Implemente los servicios de federación de Active Directory

  • Artículo

Servicios de federación de Active Directory (AD FS) proporciona capacidades de federación de identidades simplificada y protegida e inicio de sesión único web (SSO). La federación con Microsoft Entra ID o Microsoft 365 permite a los usuarios autenticarse mediante credenciales locales y acceder a todos los recursos en la nube. Por tanto, es importante disponer de una infraestructura de AD FS de alta disponibilidad para garantizar el acceso a los recursos locales y en la nube.

La implementación de AD FS en Azure puede ayudar a lograr la alta disponibilidad necesaria con el mínimo esfuerzo. Hay varias ventajas de implementar AD FS en Azure:

  • Alta disponibilidad: con la eficacia de los conjuntos de disponibilidad de Azure, se garantiza una infraestructura de alta disponibilidad.
  • Fácil de escalar : ¿necesita más rendimiento? Migre fácilmente a máquinas más eficaces con solo algunas selecciones en Azure.
  • Redundancia entre regiones: con redundancia geográfica de Azure, puede estar seguro de que la infraestructura está altamente disponible en todo el mundo.
  • Fácil de administrar: con opciones de administración muy simplificadas en Azure Portal, la administración de la infraestructura es fácil y sin complicaciones.

Principios de diseño

En este diagrama se muestra la topología básica recomendada para empezar a implementar la infraestructura de AD FS en Azure.

Screenshot of deployment design.

Los siguientes son principios subyacentes a los distintos componentes de la topología:

  • Servidores de ADFS/controlador de dominio: si tiene menos de 1000 usuarios, puede instalar el rol de AD FS en los controladores de dominio (DC). Si no quiere ningún efecto de rendimiento en los controladores de dominio o si tiene más de 1000 usuarios, implemente AD FS en servidores independientes.
  • Servidor WAP: es necesario implementar servidores proxy de aplicación web para que los usuarios puedan acceder a AD FS cuando no estén en la red de la empresa.
  • Red perimetral (DMZ): los servidores proxy de aplicación web se colocan en la red perimetral y solo se permite el acceso TCP/443 entre la red perimetral y la subred interna.
  • Equilibradores de carga: para garantizar la alta disponibilidad de los servidores proxy de aplicaciones web y AD FS, se recomienda usar un equilibrador de carga interno para servidores de AD FS y Azure Load Balancer para servidores proxy de aplicaciones web.
  • Conjuntos de disponibilidad: para proporcionar redundancia a la implementación de AD FS, se recomienda agrupar dos o más máquinas virtuales (VM) en un conjunto de disponibilidad para cargas de trabajo similares. Esta configuración garantiza que, durante un evento de mantenimiento planeado o no, al menos una máquina virtual está disponible.
  • Cuentas de almacenamiento: se recomienda tener dos cuentas de almacenamiento. Tener una sola cuenta de almacenamiento puede provocar la creación de un único punto de error. Si solo tiene una cuenta de almacenamiento, puede hacer que la implementación deje de estar disponible en el evento poco probable en el que se produce un error en la cuenta de almacenamiento. Dos cuentas de almacenamiento ayudan a asociar una cuenta de almacenamiento para cada línea de error.
  • Segregación de la red: los servidores proxy de aplicación web se deben implementar en una red perimetral independiente. Puede dividir una red virtual en dos subredes y, a continuación, implementar los servidores proxy de aplicación web en una subred aislada. Puede configurar las opciones del grupo de seguridad de red para cada subred y permitir solo la comunicación necesaria entre las dos subredes. Se proporcionan más detalles según el siguiente escenario de implementación.

Pasos para implementar AD FS en Azure

En esta sección se describen los pasos para implementar una infraestructura de AD FS en Azure.

Implementación de la red

Como se ha descrito anteriormente, puede crear dos subredes en una sola red virtual o crear dos redes virtuales diferentes. Este artículo se centra en implementar una sola red virtual y dividirla en dos subredes. Este enfoque es actualmente más fácil, ya que dos redes virtuales independientes requerirían una red virtual a una puerta de enlace de red virtual para las comunicaciones.

