Proporcionar a los usuarios de Active Directory acceso a las aplicaciones y servicios de otras organizaciones
Este objetivo de implementación de Servicios de federación de Active Directory (AD FS) se basa en el objetivo de proporcionar a los usuarios de Active Directory acceso a aplicaciones y servicios habilitados para notificaciones.
Si es administrador en la organización del asociado de cuenta y tiene un objetivo de implementación para proporcionar acceso federado para los empleados a los recursos hospedados de otra organización:
Los empleados que han iniciado sesión un dominio de Active Directory en la red corporativa pueden usar la funcionalidad de inicio de sesión único (SSO) para acceder a varios servicios o aplicaciones basados en web, que están protegidos por AD FS, si los servicios o aplicaciones se encuentran en otra organización. Para obtener más información, consulte Federated Web SSO Design.
Por ejemplo, es posible que Fabrikam desee que sus empleados de la red corporativa tengan acceso federado a servicios web que se hospedan en Contoso.
Los empleados remotos que iniciaron sesión en un dominio de Active Directory pueden obtener tokens de AD FS del servidor de federación de su organización para obtener acceso federado a las aplicaciones o servicios basados en web protegidos por AD FS que estén hospedados en otra organización.
Por ejemplo, es posible que Fabrikam desee que sus empleados remotos tengan acceso federado a servicios protegidos por AD FS y hospedados en Contoso, sin necesidad de que los empleados de Fabrikam estén en la red corporativa de Fabrikam.
Además de los componentes básicos que se describen en Provide Your Active Directory Users Access to Your Claims-Aware Applications and Services y que aparecen sombreados en la siguiente ilustración, los siguientes componentes son necesarios para este objetivo de implementación:
Servidor proxy de federación de asociado de cuenta: los empleados que tienen acceso al servicio o aplicación federado desde Internet pueden usar este componente de AD FS para realizar la autenticación. De forma predeterminada, este componente realiza la autenticación de formularios, pero también puede realizar la autenticación básica. También puede configurar este componente para realizar la autenticación de cliente de Capa de sockets seguros (SSL) si los empleados de su organización tienen certificados para presentar. Para más información, consulte Ubicación de un servidor proxy de federación.
DNS perimetral: Esta implementación del Sistema de nombres de dominio (DNS) proporciona los nombres de host de la red perimetral. Para obtener más información sobre cómo configurar DNS perimetral para un servidor proxy de federación, consulte Requisitos de resolución de nombres para servidores proxy de federación.
Empleado remoto: El empleado remoto obtiene acceso a una aplicación basada en Web (a través de un explorador web compatible) o un servicio basado en Web (a través de una aplicación) con credenciales válidas de la red corporativa, mientras está fuera del sitio a través de Internet. El equipo cliente del empleado en la ubicación remota se comunica directamente con el servidor proxy de federación para generar un token y autenticarse en la aplicación o el servicio.
Después de revisar la información de los temas vinculados, puedes empezar a implementar este objetivo siguiendo los pasos descritos en Checklist: Implementing a Federated Web SSO Design.
En la ilustración siguiente se muestra cada uno de los componentes necesarios para este objetivo de implementación de AD FS.
