Requisitos de AD FS
Estos son los requisitos para implementar los Servicios de federación de Active Directory (AD FS) (AD FS):
Requisitos de certificados
Certificados TLS/SSL
Cada servidor de AD FS y Proxy de aplicación web tiene un certificado TLS/SSL para atender las solicitudes HTTPS al servicio de federación. El Proxy de aplicación web puede tener certificados adicionales para atender las solicitudes a las aplicaciones publicadas.
Recomendaciones para certificados TLS/SSL
Use el mismo certificado TLS/SSL para todos los servidores de federación de AD FS y de Proxy de aplicación web.
Requisitos para certificados TLS/SSL
Los certificados TLS/SSL en servidores de federación tienen que cumplir los siguientes requisitos:
- El certificado es de confianza pública (para implementaciones de producción).
- El certificado contiene el valor de Uso mejorado de clave (EKU) de autenticación de servidores.
- El certificado contiene el nombre del servicio de federación, como
fs.contoso.com
en el Firmante o Nombre alternativo del firmante (SAN). - Para la autenticación de certificados de usuario en el puerto 443, el certificado contiene
certauth.\<federation service name\>
, comocertauth.fs.contoso.com
en el SAN. - Para el registro de dispositivos o la autenticación moderna en recursos locales mediante clientes anteriores a Windows 10, el SAN debe contener
enterpriseregistration.\<upn suffix\>
para cada sufijo de nombre principal de usuario (UPN) en uso en la organización.
Los certificados TLS/SSL en el proxy de aplicación web tienen que cumplir los siguientes requisitos:
- Si el proxy se usa para redirigir mediante proxy las solicitudes de AD FS que usan la autenticación integrada de Windows, el certificado TLS/SSL del proxy debe ser el mismo (usar la misma clave) que el certificado TLS/SSL del servidor de federación.
- Si la propiedad AD FS, ExtendedProtectionTokenCheck, está habilitada (la configuración predeterminada en AD FS), el certificado TLS/SSL del proxy debe ser el mismo (usar la misma clave) que el certificado TLS/SSL del servidor de federación.
- De lo contrario, los requisitos para el certificado TLS/SSL del proxy son los mismos que para el certificado TLS/SSL del servidor de federación.
Certificado de comunicación de servicios
Este certificado no es necesario para la mayoría de los escenarios de AD FS, incluidos Microsoft Entra ID y Office 365. De manera predeterminada, AD FS configura el certificado TLS/SSL que se proporciona en la configuración inicial como certificado de comunicación de servicios.
Recomendación para el certificado de comunicación de servicio
- Use el mismo certificado que usa para TLS/SSL.
Certificado de firma de tokens
Este certificado se usa para firmar tokens emitidos para usuarios de confianza, por lo que las aplicaciones de usuario de confianza deben reconocer el certificado y su clave asociada como conocida y de confianza. Cuando cambia el certificado de firma de tokens, como cuando expira y configuras un nuevo certificado, se deben actualizar todos los usuarios de confianza.
Recomendación para el certificado de firma de tokens
Usa los certificados de firma de tokens de AD FS predeterminados, autofirmados y generados internamente.
Requisitos para los certificados de firma de tokens
- Si la organización requiere que se usen certificados de la infraestructura de clave pública de empresa (PKI) para la firma de tokens, esto se puede hacer mediante el parámetro SigningCertificateThumbprint del cmdlet Install-AdfsFarm.
- Tanto si usas los certificados predeterminados generados internamente como los certificados inscritos externamente, cuando cambia el certificado de firma de tokens, tienes que asegurarte de que todos los usuarios de confianza se actualicen con la información del nuevo certificado. De lo contrario, esos usuarios de confianza no podrán iniciar sesión.
Certificado de cifrado y descifrado de tokens
Los proveedores de notificaciones que cifran los tokens emitidos para AD FS usan este certificado.
Recomendación para cifrar o descifrar tokens de certificado
Usa los certificados de descifrado de tokens de AD FS predeterminados, autofirmados y generados internamente.
Requisitos para cifrar o descifrar tokens de certificado
- Si la organización requiere que se usen certificados de la infraestructura de clave pública de empresa (PKI) para firmar tokens, esto se puede hacer mediante el parámetro DecryptingCertificateThumbprint del cmdlet Install-AdfsFarm.
- Tanto si usas los certificados predeterminados generados internamente como los certificados inscritos externamente, cuando cambia el certificado de descifrado de tokens, tienes que asegurarte de que todos los proveedores de notificaciones se actualicen con la información del nuevo certificado. De lo contrario, se producirá un error al iniciar sesión con los proveedores no actualizados.