Creación de una red virtual

  1. Inicie sesión en Azure Portal con su cuenta de Azure.

  2. En el portal, busque y seleccione Redes virtuales.

  3. En la página Redes virtuales, seleccione Crear.

  4. En Crear red virtual, escriba o seleccione esta información en la pestaña Conceptos básicos:

    Parámetro Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Grupos de recursos Seleccione el grupo de recursos que necesite. O bien, seleccione Crear nuevo para crear uno.
    Detalles de instancia
    Nombre de la red virtual Escriba un nombre para la red virtual.
    Region Seleccione una región.

  5. Seleccione Siguiente. Screenshot showing the basics tab for the Create virtual network page.

  6. En la pestaña Seguridad , habilite cualquier servicio de seguridad que desee y seleccione Siguiente.

  7. En la pestaña Direcciones IP, ya se ha creado una subred predeterminada y está lista para agregar máquinas virtuales. En este ejemplo, seleccione el valor predeterminado para editar la subred.

    1. En la página Editar subred , cambie el nombre de la subred a INT.
    2. Escriba la información de dirección IP y tamaño de subred según sea necesario para definir un espacio de direcciones IP.
    3. En Grupo de seguridad de red, seleccione Crear nuevo.
    4. En este ejemplo, escriba el nombre NSG_INT y seleccione Aceptary, a continuación, seleccione Guardar. Ha creado la primera subred. Screenshot showing how to edit a subnet and add an internal network security group.
    5. Para crear la segunda subred, seleccione + Agregar una subred.
    6. En la página Agregar una subred , escriba DMZ para el segundo nombre de subred e introduzca información según sea necesario para definir un espacio de direcciones IP.
    7. En Grupo de seguridad de red, seleccione Crear nuevo.
    8. Escriba el nombre NSG_DMZ, seleccione Aceptar y, a continuación, seleccione Agregar. Screenshot showing how to add a new subnet that includes a network security group.

  8. Seleccione Revisar y crear y, si todo parece correcto, seleccione Crear.

Ahora tiene una red virtual que incluye dos subredes, cada una con un grupo de seguridad de red asociado.

Screenshot showing the new subnets and their network security groups.

Protección de la red virtual

Un grupo de seguridad de red (NSG) contiene una enumeración de las reglas de la lista de control de acceso (ACL), que permiten o deniegan el tráfico de red a sus instancias de máquina virtual en una red virtual. Los NSG se pueden asociar con las subredes o las instancias individuales de máquina virtual dentro de esa subred. Cuando un NSG está asociado a una subred, las reglas de la ACL se aplican a todas las instancias de la máquina virtual de esa subred.

Los NSG asociados a las subredes incluyen automáticamente algunas reglas de entrada y salida predeterminadas. Las reglas de seguridad predeterminadas no se pueden eliminar, pero pueden reemplazarse por reglas de prioridad más alta. Además, puede agregar más reglas de entrada y salida según el nivel de seguridad que desee.

Ahora, agregue un par de reglas a cada uno de nuestros dos grupos de seguridad. En el primer ejemplo, vamos a agregar una regla de seguridad de entrada al grupo de seguridad de NSG_INT .

  1. En la página Subredes de la red virtual, seleccione NSG_INT.

  2. A la izquierda, seleccione Reglas de seguridad de entrada y, a continuación, seleccione + Agregar.

  3. En Agregar regla de seguridad de entrada, escriba o seleccione esta información:

    Setting Valor
    Source 10.0.1.0/24.
    Intervalos de puertos de origen Deje (o seleccione) asterisco. Un asterisco (*) permite el tráfico en cualquier puerto. En este ejemplo, elija asterisco para todas las reglas que cree.
    Destination 10.0.0.0/24.
    Servicio Seleccione HTTPS.
    La configuración de los intervalos de puertos de destino y el protocolo se rellenan automáticamente en función del servicio especificado.
    Acción Elija Permitir.
    Priority 1010.
    Las reglas se procesan en orden de prioridad; cuanto menor sea el número, mayor será la prioridad.
    Nombre AllowHTTPSFromDMZ.
    Descripción Permitir la comunicación HTTPS desde la red perimetral.

