Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
A continuación se muestran los requisitos para implementar servicios de federación de Active Directory (AD FS):
Certificate requirements
TLS/SSL Certificates
Cada servidor proxy de aplicación web y AD FS tiene un certificado TLS/SSL para atender las solicitudes HTTPS al servicio de federación. El proxy de aplicación web puede tener certificados adicionales para atender las solicitudes de servicio a las aplicaciones publicadas.
Recomendaciones para certificados TLS/SSL
Use el mismo certificado TLS/SSL para todos los servidores de federación de AD FS y los servidores proxy de aplicación web.
Requisitos para certificados TLS/SSL
Los certificados TLS/SSL en los servidores de federación deben cumplir los siguientes requisitos:
- El certificado es de confianza pública (para implementaciones de producción).
- El certificado contiene el valor de Uso mejorado de clave (EKU) de autenticación de servidores.
- El certificado contiene el nombre del servicio de federación, como
fs.contoso.com
en el Firmante o Nombre alternativo del firmante (SAN). - Para la autenticación de certificados de usuario en el puerto 443, el certificado contiene
certauth.\<federation service name\>
, comocertauth.fs.contoso.com
en la SAN. - Para el registro de dispositivos o para la autenticación moderna en recursos locales mediante clientes anteriores a Windows 10, la SAN debe contener
enterpriseregistration.\<upn suffix\>
para cada sufijo nombre principal de usuario (UPN) en uso en su organización.
Los certificados TLS/SSL en el proxy de aplicación web deben cumplir los siguientes requisitos:
- Si se utiliza el proxy para manejar solicitudes de AD FS que emplean la autenticación integrada de Windows, el certificado TLS/SSL del proxy debe ser el mismo (usando la misma clave) que el certificado TLS/SSL del servidor de federación.
- If the AD FS property, ExtendedProtectionTokenCheck, is enabled (the default setting in AD FS), the proxy TLS/SSL certificate must be the same (use the same key) as the federation server TLS/SSL certificate.
- De lo contrario, los requisitos para el certificado TLS/SSL de proxy son los mismos que los requisitos para el certificado TLS/SSL del servidor de federación.
Certificado de comunicación de servicios
Este certificado no es necesario para la mayoría de los escenarios de AD FS, incluido el identificador de Microsoft Entra y Office 365. De forma predeterminada, AD FS configura el certificado TLS/SSL proporcionado tras la configuración inicial como certificado de comunicación de servicio.
Recomendación para el certificado de comunicación de servicio
- Use el mismo certificado que se usa para TLS/SSL.
Certificado de firma de tokens
Este certificado se usa para firmar tokens emitidos para usuarios de confianza, por lo que las aplicaciones de usuario de confianza deben reconocer el certificado y su clave asociada como conocida y de confianza. Cuando cambia el certificado de firma de tokens, tal como cuando expira y se configura un nuevo certificado, se deben actualizar todas las partes confiables.
Recomendación para el certificado de firma de tokens
Usa los certificados de firma de tokens de AD FS predeterminados, autofirmados y generados internamente.
Requisitos para el certificado de firma de tokens
- If your organization requires that certificates from the enterprise public key infrastructure (PKI) be used for token signing, you can meet this requirement by using the SigningCertificateThumbprint parameter of the Install-AdfsFarm cmdlet.
- Tanto si usa los certificados generados internamente como los certificados inscritos externamente, cuando se cambia el certificado de firma de tokens, debe asegurarse de que todos los usuarios de confianza se actualizan con la nueva información de certificado. De lo contrario, esos usuarios de confianza no podrán iniciar sesión.
Certificado de cifrado/descifrado de tokens
Este certificado es utilizado por los proveedores de reclamaciones para cifrar tokens emitidos a AD FS.
Recomendación para el certificado de cifrado/descifrado de tokens
Use los certificados de descifrado de tokens autofirmados, generados internamente por defecto en AD FS.
Requisitos para el cifrado de tokens o el certificado de descifrado
- If your organization requires that certificates from the enterprise PKI be used for token signing, you can meet this requirement by using the DecryptingCertificateThumbprint parameter of the Install-AdfsFarm cmdlet.
