Implementación de servidores de federación

Para implementar servidores de federación en Servicios de federación de Active Directory (AD FS) (AD FS), complete cada una de las tareas de Lista de comprobación: Configurar un servidor de federación.

Nota:

Cuando use esta lista de comprobación, se recomienda leer primero las referencias al planeamiento del servidor de federación en la Guía de diseño de AD FS de Windows Server 2012 antes de comenzar los procedimientos para configurar los servidores. Seguir la lista de comprobación de esta manera proporciona una mejor comprensión del proceso de diseño e implementación de los servidores de federación.

Acerca de los servidores de federación

Los servidores de federación son equipos que ejecutan Windows Server 2008 con el software AD FS instalado que se ha configurado para actuar en el rol de servidor de federación. Los servidores de federación autentican o enruta solicitudes de cuentas de usuario de otras organizaciones y de equipos cliente que se pueden encontrar en cualquier lugar de Internet.

El acto de instalar el software AD FS en un equipo y usar el Asistente para configuración del servidor de federación de AD FS para configurarlo para el rol de servidor de federación convierte ese equipo en un servidor de federación. También hace que el complemento AD FS Management esté disponible en ese equipo en el menú Inicio \Herramientas administrativas\ para que pueda especificar lo siguiente:

  • Nombre AD FS host donde las organizaciones y aplicaciones asociadas enviarán solicitudes y respuestas de token

  • Identificador AD FS que las organizaciones y aplicaciones asociadas usarán para identificar el nombre o la ubicación únicos de la organización.

  • El certificado de firma de tokens que usarán todos los servidores de federación de una granja de servidores para emitir y firmar tokens

  • La ubicación de las páginas web ASP.NET personalizadas para el inicio de sesión de cliente, el cierre de sesión y la detección de asociados de cuenta que mejorarán la experiencia del cliente

    Nota

    La mayoría de estas configuraciones de interfaz de usuario (UI) principales se encuentran en el archivo web.config en cada servidor de federación. Los AD FS nombre de host y AD FS identificador no se especifican en el web.config archivo.

Los servidores de federación hospedan un motor de emisión de notificaciones que emite tokens basados en las credenciales (por ejemplo, el nombre de usuario y la contraseña) que se le presentan. Un token de seguridad es una unidad de datos firmada criptográficamente que expresa una o varias notificaciones. Una notificación es una declaración que un servidor realiza (por ejemplo, nombre, identidad, clave, grupo, privilegio o capacidad) sobre un cliente. Una vez comprobadas las credenciales en el servidor de federación (a través del proceso de inicio de sesión de usuario), las notificaciones del usuario se recopilan mediante el examen de los atributos de usuario almacenados en el almacén de atributos especificado.

En los diseños de inicio de sesión único (SSO) web federado (diseños de AD FS en los que intervienen dos o más organizaciones), las notificaciones se pueden modificar mediante reglas de notificación para un usuario de confianza específico. Las notificaciones están integradas en un token que se envía a un servidor de federación de la organización del asociado de recursos. Una vez que un servidor de federación del asociado de recursos recibe las notificaciones como notificaciones entrantes, ejecuta el motor de emisión de notificaciones para ejecutar un conjunto de reglas de notificación para filtrar, pasar o transformar esas notificaciones. A continuación, las notificaciones se convierten en un nuevo token que se envía al servidor web en el asociado de recursos.

En el diseño de SSO web (un diseño de AD FS en el que solo está implicada una organización), se puede usar un único servidor de federación para que los empleados puedan iniciar sesión una vez y seguir teniendo acceso a varias aplicaciones.