  4. Después de haber tomado las opciones, seleccione Agregar.

    Screenshot showing how to add an inbound security rule. La nueva regla de seguridad de entrada ahora se agrega a la parte superior de la lista de reglas para NSG_INT.

  5. Repita estos pasos con los valores que se muestran en la tabla siguiente. Además de la nueva regla que ha creado, debe agregar las siguientes reglas adicionales en el orden de prioridad indicado para ayudar a proteger las subredes interna y DMZ.

    Grupo de seguridad de red Tipo de regla Source Destination Servicio Acción Priority Nombre Descripción
    NSG_INT Salida Cualquiera Etiqueta de servicio/Internet Personalizado (80/Cualquiera) Denegar 100 DenyInternetOutbound No hay acceso a Internet.
    NSG_DMZ Entrada Cualquiera Cualquiera Personalizado (Asterisco (*)/Cualquiera) Allow 1010 AllowHTTPSFromInternet Permitir HTTPS desde Internet a la red perimetral.
    NSG_DMZ Salida Cualquiera Etiqueta de servicio/Internet Personalizado (80/Cualquiera) Denegar 100 DenyInternetOutbound Cualquier cosa excepto HTTPS a Internet está bloqueada.

    Después de escribir los valores de cada nueva regla, seleccione Agregar y continúe con el siguiente hasta que se agreguen dos nuevas reglas de seguridad para cada NSG.

Después de la configuración, las páginas del NSG tienen este aspecto:

Screenshot showing your NSGs after you added security rules.

Nota

Si se requiere la autenticación del certificado de usuario del cliente (autenticación de clientTLS mediante certificados de usuario X.509), AD FS necesitará que el puerto TCP 509 esté habilitado para el acceso de entrada.

Creación de una conexión a un entorno local

Necesita una conexión a un entorno local para implementar el controlador de dominio en Azure. Azure ofrece varias opciones para conectar la infraestructura local a la infraestructura de Azure.

  • De punto a sitio
  • Red virtual de sitio a sitio
  • ExpressRoute

Se recomienda usar ExpressRoute. Mediante ExpressRoute se pueden crear conexiones privadas entre los centros de datos de Azure y la infraestructura que está en el entorno local o en un entorno de coubicación. Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet. Ofrecen más confiabilidad, velocidades más rápidas, latencias más bajas y mayor seguridad que las típicas conexiones a través de Internet.

Aunque se recomienda usar ExpressRoute, puede elegir cualquier método de conexión más adecuado para su organización. Para aprender más acerca de ExpressRoute y las distintas opciones de conectividad con ExpressRoute, lea Información técnica de ExpressRoute.

Creación de cuentas de almacenamiento

Para mantener la alta disponibilidad y evitar la dependencia de una sola cuenta de almacenamiento, cree dos cuentas de almacenamiento. Divida las máquinas de cada conjunto de disponibilidad en dos grupos y, a continuación, asigne a cada grupo una cuenta de almacenamiento independiente.

Para crear las dos cuentas de almacenamiento, busque y seleccione Cuentas de almacenamiento en Azure Portal y elija + Crear.

  1. En Crear una cuenta de almacenamiento, escriba o seleccione esta información en la pestaña Aspectos básicos :

    Setting Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Grupos de recursos Seleccione el grupo de recursos que necesite. O bien, seleccione Crear nuevo para crear uno.
    Detalles de instancia
    Nombre de la cuenta de almacenamiento Escriba un nombre para la cuenta de almacenamiento. En este ejemplo, escriba contososac1.
    Region Seleccione la región.
    Rendimiento Seleccione Premium para el nivel de rendimiento.
    Tipo de cuenta premium Seleccione el tipo de cuenta de almacenamiento que necesita: blobs en bloques, recursos compartidos de archivos o blobs en páginas.
    Redundancia Seleccione Almacenamiento con redundancia local (LRS) .

  2. Continúe con las pestañas restantes. Cuando esté listo, seleccione Crear en la pestaña Revisar .

    Screenshot showing how to create storage accounts.

