Proporcionar a los usuarios de Active Directory acceso a las aplicaciones y servicios habilitados para notificaciones
Cuando se es administrador de la organización del asociado de cuenta en una implementación de Servicios de federación de Active Directory (AD FS) y se tiene un objetivo de implementación para proporcionar acceso de sesión único (SSO) a los empleados de la red corporativa a tus recursos hospedados, ocurre lo siguiente:
Los empleados que iniciaron sesión en un bosque de Active Directory de la red corporativa pueden usar SSO para tener acceso a varias aplicaciones o servicios de la red perimetral de tu propia organización. AD FS protege estas aplicaciones y servicios.
Por ejemplo, puede que Fabrikam quiera que los empleados de la red corporativa tengan acceso federado a aplicaciones basadas en web que se hospedan la red perimetral para Fabrikam.
Los empleados remotos que iniciaron sesión en un dominio de Active Directory pueden obtener tokens de AD FS del servidor de federación de tu organización para obtener acceso federado a aplicaciones basadas en web y protegidas por AD FS o servicios que también residen en tu organización.
Se puede rellenar la información del almacén de atributos de Active Directory en los tokens de AD FS de los empleados.
Los componentes siguientes son necesarios para este objetivo de implementación:
Servicios de dominio de Active Directory (AD DS): AD DS contiene las cuentas de usuario de los empleados que se usan para generar tokens de AD FS. La información, como la pertenencia a grupos y los atributos, se rellena en los tokens de AD FS como notificaciones de grupo y notificaciones personalizadas.
Nota
También puedes usar el Protocolo ligero de acceso a directorios (LDAP) o el Lenguaje de consulta estructurado (SQL) para contener las identidades para la generación de tokens de AD FS.
DNS corporativo: esta implementación del Sistema de nombres de dominio (DNS) contiene un registro de recursos de host simple (A) para que los clientes de intranet puedan localizar el servidor de federación de la cuenta. Esta implementación de DNS también puede hospedar otros registros DNS que se requieren en la red corporativa. Para obtener más información, consulta Requisitos de resolución de nombres para los servidores de federación.
Servidor de federación de asociados de cuenta: este servidor de federación está unido a un dominio en el bosque del asociado de cuenta. Autentica las cuentas de usuario de empleados y genera tokens de AD FS. El equipo cliente del empleado realiza la autenticación integrada de Windows en este servidor de federación para generar un token de AD FS. Para obtener más información, consulte Review the Role of the Federation Server in the Account Partner.
El servidor de federación de asociado de cuenta puede autenticar a los usuarios siguientes:
Empleados con cuentas de usuario en este dominio
Empleados con cuentas de usuario en cualquier sitio de este bosque
Empleados con cuentas de usuario en cualquier sitio de los bosques de confianza de este bosque (a través de una confianza bidireccional de Windows)
Empleado:Un empleado tiene acceso a un servicio basado en web (a través de una aplicación) o a una aplicación basada en web (a través de un explorador web compatible) mientras haya iniciado sesión en la red corporativa. El equipo cliente del empleado de la red corporativa se comunica directamente con el servidor de federación para la autenticación.
Después de revisar la información de los temas vinculados, puedes empezar a implementar este objetivo siguiendo los pasos descritos en Checklist: Implementing a Federated Web SSO Design.
En la ilustración siguiente se muestra cada uno de los componentes necesarios para este objetivo de implementación de AD FS.