- Tanto si usas los certificados predeterminados generados internamente como los certificados inscritos externamente, cuando cambia el certificado de descifrado de tokens, tienes que asegurarte de que todos los proveedores de notificaciones se actualicen con la información del nuevo certificado. De lo contrario, se producirá un error al iniciar sesión con los proveedores no actualizados.
Caution
Los certificados que se usan para la firma de tokens y el cifrado/descifrado de tokens son cruciales para la estabilidad del servicio de federación. Los clientes que administran sus propios certificados de firma de tokens y de descifrado y cifrado de tokens deben asegurarse de que estos certificados tengan una copia de seguridad y estén disponibles de forma independiente durante un evento de recuperación.
User Certificates
- Cuando usas la autenticación con certificados de usuario x509 con AD FS, todos los certificados de usuario deben formar una cadena que llegue a una entidad de certificación raíz en la que confíen los servidores de AD FS y del Proxy de Aplicación Web.
Hardware requirements
Los requisitos de hardware de AD FS y Proxy de aplicación web (físicos o virtuales) dependen de la CPU, por lo que debe dimensionar su entorno de servidores según su capacidad de procesamiento.
- Utilice la hoja de cálculo de planificación de capacidad de AD FS 2016 para determinar el número de servidores de AD FS y Proxy de Aplicación Web que necesita.
Los requisitos de memoria y disco para AD FS son bastante estáticos. Los requisitos se muestran en la tabla siguiente:
Hardware requirement | Minimum requirement | Recommended requirement |
---|---|---|
RAM | 2 GB | 4 GB |
Disk space | 32 GB | 100 GB |
Requisitos de hardware de SQL Server
Si usa Azure SQL para la base de datos de configuración de AD FS, ajuste el tamaño de SQL Server según las recomendaciones más básicas de SQL Server. El tamaño de la base de datos de AD FS es pequeño y AD FS no coloca una carga de procesamiento significativa en la instancia de base de datos. Sin embargo, AD FS se conecta a la base de datos varias veces durante una autenticación, por lo que la conexión de red debe ser sólida. Desafortunadamente, SQL Azure no es compatible con la base de datos de configuración de AD FS.
Proxy requirements
Para el acceso a la extranet, debe implementar el servicio de rol Web Application Proxy, parte del rol de servidor Remote Access.
Third-party proxies must support the MS-ADFSPIP protocol to be supported as an AD FS proxy. Para obtener una lista de proveedores de terceros, consulte las preguntas más frecuentes sobre AD FS.
AD FS 2016 requiere servidores proxy de aplicación web en Windows Server 2016. No se puede configurar un proxy de nivel inferior para una granja de AD FS 2016 que se ejecuta en el nivel de comportamiento de la granja de 2016.
No se puede instalar un servidor de federación ni el servicio de rol proxy de aplicación web en el mismo equipo.
Requisitos de AD DS
Requisitos del controlador de dominio
AD FS requiere controladores de dominio que ejecuten Windows Server 2008 o posterior.
Se requiere al menos un controlador de dominio de Windows Server 2016 para Windows Hello para empresas.
Note
Ha finalizado toda la compatibilidad con entornos con controladores de dominio de Windows Server 2003. Para obtener más información, consulte la información del ciclo de vida de Microsoft.
Requisitos de nivel funcional de dominio
Todos los dominios de cuenta de usuario y el dominio al que están unidos los servidores de AD FS deben funcionar en el nivel funcional de dominio de Windows Server 2003 o posterior.
Se requiere un nivel funcional de dominio de Windows Server 2008 o posterior para la autenticación de certificados de cliente si el certificado se asigna explícitamente a la cuenta de un usuario en AD DS.
Schema requirements
Las nuevas instalaciones de AD FS 2016 requieren el esquema de Active Directory 2016 (versión mínima 85).
Elevar el nivel de comportamiento de la granja (FBL, Farm Behavior Level) de AD FS al nivel 2016 requiere el esquema de Active Directory 2016 (versión mínima 85).
Requisitos de la cuenta de servicio
Cualquier cuenta de dominio estándar se puede usar como cuenta de servicio para AD FS. También se admiten cuentas de servicio administradas de grupo. Los permisos necesarios en tiempo de ejecución se vuelven a agregar automáticamente al configurar AD FS.