  3. Repita los pasos anteriores para crear una segunda cuenta de almacenamiento con el nombre contososac2.

Creación de conjuntos de disponibilidad

Para cada rol (DC/AD FS y WAP), cree conjuntos de disponibilidad que contengan al menos dos máquinas cada uno. Esta configuración ayuda a lograr una mayor disponibilidad para cada rol. Al crear los conjuntos de disponibilidad, debe decidir en los dominios siguientes:

  • Dominios de error: las máquinas virtuales del mismo dominio de error comparten la misma fuente de alimentación y el mismo conmutador de red físico. Se recomienda un mínimo de dos dominios de error. El valor predeterminado es 2 y puede dejarlo tal como está para esta implementación.
  • Dominios de actualización: las máquinas que pertenecen al mismo dominio de actualización se reinician juntas durante una actualización. Se recomienda un mínimo de dos dominios de actualización. El valor predeterminado es 5 y puede dejarlo tal como está para esta implementación.

Para crear conjuntos de disponibilidad, busque y seleccione Conjuntos de disponibilidad en Azure Portal y elija + Crear.

  1. En Crear conjunto de disponibilidad, escriba o seleccione esta información en la pestaña Aspectos básicos :

    Setting Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Grupos de recursos Seleccione el grupo de recursos que necesite. O bien, seleccione Crear nuevo para crear uno.
    Detalles de instancia
    Nombre Escriba un nombre para el conjunto de disponibilidad. En este ejemplo, escriba contosodcset.
    Region Seleccione la región.
    Dominios de error 2
    Dominios de actualización 5
    Uso de discos administrados En este ejemplo, seleccione No (clásico).

    Screenshot showing how to create availability sets.

  2. Después de haber tomado todas las opciones, seleccione Revisar y crear y, si todo parece bueno, seleccione Crear.

  3. Repita los pasos anteriores para crear un segundo conjunto de disponibilidad con el nombre contososac2.

Implementación de máquinas virtuales

El siguiente paso consiste en implementar máquinas virtuales que hospedan los distintos roles de la infraestructura. Se recomienda un mínimo de dos máquinas en cada conjunto de disponibilidad. Por lo tanto, en este ejemplo se crean cuatro máquinas virtuales para la implementación básica.

Para crear máquinas virtuales, busque y seleccione Máquinas virtuales en Azure Portal.

  1. En la página Máquinas virtuales , seleccione + Crear y elija Máquina virtual de Azure.

  2. En Crear una máquina virtual, escriba o seleccione los datos siguientes en la pestaña Conceptos básicos:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Grupos de recursos Seleccione el grupo de recursos que necesite. O bien, seleccione Crear nuevo para crear uno.
    Detalles de instancia
    Nombre de la máquina virtual Escriba un nombre para la máquina virtual. En la primera máquina, escriba contosodc1.
    Region Seleccione la región.
    Opciones de disponibilidad Seleccione Conjunto de disponibilidad.
    Conjunto de disponibilidad Seleccione contosodcset.
    Tipo de seguridad Seleccione Estándar.
    Imagen Seleccione la imagen. A continuación, seleccione Configurar generación de máquinas virtuales y seleccione Gen 1. Para este ejemplo, debe usar una imagen Gen 1.
    Cuenta de administrador
    Tipo de autenticación Seleccione Clave pública SSH.
    Nombre de usuario Escriba un nombre de usuario.
    Nombre del par de claves Escriba un nombre de par de claves.

    Para todo lo que no se especifique, puede dejar los valores predeterminados y, cuando esté listo, seleccione Siguiente: Discos. Screenshot showing the first steps in how to create a virtual machine.

  3. En la pestaña Discos en Avanzado, anule la selección de Usar discos administrados y, a continuación, seleccione la cuenta de almacenamiento contososac1 que creó anteriormente. Cuando esté listo, seleccione Siguiente: Redes. Screenshot showing the Disks tab for how to create a virtual machine.

  4. En la pestaña Redes, escriba o seleccione esta información:

    Configuración Value
    Virtual network Seleccione la red virtual que contiene las subredes que creó anteriormente.
    Subnet Para esta primera máquina virtual, seleccione la subred INT .
    Grupo de seguridad de red de NIC Seleccione Ninguno.

