Compartir a través de

Creación de una relación de confianza para usuario autenticado

  • Artículo

En el siguiente documento se proporciona información sobre cómo crear manualmente una relación de confianza para usuario autenticado y cómo usar metadatos de federación.

Creación de una relación de confianza para usuario autenticado compatible con notificaciones manualmente

Para agregar una nueva relación de confianza para usuario autenticado mediante el complemento de administración de AD FS (Servicios de federación de Active Directory) y configurar manualmente los valores, realice el procedimiento siguiente en un servidor de federación.

La pertenencia al grupo Administradores o equivalente en el equipo local es el requisito mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en los grupos predeterminados de dominio y local.

  1. En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.

  2. En Acciones, haga clic en Agregar veracidad del usuario de confianza.

    Screenshot of the AD FS dialog box with the Add Relying Party Trust option in the Actions pane called out.

  3. En la página de bienvenida, elija Claims aware (Compatible con notificaciones) y haga clic en Iniciar.

    Screenshot of the Welcome page of the Add Relying Party Trust Wizard showing the Claims aware option selected.

  4. En la página Seleccionar origen de datos, haz clic en Escribir manualmente los datos acerca del usuario de confianza y luego en Siguiente.

    Screenshot of the Select Data Source page of the Add Relying Party Trust Wizard showing the Enter data about the relying party manually option selected.

  5. En la página Especificar nombre para mostrar, escriba un nombre en Nombre para mostrar, en Notas escriba una descripción de esta relación de confianza para usuario autenticado y luego haga clic en Siguiente.

    Screenshot of the Specify Display Name page of the Add Relying Party Trust Wizard.

  6. Si tiene un certificado de cifrado de tokens opcional, en la página Configurar certificado, haga clic en Examinar para buscar el archivo de certificado y, después, haga clic en Siguiente.

    Screenshot of the Configure Certificate page of the Add Relying Party Trust Wizard showing the Browse button called out.

  7. En la página Configurar dirección URL, realice una de las acciones siguientes, o las dos, haga clic en Siguiente y vaya al paso 8:

    • Activa la casilla Habilitar compatibilidad con el protocolo WS-Federation Passive. En URL de protocolo WS-Federation Passive para usuario de confianza, escribe la dirección URL de esta relación de confianza para usuario autenticado y luego haz clic en Siguiente.

    • Active la casilla Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO . En Relying party SAML 2.0 SSO service URL (URL del servicio SSO de SAML 2.0 del usuario de confianza), escriba la URL del punto de conexión de servicio de Lenguaje de marcado de aserción de seguridad (SAML) correspondiente a esta relación de confianza para usuario autenticado y luego haga clic en Siguiente.

    Screenshot of the Configure Certificate page of the Add Relying Party Trust Wizard showing the configuration explained above.

  8. En la página Configurar identificadores, especifica uno o varios identificadores para este usuario de confianza, haz clic en Agregar para agregarlos a la lista y haz clic en Siguiente.

    Screenshot of the Configure Identifiers page of the Add Relying Party Trust Wizard showing identifiers added to the Relying party trust identifiers section.

  9. En Choose Access Control Policy (Elegir directiva de control de acceso), seleccione una directiva y haga clic en Siguiente. Para obtener más información sobre las directivas de control de acceso, consulte Directivas de control de acceso en AD FS para Windows Server 2016.

    Screenshot of the Choose Access Control Policy page of the Add Relying Party Trust Wizard showing the Permit everyone and require MFA option highlighted.

  10. En la página Ready to Add Trust (Listo para agregar confianza), revise la configuración y luego haga clic en Siguiente para guardar la información de la relación de confianza para usuario autenticado.

    Screenshot of the Ready to Add Trust page of the Add Relying Party Trust Wizard.

  11. En la página Finalizar, haz clic en Cerrar. Esta acción muestra automáticamente el cuadro de diálogo Editar reglas de notificaciones.

    Screenshot of the Finish page of the Add Relying Party Trust Wizard.

Creación de una relación de confianza para usuario autenticado compatible con notificaciones mediante metadatos de federación

Para agregar una nueva relación de confianza para usuario autenticado con el complemento Administración de AD FS, importando automáticamente los datos de configuración del asociado de los metadatos de federación que el asociado publicó en una red local o en Internet, realice el siguiente procedimiento en un servidor de federación, en la organización del asociado de cuenta.

Nota

Aunque la práctica habitual era usar certificados con nombres de host sin calificar, como https://myserver, estos certificados no tienen valor de seguridad y pueden permitir que un atacante suplante un servicio de federación que está publicando metadatos de federación. Por lo tanto, para consultar los metadatos de federación, solo debe usar un nombre de dominio completo, como https://myserver.contoso.com.

La pertenencia al grupo Administradores o equivalente en el equipo local es el requisito mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en los grupos predeterminados de dominio y local.

  1. En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.

  2. En Acciones, haga clic en Agregar veracidad del usuario de confianza.

    Another screenshot of the AD FS dialog box with the Add Relying Party Trust option in the Actions pane called out.

  3. En la página de bienvenida, elija Claims aware (Compatible con notificaciones) y haga clic en Iniciar.

    Another screenshot of the Welcome page of the Add Relying Party Trust Wizard showing the Claims aware option selected.

  4. En la página Seleccionar origen de datos, haz clic en Importar los datos acerca del usuario de confianza publicados en línea o en una red local. En Dirección de metadatos de federación (nombre de host o dirección URL), escribe la dirección URL de los metadatos de federación o el nombre de host del asociado y haz clic en Siguiente.

    Screenshot of the Select Data Source page of the Add Relying Party Trust Wizard showing the Import data about the relying party published online or on a local network option selected.

  5. En la página Especificar nombre para mostrar, escriba un Nombre para mostrar; en Notas, escriba una descripción para esta relación de confianza para usuario autenticado, y luego haga clic en Siguiente.

  6. En la página Elegir reglas de autorización de emisión , selecciona Permitir a todos los usuarios el acceso a este usuario de confianza o Denegar a todos los usuarios el acceso a este usuario de confianzay haz clic en Siguiente.

  7. En la página Ready to Add Trust (Listo para agregar confianza), revise la configuración y luego haga clic en Siguiente para guardar la información de la relación de confianza para usuario autenticado.

  8. En la página Finalizar , haga clic en Cerrar. Esta acción muestra automáticamente el cuadro de diálogo Editar reglas de notificaciones. Para obtener más información sobre cómo continuar agregando reglas de notificaciones para esta relación de confianza para usuario autenticado, consulta Referencias adicionales.

Consulte también

Operaciones de AD FS