Compartir a través de

Crear el primer servidor de federación en una granja de servidores de federación

  • Artículo

Después de instalar el servicio de rol Servicio de federación y de configurar los certificados necesarios en un equipo, ya puede configurarlo para que se convierta en un servidor de federación. Puede realizar el procedimiento siguiente para configurar el equipo de modo que sea el primer servidor de federación de una nueva granja de servidores de federación mediante el Asistente para configurar el servidor de federación de AD FS.

Al crear el primer servidor de federación de una granja, también se crea un nuevo servicio de federación y el equipo se convierte en el servidor de federación principal. Esto significa que el equipo se configurará con una copia de lectura/escritura de la base de datos de configuración de AD FS. Todos los demás servidores de federación de la granja deben replicar los cambios introducidos en el servidor de federación principal en sus copias de lectura/escritura de la base de datos de configuración de AD FS que almacenen localmente. Para obtener más información sobre el proceso de replicación, consulta El rol de la base de datos de configuración de AD FS.

Nota

Al diseñar el inicio de sesión único (SSO) web federado, debe haber como mínimo un servidor de federación en la organización del asociado de cuenta y otro en la organización del asociado de recurso. Para obtener más información, consulta Dónde colocar un servidor de federación.

Para completar este procedimiento, lo mínimo que se necesita es pertenecer a Administradores del dominio, o a una cuenta de dominio delegada que disponga de acceso de escritura al contenedor Datos de programas en Active Directory.

Cómo crear el primer servidor de federación en una granja de servidores de federación

  1. Hay dos maneras de iniciar el Asistente para la configuración del servidor de federación de AD FS. Para iniciar el asistente, realiza una de las acciones siguientes:

    • Después de completar la instalación del servicio de rol de Servicios de federación, inicie el complemento de administración de AD FS y haga clic en el vínculo del Asistente para la configuración del servidor de federación de AD FS en la página Introducción o en el panel Acciones.

    • Cuando el asistente de configuración haya finalizado, abre el Explorador de Windows, navega a la carpeta C:\Windows\ADFS y haz doble clic en FsConfigWizard.exe.

  2. En la Página principal, comprueba que la opción Crear un nuevo servicio de federación esté seleccionada y, después, haz clic en Siguiente.

  3. En la página Seleccionar implementación independiente o de granja, haz clic en Nueva granja de servidores de federación y haz clic en Siguiente.

  4. En la página Especificar el nombre del Servicio de federación, comprueba que el Certificado SSL que se muestra es correcto. Si no es el certificado correcto, selecciona el adecuado en la lista Certificado SSL.

    Este certificado se genera desde la configuración de la Capa de sockets seguros (SSL) para el sitio web predeterminado. Si el sitio web predeterminado tiene un solo certificado SSL configurado, dicho certificado se mostrará y se seleccionará automáticamente para su uso. Si hay varios certificados SSL configurados para el sitio web predeterminado, se mostrarán todos los certificados en una lista y tendrás que elegir entre ellos. Si no hay ningún ajuste SSL configurado para el sitio web predeterminado, se generará una lista a partir de los certificados disponibles en el almacén de certificados personales del equipo local.

    Nota

    El asistente no te permitirá invalidar el certificado si hay un certificado SSL configurado para IIS. Esto garantiza que se conserve cualquier configuración IIS anterior prevista para los certificados SSL. Para solucionar esta restricción, puedes quitar el certificado o reconfigurarlo manualmente con la consola de administración IIS.

  5. Si la base de datos de AD FS que ha seleccionado ya existe, aparece la página Se detectó una base de datos de configuración de AD FS existente. Si aparece dicha página, haz clic en Eliminar base de datos y, después, en Siguiente.

    Precaución

    Seleccione esta opción solo cuando esté seguro de que los datos en esta base de datos de AD FS no son importantes o no se usan en una granja de servidores de federación de producción.

  6. En la página Especificar una cuenta de servicio, haz clic en Examinar. En el cuadro de diálogo Examinar, localiza la cuenta de dominio que se utilizará como cuenta de servicio en esta nueva granja de servidores de federación y haz clic en Aceptar. Escribe la contraseña de la cuenta, confírmala y haz clic en Siguiente.

    Nota

    Consulte Configurar manualmente una cuenta de servicio para una granja de servidores de federación para obtener más información sobre cómo especificar una cuenta de servicio para una granja de servidores de federación. Cada servidor de federación de la granja de servidores de federación debe especificar la misma cuenta de servicio para que la granja esté operativa. Por ejemplo, si la cuenta de servicio que se creó es contoso\ADFS2SVC, cada equipo que configure para el rol de servidor de federación y que vaya a participar en la misma granja debe especificar contoso\ADFS2SVC en este paso del Asistente para configuración de servidor de federación a fin de que la granja sea operativa.

  7. En la página Listo para aplicar configuración, comprueba los detalles. Si la configuración parece ser correcta, haga clic en Siguiente para comenzar a configurar AD FS con estos valores.

  8. En la página Resultados de la configuración, comprueba los resultados. Una vez completados todos los pasos de configuración, haga clic en Cerrar para salir del asistente.

    Importante

    Para que la implementación sea segura, la resolución de artefactos y la detección de respuestas se deshabilitan cuando utilizas el asistente para la configuración del servidor de federación de AD FS a fin de configurar una granja de servidores de federación. Este asistente configura automáticamente Windows Internal Database para almacenar los datos de configuración del servicio. Sin embargo, podrías deshacer por error este cambio si habilitas el extremo Resolución de artefactos utilizando el nodo Extremos del complemento Administración de AD FS o el cmdlet Enable-ADFSEndpoint en Windows PowerShell. Procura no reconfigurar la configuración predeterminada para que este extremo permanezca deshabilitado cuando utilices conjuntamente una granja de servidores de federación y Windows Internal Database.

Referencias adicionales

Lista de comprobación: configurar un servidor de federación