    Para cualquier cosa no especificada, puede dejar los valores predeterminados. Screenshot showing the Networking tab for how to create a virtual machine.

Después de haber tomado todas las opciones, seleccione Revisar y crear y, si todo parece bueno, seleccione Crear.

Repita estos pasos con la información de esta tabla para crear las tres máquinas virtuales restantes:

Nombre de la máquina virtual Subnet Opciones de disponibilidad Conjunto de disponibilidad Cuenta de almacenamiento
contosodc2 INT Conjunto de disponibilidad contosodcset contososac2
contosowap1 DMZ Conjunto de disponibilidad contosowapset contososac1
contosowap2 DMZ Conjunto de disponibilidad contosowapset contososac2

Como puede haber observado, no se especifica ningún NSG, ya que Azure le permite usar NSG en el nivel de subred. A continuación, puede controlar el tráfico de red de la máquina mediante el NSG individual asociado a la subred o al objeto NIC. Para obtener más información, consulte ¿Qué es un grupo de seguridad de red (NSG)?

Si administra el DNS, se recomienda usar una dirección IP estática. Puede usar Azure DNS y hacer referencia a las nuevas máquinas por sus FQDN de Azure en los registros DNS del dominio. Para obtener más información, consulte Cambio de una dirección IP privada a estática.

La página Máquinas virtuales debe mostrar las cuatro máquinas virtuales una vez completada la implementación.

Configuración de los servidores controlador de dominio / AD FS

Para autenticar cualquier solicitud entrante, AD FS debe ponerse en contacto con el controlador de dominio. Para ahorrar el costoso viaje de Azure al controlador de dominio local para la autenticación, se recomienda implementar una réplica del controlador de dominio en Azure. Para lograr una alta disponibilidad, es mejor crear un conjunto de disponibilidad de al menos dos controladores de dominio.

Controlador de dominio Role Cuenta de almacenamiento
contosodc1 Réplica contososac1
contosodc2 Réplica contososac2
  • Promover los dos servidores como controladores de dominio de réplica con DNS
  • Instale el rol AD FS mediante el administrador del servidor para configurar los servidores AD FS.

Creación e implementación del equilibrador de carga interno (ILB)

Para crear e implementar un ILB, busque y seleccione Equilibradores de carga en Azure Portal y elija + Crear.

  1. En Crear equilibrador de carga, escriba o seleccione esta información en la pestaña Aspectos básicos :

    Setting Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Grupos de recursos Seleccione el grupo de recursos que necesite. O bien, seleccione Crear nuevo para crear uno.
    Detalles de instancia
    Nombre Escriba un nombre para el equilibrador de carga.
    Region Seleccione la región.
    Tipo Puesto que este equilibrador de carga está colocado delante de los servidores AD FS y está pensado solo para las conexiones de red interna, seleccione Interno.

    Deje la SKU y el Nivel como valores predeterminados y, después, seleccione Siguiente: Configuración de IP de front-end.Screenshot showing the Basics tab for how to create a load balancer.

  2. Seleccione + Agregar una configuración de IP de front-end y, a continuación, escriba o seleccione esta información en la página Agregar configuración de IP de front-end.

    Setting Value
    Nombre Escriba un nombre de configuración de IP de front-end.
    Red virtual Seleccione la red virtual donde va a implementar AD FS.
    Subnet Elija el INT de subred interna.
    Asignación Elija Estático.
    Dirección IP Escriba la dirección IP.

    Deje Zona de disponibilidad como valor predeterminado y, a continuación, seleccione Agregar. Screenshot showing how to add a frontend IP configuration when you create a load balancer.

  3. Seleccione Siguiente: Grupos de back-endy, a continuación, seleccione + Agregar un grupo de back-end.

  4. En la página Agregar grupo de back-end , escriba un Nombre y, a continuación, en el área Configuraciones de IP, seleccione + Agregar.

  5. En la página Agregar grupo de back-end , seleccione una máquina virtual para alinearla con el grupo de back-end, seleccione Agregary, a continuación, seleccione Guardar. Screenshot showing how to add a backend pool when you create a load balancer.

