Creación de una relación de confianza para usuario autenticado
En el siguiente documento se proporciona información sobre cómo crear manualmente una relación de confianza para usuario autenticado y cómo usar metadatos de federación.
Creación de una relación de confianza para usuario autenticado compatible con notificaciones manualmente
Para agregar una nueva relación de confianza para usuario autenticado mediante el complemento de administración de AD FS (Servicios de federación de Active Directory) y configurar manualmente los valores, realice el procedimiento siguiente en un servidor de federación.
La pertenencia al grupo Administradores o equivalente en el equipo local es el requisito mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en los grupos predeterminados de dominio y local.
En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.
En Acciones, haga clic en Agregar veracidad del usuario de confianza.
En la página de bienvenida, elija Claims aware (Compatible con notificaciones) y haga clic en Iniciar.
En la página Seleccionar origen de datos, haz clic en Escribir manualmente los datos acerca del usuario de confianza y luego en Siguiente.
En la página Especificar nombre para mostrar, escriba un nombre en Nombre para mostrar, en Notas escriba una descripción de esta relación de confianza para usuario autenticado y luego haga clic en Siguiente.
Si tiene un certificado de cifrado de tokens opcional, en la página Configurar certificado, haga clic en Examinar para buscar el archivo de certificado y, después, haga clic en Siguiente.
En la página Configurar dirección URL, realice una de las acciones siguientes, o las dos, haga clic en Siguiente y vaya al paso 8:
Activa la casilla Habilitar compatibilidad con el protocolo WS-Federation Passive. En URL de protocolo WS-Federation Passive para usuario de confianza, escribe la dirección URL de esta relación de confianza para usuario autenticado y luego haz clic en Siguiente.
Active la casilla Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO . En Relying party SAML 2.0 SSO service URL (URL del servicio SSO de SAML 2.0 del usuario de confianza), escriba la URL del punto de conexión de servicio de Lenguaje de marcado de aserción de seguridad (SAML) correspondiente a esta relación de confianza para usuario autenticado y luego haga clic en Siguiente.
En la página Configurar identificadores, especifica uno o varios identificadores para este usuario de confianza, haz clic en Agregar para agregarlos a la lista y haz clic en Siguiente.
En Choose Access Control Policy (Elegir directiva de control de acceso), seleccione una directiva y haga clic en Siguiente. Para obtener más información sobre las directivas de control de acceso, consulte Directivas de control de acceso en AD FS para Windows Server 2016.
En la página Ready to Add Trust (Listo para agregar confianza), revise la configuración y luego haga clic en Siguiente para guardar la información de la relación de confianza para usuario autenticado.
En la página Finalizar, haz clic en Cerrar. Esta acción muestra automáticamente el cuadro de diálogo Editar reglas de notificaciones.
Creación de una relación de confianza para usuario autenticado compatible con notificaciones mediante metadatos de federación
Para agregar una nueva relación de confianza para usuario autenticado con el complemento Administración de AD FS, importando automáticamente los datos de configuración del asociado de los metadatos de federación que el asociado publicó en una red local o en Internet, realice el siguiente procedimiento en un servidor de federación, en la organización del asociado de cuenta.
Nota
Aunque la práctica habitual era usar certificados con nombres de host sin calificar, como https://myserver, estos certificados no tienen valor de seguridad y pueden permitir que un atacante suplante un servicio de federación que está publicando metadatos de federación. Por lo tanto, para consultar los metadatos de federación, solo debe usar un nombre de dominio completo, como https://myserver.contoso.com.
La pertenencia al grupo Administradores o equivalente en el equipo local es el requisito mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en los grupos predeterminados de dominio y local.
En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.
En Acciones, haga clic en Agregar veracidad del usuario de confianza.
En la página de bienvenida, elija Claims aware (Compatible con notificaciones) y haga clic en Iniciar.
En la página Seleccionar origen de datos, haz clic en Importar los datos acerca del usuario de confianza publicados en línea o en una red local. En Dirección de metadatos de federación (nombre de host o dirección URL), escribe la dirección URL de los metadatos de federación o el nombre de host del asociado y haz clic en Siguiente.
En la página Especificar nombre para mostrar, escriba un Nombre para mostrar; en Notas, escriba una descripción para esta relación de confianza para usuario autenticado, y luego haga clic en Siguiente.
En la página Elegir reglas de autorización de emisión , selecciona Permitir a todos los usuarios el acceso a este usuario de confianza o Denegar a todos los usuarios el acceso a este usuario de confianzay haz clic en Siguiente.
En la página Ready to Add Trust (Listo para agregar confianza), revise la configuración y luego haga clic en Siguiente para guardar la información de la relación de confianza para usuario autenticado.
En la página Finalizar , haga clic en Cerrar. Esta acción muestra automáticamente el cuadro de diálogo Editar reglas de notificaciones. Para obtener más información sobre cómo continuar agregando reglas de notificaciones para esta relación de confianza para usuario autenticado, consulta Referencias adicionales.