Proporcionar a los usuarios de otra organización acceso a las aplicaciones y servicios habilitados para notificaciones

Si es un administrador en la organización del asociado de recursos en Servicios de federación de Active Directory (AD FS) y tiene un objetivo de implementación para proporcionar acceso federado para los usuarios de otra organización (la organización del asociado de cuenta) a una aplicación para notificaciones o un servicio basado en web que se encuentra en su organización (la organización del asociado de recurso):

• Los usuarios federados de su organización y de las organizaciones que han configurado una confianza de federación en su organización (organizaciones de asociado de cuenta) pueden tener acceso a la aplicación o al servicio protegido mediante AD FS que está alojado en su organización. Para obtener más información, consulte Federated Web SSO Design.

  Por ejemplo, es posible que Fabrikam desee que sus empleados de la red corporativa tengan acceso federado a servicios web que se hospedan en Contoso.

• Los usuarios federados que no tienen ninguna asociación directa con una organización de confianza (por ejemplo, los clientes individuales), que están conectados a un almacén de atributos que se hospeda en la red perimetral, pueden tener acceso a varias aplicaciones protegidas mediante AD FS que también están hospedadas en la red perimetral iniciando sesión una vez desde los equipos cliente que se encuentran en Internet. En otras palabras, cuando se hospedan cuentas de clientes para habilitar el acceso a aplicaciones o servicios de la red perimetral, los clientes que se hospedan en un almacén de atributos pueden tener acceso a una o más aplicaciones o servicios de la red perimetral simplemente iniciando sesión una vez. Para obtener más información, consulte Web SSO Design.

  Por ejemplo, es posible que Fabrikam desee que sus clientes tengan acceso inicio de sesión único (SSO) para varias aplicaciones o servicios que están hospedados en su red perimetral.

Los componentes siguientes son necesarios para este objetivo de implementación:

• Active Directory Domain Services (AD DS): el servidor de federación del asociado de recurso debe unirse a un dominio de Active Directory.

• DNS perimetral: el sistema de nombres de dominio (DNS) debe contener un registro de recursos de host simple (A) para que los equipos cliente puedan encontrar el servidor de federación del asociado de recurso y el servidor web. El servidor DNS puede hospedar otros registros DNS que también son necesarios en la red perimetral. Para obtener más información, consulta Requisitos de resolución de nombres para los servidores de federación.

• Servidor de federación de asociados de recursos: el servidor de federación de asociados de recursos valida los tokens de AD FS que envían los asociados de cuenta. La detección del asociado de cuenta se realiza a través de este servidor de federación. Para obtener más información, consulte Review the Role of the Federation Server in the Resource Partner.

• Servidor web: el servidor web puede hospedar una aplicación web o un servicio web. El servidor web confirma que recibe los tokens de AD FS válidos de usuarios federados antes de permitir el acceso a la aplicación o al servicio web protegido.

  Mediante el uso de Windows Identity Foundation (WIF), puede desarrollar su aplicación o servicio web para que acepte solicitudes de inicio de sesión de usuario federado realizadas con cualquier método de inicio de sesión estándar, como mediante un nombre de usuario y contraseña.

Después de revisar la información de los temas vinculados, puede empezar a implementar este objetivo siguiendo los pasos descritos en Lista de comprobación: implementación de un diseño de SSO web federado y Lista de comprobación: implementación de un diseño de SSO web.

En la ilustración siguiente se muestra cada uno de los componentes necesarios para este objetivo de implementación de AD FS.

Consulte también

Guía de diseño de AD FS en Windows Server 2012