  6. Seleccione Siguiente: Reglas de entrada.

  7. En la pestaña Reglas de entrada, seleccione Agregar una regla de equilibrio de carga y escriba o seleccione esta información en la página Agregar regla de equilibrio de carga.

    Setting Value
    Nombre Escriba un nombre para la regla.
    Frontend IP address (Dirección IP de front-end) Seleccione la dirección IP de front-end que creó en un paso anterior.
    Grupo back-end Seleccione el grupo de back-end que creó en un paso anterior.
    Protocolo seleccione TCP.
    Port Escriba 443.
    Puerto back-end Escriba 443.
    Sondeo de mantenimiento Seleccione Crear nuevo y escriba estos valores para crear un sondeo de estado:
    Nombre: nombre del sondeo de estado
    Protocolo: HTTP
    Puerto: 80 (HTTP)
    Ruta de acceso: /adfs/probe
    Intervalo: 5 (valor predeterminado): el intervalo en el que el ILB sondea las máquinas del grupo de back-end.
    Seleccione Guardar.

  8. Seleccione Guardar para guardar la regla de entrada. Screenshot showing how to add load balancing rules.

  9. Seleccione Revisar y crear y, si todo tiene un aspecto bueno, seleccione Crear.

Después de seleccionar Crear e implementar el ILB, puede verlo en la lista de equilibradores de carga.

Screenshot showing the new load balancer you just created.

Actualización del servidor DNS con ILB

Cree un registro A para el ILB mediante el servidor interno DNS. El registro A debe ser para el servicio de federación con la dirección IP apuntando a la dirección IP del ILB. Por ejemplo, si la dirección IP de ILB es 10.3.0.8 y el servicio de federación instalado es fs.contoso.com, cree un registro A para fs.contoso.com apuntando a 10.3.0.8.

Esta configuración garantiza que todos los datos transmitidos a fs.contoso.com terminen en el ILB y se enruten correctamente.

Advertencia

Si usa Windows Internal Database (WID) para la base de datos de AD FS, establezca este valor en su lugar para que apunte temporalmente al servidor de AD FS principal o, de lo contrario, se produce un error en la inscripción del proxy de aplicación web. Después de haber inscrito correctamente todos los servidores proxy de aplicación web, cambie esta entrada DNS para que apunte al equilibrador de carga.

Nota

Si la implementación también usa IPv6, cree el registro AAAA que corresponda.

Configuración de los servidores proxy de aplicación web para llegar a los servidores de AD FS

Para asegurarse de que los servidores proxy de aplicación web pueden llegar a los servidores de AD FS detrás del ILB, cree un registro en el archivo %systemroot%\system32\drivers\etc\hosts para el ILB. El nombre distintivo (DN) debe ser el nombre del servicio de federación, como fs.contoso.com. La entrada IP debe ser la dirección IP del ILB (10.3.0.8, como se muestra en el ejemplo).

Advertencia

Si usa Windows Internal Database (WID) para la base de datos de AD FS, establezca este valor en su lugar para que apunte temporalmente al servidor de AD FS principal o, de lo contrario, se produce un error en la inscripción del proxy de aplicación web. Después de haber inscrito correctamente todos los servidores proxy de aplicación web, cambie esta entrada DNS para que apunte al equilibrador de carga.

Instalación del rol de proxy de aplicación web

Después de asegurarse de que los servidores proxy de aplicación web pueden acceder a los servidores de AD FS detrás de ILB, puede instalar los servidores proxy de aplicación web. No es necesario unir servidores proxy de aplicación web al dominio. Instale los roles de proxy de aplicación web en los dos servidores proxy de aplicación web seleccionando el rol Acceso remoto. El administrador del servidor le guía para completar la instalación de WAP.

Para obtener más información sobre cómo implementar WAP, consulte Instalación y configuración del servidor proxy de aplicación web.