La asignación de derechos de usuario necesaria para la cuenta de servicio de AD es Iniciar sesión como servicio.
Las asignaciones de derechos de usuario necesarias para
NT Service\adfssrv
yNT Service\drs
son Generar auditorías de seguridad e Iniciar sesión como servicio.Las cuentas de servicio administradas de grupo requieren al menos un controlador de dominio que ejecute Windows Server 2012 o posterior. La cuenta de servicio administrado del grupo (gMSA) debe estar en el contenedor predeterminado
CN=Managed Service Accounts
.Para la autenticación de Kerberos, el nombre de entidad de seguridad de servicio "
HOST/<adfs\_service\_name>
" debe estar registrado en la cuenta de servicio de AD FS. De forma predeterminada, AD FS configura este requisito al crear una nueva granja de AD FS. Si se produce un error en el proceso, como en el caso de una colisión o permisos insuficientes, verás una advertencia y deberá agregarlo manualmente.
Domain Requirements
Todos los servidores de AD FS deben estar unidos a un dominio de AD DS.
Todos los servidores de AD FS de una granja de servidores deben implementarse en el mismo dominio.
La instalación del primer nodo de la granja de servidores de AD FS depende de que el PDC esté disponible.
Requisitos de varios bosques
El dominio al que se unen los servidores de AD FS debe confiar en cada dominio o bosque que contenga usuarios que se autentiquen en el servicio AD FS.
El bosque, que es un miembro de la cuenta de servicio de AD FS, debe confiar en todos los bosques de inicio de sesión de los usuarios.
La cuenta de servicio de AD FS debe tener permisos para leer atributos de usuario en cada dominio que contenga usuarios que se autentiquen en el servicio de AD FS.
Requisitos de la base de datos de configuración
En esta sección se describen los requisitos y restricciones de las granjas de AD FS que usan respectivamente Windows Internal Database (WID) o SQL Server como base de datos:
WID
El perfil de resolución de artefactos de SAML 2.0 no se admite en una granja de WID.
No se admite la detección de reproducción de tokens en una granja WID. Esta funcionalidad solo se usa en escenarios donde AD FS funciona como proveedor de federación y consume tokens de seguridad de proveedores de notificaciones externos.
En la siguiente tabla se proporciona un resumen de cuántos servidores de AD FS se admiten en una granja WID en comparación con una granja SQL Server.
Fideicomisos de 1 a 100 RP | Más de 100 fideicomisos de RP |
---|---|
1-30 nodos de AD FS: compatible con WID | 1-30 nodos de AD FS: No se admite usando WID - Se requiere SQL |
Más de 30 nodos de AD FS: No es compatible con WID - SQL es necesario | Más de 30 nodos de AD FS: No es compatible con WID - SQL es necesario |
SQL Server
Para AD FS en Windows Server 2016, se admiten SQL Server 2008 y versiones posteriores.
Se admite tanto la resolución de artefactos SAML como la detección de reproducción de tokens en una granja de SQL Server.
Browser requirements
Cuando se realiza la autenticación de AD FS a través de un explorador o control de explorador, el explorador debe cumplir los siguientes requisitos:
JavaScript debe estar habilitado.
Para el inicio de sesión único, el explorador cliente debe configurarse para permitir cookies.
Se debe admitir la indicación de nombre de servidor (SNI).
Para la autenticación de certificados de usuario y de dispositivo, el explorador debe admitir la autenticación de certificados de cliente TLS/SSL.
Para el inicio de sesión sin problemas mediante la autenticación integrada de Windows, el nombre del servicio de federación (como
https:\/\/fs.contoso.com
) debe configurarse en la zona de intranet local o en la zona de sitios de confianza.
Network requirements
Firewall Requirements
Tanto los firewalls ubicados entre el proxy de aplicación web como la granja de servidores de federación y entre los clientes y el proxy de aplicación web deben tener el puerto TCP 443 habilitado de entrada.
