS para la configuración inicial. Si configura Internet Information Services (IIS) en primer lugar, la configuración de puerto TCP/IP alternativa se detecta cuando se produce la configuración basada en el asistente en AD FS y no es necesario el procedimiento siguiente. Si desea cambiar la configuración del puerto más adelante, actualice primero los enlaces del protocolo IIS y, a continuación, use el procedimiento siguiente para actualizar la configuración del puerto correctamente. Para obtener más información sobre cómo editar enlaces de IIS, consulte el artículo 149605 en Microsoft Knowledge Base.

Para configurar puertos TCP/IP alternativos para que el proxy del servidor de federación use

  1. Configure el servidor de federación para usar los puertos no predeterminados.

    Para ello, especifique el número de puerto no predeterminado incluyiéndolo con las opciones HttpsPort y HttpPort como parte del cmdlet Set-ADFSProperties . Por ejemplo, para configurar estos puertos, use los siguientes comandos en la sesión de Windows PowerShell en el equipo del servidor de federación:

    Set-ADFSProperties -HttpsPort 444
Set-ADFSProperties -HttpPort 81

  2. Configure el proxy del servidor de federación para usar el puerto no predeterminado.

    Para ello, especifique el número de puerto no predeterminado incluyiéndolo con las opciones HttpsPort y HttpPort como parte del cmdlet Set-ADFSProxyProperties . Por ejemplo, para configurar estos puertos, use los siguientes comandos en la sesión de Windows PowerShell en el equipo del servidor de federación:

    Set-ADFSProxyProperties -HttpsPort 444
Set-ADFSProxyProperties -HttpPort 81

    Nota:

    Las direcciones URL del punto de conexión no están habilitadas de forma predeterminada para el servicio proxy del servidor de federación. Si va a configurar una nueva instalación del servidor de federación, primero debe habilitar los puntos de conexión de servicio de proxy de servidor de federación. Por ejemplo, se da por hecho que has habilitado para proxy todos los extremos a los que hace referencia el ejemplo del procedimiento, seleccionándolos en el complemento Administración de AD FS y seleccionando Habilitar en proxy.

  3. Actualice la instalación de IIS en el proxy del servidor de federación para que el lenguaje de marcado de aserción de seguridad (SAML) y los puntos de conexión de WS-Trust estén configurados para reflejar el número de puerto actualizado. Para ello, puede usar el Bloc de notas para modificar lo siguiente en el archivo Web.config, que se encuentra en systemdrive%\inetpub\adfs\ls\ en el equipo proxy del servidor de federación. Por ejemplo, suponiendo que tiene un servidor de federación denominado sts1.contoso.com y el nuevo número de puerto es 444, busque y abra el archivo Web.config en el Bloc de notas del equipo proxy del servidor de federación, busque la sección siguiente, modifique el número de puerto como se resalta a continuación y guarde y salga del Bloc de notas.

    <securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport"
      wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />

  4. Agregue la cuenta de usuario del servicio proxy del servidor de federación a la lista de control de acceso (ACL) para las direcciones URL de punto de conexión relacionadas. Por ejemplo, si el número de puerto es 1234 y la cuenta de usuario que se usa para ejecutar el servicio del servidor proxy de federación AD FS es la cuenta de servicio de red integrada, escriba el siguiente comando en un símbolo del sistema:

    netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service"

netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"

    Los comandos anteriores deben ejecutarse tanto en el servidor de federación como en los equipos proxy del servidor de federación.

Referencias adicionales

Lista de comprobación: Configuración de un proxy de servidor de federación