Creación e implementación del equilibrador de carga accesible desde Internet (público)

  1. En Azure Portal, seleccione Equilibradores de carga y, a continuación, elija Crear.

  2. En Crear equilibrador de carga, escriba o seleccione esta información en la pestaña Aspectos básicos:

    Setting Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Grupos de recursos Seleccione el grupo de recursos que necesite. O bien, seleccione Crear nuevo para crear uno.
    Detalles de instancia
    Nombre Escriba un nombre para el equilibrador de carga.
    Region Seleccione la región.
    Tipo Dado que este equilibrador de carga requiere una dirección IP pública, seleccione Público.

    Deje la SKU y el Nivel como valores predeterminados y, después, seleccione Siguiente: Configuración de IP de front-end.

    Screenshot showing how to add public-facing load balancing rules.

  3. Seleccione + Agregar una configuración de IP de front-end y, a continuación, escriba o seleccione esta información en la página Agregar configuración de IP de front-end.

    Setting Value
    Nombre Escriba un nombre de configuración de IP de front-end.
    Tipo de IP Seleccione Dirección IP.
    Dirección IP pública Seleccione una dirección IP pública en la lista desplegable o cree una nueva según sea necesario y, a continuación, seleccione Agregar.

    Screenshot showing how to add a frontend IP configuration when you create a public load balancer.

  4. Seleccione Siguiente: Grupos de back-endy, a continuación, seleccione + Agregar un grupo de back-end.

  5. En la página Agregar grupo de back-end , escriba un Nombre y, a continuación, en el área Configuraciones de IP, seleccione + Agregar.

  6. En la página Agregar grupo de back-end , seleccione una máquina virtual para alinearla con el grupo de back-end, seleccione Agregary, a continuación, seleccione Guardar. Screenshot showing how to add a backend pool when you create a public load balancer.

  7. Seleccione Siguiente: Reglas de entrada, seleccione Agregar una regla de equilibrio de cargay, a continuación, escriba o seleccione esta información en la página Agregar regla de equilibrio de carga .

    Setting Value
    Nombre Escriba un nombre para la regla.
    Frontend IP address (Dirección IP de front-end) Seleccione la dirección IP de front-end que creó en un paso anterior.
    Grupo back-end Seleccione el grupo de back-end que creó en un paso anterior.
    Protocolo seleccione TCP.
    Port Escriba 443.
    Puerto back-end Escriba 443.
    Sondeo de mantenimiento Seleccione Crear nuevo y escriba estos valores para crear un sondeo de estado:
    Nombre: nombre del sondeo de estado
    Protocolo: HTTP
    Puerto: 80 (HTTP)
    Ruta de acceso: /adfs/probe
    Intervalo: 5 (valor predeterminado): el intervalo en el que el ILB sondea las máquinas del grupo de back-end.
    Seleccione Guardar.

  8. Seleccione Guardar para guardar la regla de entrada. Screenshot showing how to create an inbound rule.

  9. Seleccione Revisar y crear y, si todo tiene un aspecto bueno, seleccione Crear.

Después de seleccionar Crear e implementar el ILB público, puede verlo en la lista de equilibradores de carga.

Screenshot showing how to save an inbound rule.

Asignación de una etiqueta DNS a la dirección IP pública

Use la característica Buscar recursos y busque direcciones IP públicas. Siga estos pasos para configurar la etiqueta DNS para la dirección IP pública.

  1. Seleccione el recurso, en Configuración, seleccione Configuración.
  2. En Proporcionar una etiqueta DNS (opcional), agregue una entrada en el campo de texto (como fs.contoso.com) que se resuelva en la etiqueta DNS del equilibrador de carga externo (como contosofs.westus.cloudapp.azure.com).
  3. Seleccione Guardar para completar la asignación de una etiqueta DNS.

Prueba del inicio de sesión de AD FS

La forma más sencilla de probar AD FS es mediante la página IdpInitiatedSignon.aspx. Para ello, debe habilitar IdpInitiatedSignOn en las propiedades de AD FS. Siga estos pasos para comprobar la configuración de AD FS.

  1. En PowerShell, ejecute el siguiente cmdlet en el servidor de AD FS para establecerlo en habilitado. Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
  2. Desde cualquier máquina externa, acceda a https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx.
  3. Debería ver la siguiente página de AD FS:

Screenshot of test login page.

