Implementación de servidores de federación
Para implementar servidores de federación en Servicios de federación de Active Directory (AD FS), complete cada una de las tareas que se indican en Lista de comprobación: Configuración de un servidor de federación.
Nota
Cuando use esta lista de comprobación, se recomienda que lea primero las referencias al planeamiento del servidor de federación que se indican en la Guía de diseño de AD FS en Windows Server 2012 antes de iniciar los procedimientos para configurar los servidores. Al seguir la lista de comprobación, entenderá mejor el proceso de diseño e implementación de los servidores de federación.
Acerca de los servidores de federación
Los servidores de federación son equipos que ejecutan Windows Server 2008 con el software de AD FS instalado que están configurados para actuar con el rol de servidor de federación. Los servidores de federación autentican o enrutan solicitudes de cuentas de usuario de otras organizaciones y de equipos cliente que pueden encontrarse en cualquier lugar de Internet.
El acto de instalar el software de AD FS en un equipo y usar el Asistente para configuración del servidor de federación de AD FS con el fin de configurarlo para el rol de servidor de federación convierte ese equipo en un servidor de federación. También hace que el complemento de administración de AD FS esté disponible en ese equipo en el menú Inicio\Herramientas administrativas\ de modo que se pueda especificar lo siguiente:
El nombre de host de AD FS donde las organizaciones y aplicaciones asociadas enviarán solicitudes y respuestas de token.
El identificador de AD FS que usarán las organizaciones y aplicaciones asociadas para identificar el nombre o ubicación únicos de la organización.
El certificado de firma de tokens que todos los servidores de federación de una granja de servidores usarán para emitir y firmar tokens.
La ubicación de las páginas web de ASP.NET personalizadas para el inicio de sesión de cliente, el cierre de sesión de cliente y la detección de asociados de cuenta que mejorarán la experiencia del cliente.
Nota
La mayoría de estos valores de configuración de la interfaz de usuario principal están incluidos en el archivo web.config en cada servidor de federación. El nombre de host de AD FS y los valores de identificador de AD FS no se especifican en el archivo web.config.
Los servidores de federación hospedan un motor de emisión de notificaciones que emite tokens en función de las credenciales (por ejemplo, nombre de usuario y contraseña) que se le presentan. Un token de seguridad es una unidad de datos firmada de forma criptográfica que expresa una o más notificaciones. Una notificación es una declaración que un servidor realiza (por ejemplo, nombre, identidad, clave, grupo, privilegio o capacidad) sobre un cliente. Después de comprobar las credenciales en el servidor de federación (mediante el proceso de inicio de sesión de usuario), las notificaciones del usuario se recopilan mediante el examen de los atributos de usuario que se encuentran almacenados en el almacén de atributos especificado.
En los diseños de inicio de sesión único (SSO) web federados (diseños de AD FS en los que participan dos o más organizaciones), las notificaciones se pueden modificar mediante reglas de notificación para un usuario de confianza específico. Las notificaciones se integran en un token que se envía a un servidor de federación de la organización del asociado de recurso. Cuando un servidor de federación del asociado de recurso recibe las notificaciones como notificaciones entrantes, ejecuta el motor de emisión de notificaciones para ejecutar un conjunto de reglas de notificación para filtrar, pasar o transformar esas notificaciones. Después, las notificaciones se integran en un nuevo token que se envía al servidor web en el asociado de recurso.
En el diseño de SSO web (un diseño de AD FS en el que solo interviene una organización), se puede usar un solo servidor de federación para que los empleados puedan iniciar sesión una vez y seguir teniendo acceso a varias aplicaciones.