Además, si necesita autenticación de certificado de usuario cliente (autenticación clientTLS mediante certificados de usuario X509) y no tiene el puerto 443 en el punto de conexión certauth habilitado. AD FS 2016 requiere que habilite el puerto TCP 49443 entrante en el firewall entre los clientes y el proxy de aplicación web. Este requisito no se aplica al firewall entre el proxy de aplicación web y los servidores de federación.
Para obtener más información sobre los requisitos de puertos híbridos, consulte Puertos y protocolos necesarios de identidad híbrida.
Para obtener más información, consulte Procedimientos recomendados para proteger los servicios de federación de Active Directory.
DNS Requirements
Para el acceso a la intranet, todos los clientes que acceden al servicio AD FS dentro de la red corporativa interna (intranet) deben poder resolver el nombre del servicio de AD FS en el equilibrador de carga para los servidores de AD FS o el servidor de AD FS.
Para el acceso a extranet, todos los clientes que acceden al servicio de AD FS desde fuera de la red corporativa (extranet/Internet) deben poder resolver el nombre del servicio de AD FS en el equilibrador de carga para los servidores proxy de aplicación web o el servidor proxy de aplicación web.
Cada servidor de proxy de aplicación web de la red perimetral (DMZ) debe ser capaz de resolver el nombre de servicio de AD FS en el equilibrador de carga para el o los servidores de AD FS. Puede crear esta configuración mediante un servidor de sistema de nombres de dominio (DNS) alternativo en la red DMZ o cambiando la resolución del servidor local mediante el archivo HOSTS.
Para la autenticación integrada de Windows, debe usar un registro A DNS (no CNAME) para el nombre del servicio de federación.
Para la autenticación de certificados de usuario en el puerto 443, "certauth.<nombre del servicio de federación>" debe configurarse en DNS para que resuelva al servidor de federación o al proxy de aplicación web.
Para registrar dispositivos o realizar una autenticación moderna en recursos locales mediante clientes anteriores a Windows 10,
enterpriseregistration.\<upn suffix\>
, para cada sufijo UPN en uso en su organización, debe estar configurado para resolver el servidor de federación o el proxy de aplicación web.
Requisitos de balanceador de carga
- El equilibrador de carga no debe terminar la conexión TLS/SSL. AD FS admite varios casos de uso con autenticación de certificados, lo que se interrumpe al finalizar TLS/SSL. No se admite la terminación de TLS/SSL en el equilibrador de carga para ningún caso de uso.
- Use un equilibrador de carga que admita SNI. En caso contrario, usar el enlace de reserva 0.0.0.0 en el servidor de AD FS o proxy de aplicación web debería ofrecer una solución alternativa.
- Use los puntos de conexión de sondeo de mantenimiento de HTTP (no HTTPS) para hacer comprobaciones de estado del equilibrador de carga para el enrutamiento del tráfico. Este requisito evita cualquier problema relacionado con SNI. La respuesta a estos puntos de conexión de sondeo es un estado HTTP 200 - Correcto y se atiende localmente sin depender de los servicios de back-end. Se puede acceder al sondeo HTTP a través de HTTP mediante la ruta de acceso "/adfs/probe".
http://<Web Application Proxy name>/adfs/probe
http://<AD FS server name>/adfs/probe
http://<Web Application Proxy IP address>/adfs/probe
http://<AD FS IP address>/adfs/probe
- No se recomienda usar round robin dns como una manera de equilibrar la carga. El uso de este tipo de balanceador de carga no proporciona una manera automatizada de quitar un nodo del balanceador de carga usando sondeos de salud.
- NO se recomienda usar la afinidad de sesión basada en IP ni sesiones permanentes para el tráfico de autenticación a AD FS dentro del equilibrador de carga. Podría provocar una sobrecarga de determinados nodos al usar el protocolo de autenticación heredado para que los clientes de correo se conecten a los servicios de correo de Office 365 (Exchange Online).
Permissions requirements
El administrador que realiza la instalación y la configuración inicial de AD FS deben tener permisos de administrador local en el servidor de AD FS. If the local administrator doesn't have permissions to create objects in Active Directory, they must first have a domain admin create the required AD objects, then configure the AD FS farm using the AdminConfiguration parameter.