Al iniciar sesión correctamente, proporciona un mensaje de operación correcta, como se muestra aquí:

Screenshot that shows the test success message.

Plantilla de implementación de AD FS en Azure

La plantilla implementa una configuración de seis máquinas, dos para controladores de dominio, AD FS y WAP.

Plantilla de implementación de AD FS en Azure

Puede usar una red virtual existente o crear una nueva red virtual al implementar esta plantilla. En esta tabla se enumeran los distintos parámetros disponibles para personalizar la implementación, incluida una descripción de cómo usar los parámetros en el proceso de implementación.

Parámetro Descripción
Ubicación Región en la que se implementan los recursos, por ejemplo, Este de EE. UU.
StorageAccountType Tipo de la cuenta de almacenamiento que se crea.
VirtualNetworkUsage Indica si se crea una nueva red virtual o se usa una existente.
VirtualNetworkName Nombre de la red virtual que se va a crear, obligatorio en el uso de red virtual existente o nuevo.
VirtualNetworkResourceGroupName Especifica el nombre del grupo de recursos donde reside la red virtual existente. Cuando se usa una red virtual existente, esta opción es un parámetro obligatorio para que la implementación pueda encontrar el identificador de la red virtual existente.
VirtualNetworkAddressRange Intervalo de direcciones de la nueva red virtual, obligatorio si crea una nueva red virtual.
InternalSubnetName Nombre de la subred interna, obligatoria en ambas opciones de uso de red virtual, nuevas o existentes.
InternalSubnetAddressRange El intervalo de direcciones de la subred interna, que contiene los controladores de dominio y los servidores AD FS, es obligatorio si se crea una nueva red virtual.
DMZSubnetAddressRange Intervalo de direcciones de la subred DMZ, que contiene los servidores proxy de aplicación de Windows, obligatorios si se crea una nueva red virtual.
DMZSubnetName El nombre de la subred interna, obligatorio en ambas opciones de uso de red virtual (nueva o existente)
ADDC01NICIPAddress La dirección IP interna del primer controlador de dominio, esta dirección IP se asigna estáticamente al controlador de dominio y debe ser una dirección IP válida dentro de la subred interna.
ADDC02NICIPAddress La dirección IP interna del segundo controlador de dominio, esta dirección IP se asigna estáticamente al controlador de dominio y debe ser una dirección IP válida dentro de la subred interna.
ADFS01NICIPAddress La dirección IP interna del primer servidor AD FS, esta dirección IP se asigna estáticamente al servidor AD FS y tiene que ser una dirección IP válida dentro de la subred interna
ADFS02NICIPAddress La dirección IP interna del segundo servidor AD FS, esta dirección IP se asigna estáticamente al servidor AD FS y tiene que ser una dirección IP válida dentro de la subred interna
WAP01NICIPAddress La dirección IP interna del primer servidor WAP, esta dirección IP se asigna estáticamente al servidor WAP y debe ser una dirección IP válida dentro de la subred DMZ.
WAP02NICIPAddress La dirección IP interna del segundo servidor WAP, esta dirección IP se asigna estáticamente al servidor WAP y debe ser una dirección IP válida dentro de la subred DMZ.
ADFSLoadBalancerPrivateIPAddress La dirección IP interna del equilibrador de carga AD FS, esta dirección IP se asigna estáticamente al equilibrador de carga ADFS y tiene que ser una dirección IP válida dentro de la subred interna
ADDCVMNamePrefix Prefijo de nombre de máquina virtual para controladores de dominio
ADFSVMNamePrefix Prefijo de nombre de máquina virtual para servidores de AD FS
WAPVMNamePrefix Prefijo de nombre de máquina virtual para servidores WAP
ADDCVMSize Tamaño de máquina virtual de los controladores de dominio
ADFSVMSize Tamaño de máquina virtual de los servidores de AD FS
WAPVMSize El tamaño de máquina virtual de los servidores WAP
AdminUserName Nombre del administrador local de las máquinas virtuales
AdminPassword La contraseña de la cuenta de administrador local de las máquinas virtuales.

Pasos siguientes