Precaución
Los certificados que se usan para la firma de tokens y el cifrado/descifrado de tokens son cruciales para la estabilidad del servicio de federación. Los clientes que administran sus propios certificados de firma de tokens y de descifrado y cifrado de tokens deben asegurarse de que estos certificados tengan una copia de seguridad y estén disponibles de forma independiente durante un evento de recuperación.
Certificados de usuario
- Al usar la autenticación de certificados de usuario x509 con AD FS, todos los certificados de usuario deben encadenarse a una entidad de certificación raíz que sea de confianza para los servidores de AD FS y de Proxy de aplicación web.
Requisitos de hardware
Los requisitos de hardware (físico o virtual) de AD FS y Proxy de aplicación web dependen de la CPU, por lo que debes ajustar el tamaño de la granja para la capacidad de procesamiento.
- Use la hoja de cálculo de planeamiento de capacidad de AD FS 2016 para determinar el número de servidores de AD FS y de proxy de aplicación web que necesitará.
Los requisitos de memoria y disco para AD FS son bastante estáticos. Los requisitos se muestran en la tabla siguiente:
Requisito de hardware | Requisito mínimo | Requisito recomendado |
---|---|---|
RAM | 2 GB | 4 GB |
Espacio en disco | 32 GB | 100 GB |
Requisitos de hardware de SQL Server
Si usa Azure SQL para la base de datos de configuración de AD FS, ajuste el tamaño de SQL Server según las recomendaciones de SQL Server más básicas. El tamaño de la base de datos de AD FS es pequeño, y AD FS no coloca una carga de procesamiento significativa en la instancia de bases de datos. Sin embargo, AD FS se conecta a la base de datos varias veces durante una autenticación, por lo que la conexión de red debe ser sólida. Desafortunadamente, SQL Azure no es compatible con la base de datos de configuración de AD FS.
Requisitos de proxy
Para el acceso desde una extranet, tienes que implementar el servicio de rol de Proxy de aplicación web, parte del rol de servidor de Acceso remoto.
Los servidores proxy de terceros deben admitir el protocolo MS-ADFSPIP para que se admitan como proxy de AD FS. Para obtener una lista de proveedores de terceros, consulte las Preguntas más frecuentes (P+F) sobre AD FS.
AD FS 2016 requiere servidores de Proxy de aplicación web en Windows Server 2016. No se puede configurar un proxy de nivel inferior para una granja de AD FS 2016 que se ejecuta en el nivel de comportamiento de la granja de 2016.
No se puede instalar un servidor de federación y el servicio de rol de Proxy de aplicación web en el mismo equipo.
Requisitos de AD DS
Requisitos del controlador de dominio
AD FS requiere controladores de dominio que se ejecuten en Windows Server 2008 o posterior.
Se requiere al menos un controlador de dominio de Windows Server 2016 para Windows Hello para empresas.
Nota
Ha finalizado todo el soporte técnico para los entornos con controladores de dominio de Windows Server 2003. Para obtener más información, consulte la directiva de ciclo de vida de Microsoft.
Requisitos de nivel funcional del dominio
Todos los dominios de cuentas de usuario y el dominio al cual se unen los servidores de AD FS deben funcionar en el nivel funcional de dominio de Windows Server 2003 o posterior.
Se requiere un nivel funcional de dominio de Windows Server 2008 o posterior para la autenticar el certificado de cliente si dicho certificado está asignado explícitamente a una cuenta de usuario en AD DS.
Requisitos de esquema
Las nuevas instalaciones de AD FS 2016 requieren el esquema de Active Directory 2016 (versión mínima 85).
La elevación del nivel de comportamiento de la granja (FBL) de AD FS al nivel 2016 requiere el esquema de Active Directory 2016 (versión mínima 85).
Requisitos de cuentas de servicio
Se puede usar cualquier cuenta de dominio estándar como cuenta de servicio para AD FS. También se admiten cuentas de servicio administradas de grupo. Los permisos necesarios en tiempo de ejecución se agregan automáticamente al configurar AD FS.
La asignación de derechos de usuario necesaria para la cuenta de servicio de AD es Iniciar sesión como servicio.
Las asignaciones de derechos de usuario necesarias para
NT Service\adfssrv
yNT Service\drs
son Generar auditorías de seguridad e Iniciar sesión como servicio.Las cuentas de servicio administradas de grupo requieren al menos un controlador de dominio que ejecute Windows Server 2012 o posterior. El grupo de Cuenta de servicio administrada (gMSA) debe residir en el contenedor
CN=Managed Service Accounts
predeterminado.Para la autenticación de Kerberos, el nombre de entidad de seguridad de servicio "
HOST/<adfs\_service\_name>
" debe estar registrado en la cuenta de servicio de AD FS. De forma predeterminada, AD FS configura este requisito al crear una nueva granja de AD FS. Si se produce un error en el proceso, como en el caso de una colisión o permisos insuficientes, verás una advertencia y deberá agregarlo manualmente.
Requisitos de dominio
Todos los servidores de AD FS deben estar unidos a un dominio AD DS.
Todos los servidores de AD FS de una granja deben implementarse en el mismo dominio.
La instalación del primer nodo de la granja de AD FS depende de que PDC esté disponible.
Requisitos de varios bosques
El dominio al que se unan los servidores de AD FS debe confiar en cada dominio o bosque que contenga usuarios que se autentiquen en el servicio AD FS.
El bosque, que es un miembro de la cuenta de servicio de AD FS, debe confiar en todos los bosques de inicio de sesión de los usuarios.
La cuenta de servicio de AD FS debe tener permisos para leer los atributos de usuario en todos los dominios que contengan usuarios que se autentiquen en el servicio de AD FS.
Requisitos de bases de datos de configuración
En esta sección se describen los requisitos y las restricciones de las granjas de AD FS que usan respectivamente Windows Internal Database (WID) o SQL Server como base de datos:
WID
El perfil de resolución de artefactos de SAML 2.0 no se admite en una granja de WID.
No se admite la detección de reproducción de tokens en una granja WID. Esta funcionalidad solo se usa en escenarios donde AD FS funciona como proveedor de federación y consume tokens de seguridad de proveedores de notificaciones externos.
En la tabla siguiente se proporciona un resumen del número de servidores de AD FS que se admiten en una granja de WID frente a una de SQL Server.
1-100 relaciones de confianza para usuario autenticado | Más de 100 relaciones de confianza para usuario autenticado |
---|---|
1-30 nodos de AD FS: Compatible con WID | 1-30 nodos de AD FS: No compatible con WID, se requiere SQL |
Más de 30 nodos de AD FS: No compatible con WID, se requiere SQL | Más de 30 nodos de AD FS: No compatible con WID, se requiere SQL |
SQL Server
Para AD FS en Windows Server 2016, se admiten las versiones de SQL Server 2008 y posteriores.
Se admite tanto la resolución de artefactos SAML como la detección de reproducción de tokens en una granja de SQL Server.
Requisitos del explorador
Cuando la autenticación de AD FS se hace a través de un explorador o un control de explorador, el explorador tiene que cumplir los siguientes requisitos:
JavaScript debe estar habilitado.
Para el inicio de sesión único, el explorador cliente tiene que estar configurado para permitir cookies.
Se debe admitir la Indicación de nombre de servidor (SNI).
Para autenticar certificados de usuario y certificados de dispositivo , el explorador tiene que admitir la autenticación de certificados de cliente TLS/SSL.
Para un inicio de sesión sin problemas con la Autenticación integrada de Windows, el nombre del servicio de federación (como
https:\/\/fs.contoso.com
) debe estar configurado en la zona de intranet local o en la zona de sitios de confianza.
Requisitos de red
Requisitos de firewall
Tanto el firewall que se encuentra entre el proxy de aplicación web y la granja de servidores de federación como el que se encuentra entre los clientes y el proxy de aplicación web deben tener el puerto TCP 443 habilitado para la entrada.
Además, si necesita autenticar certificados de usuario de cliente (autenticación clientTLS mediante certificados de usuario X509) y no tiene habilitado el puerto 443 en el punto de conexión certauth. AD FS 2016 requiere que habilite el puerto TCP 49443 entrante en el firewall entre los clientes y el Application Proxy web. Esto no es necesario en el firewall entre el proxy de aplicación web y los servidores de federación.
Para obtener información adicional sobre los requisitos de puerto híbrido, consulte Puertos y protocolos requeridos para la identidad híbrida.
Para obtener más información, consulte los Procedimientos recomendados para proteger los servicios de federación de Active Directory
Requisitos de DNS
Para el acceso desde una intranet, todos los clientes que accedan al servicio de AD FS dentro de la red corporativa interna intranet deben poder resolver el nombre del servicio de AD FS en el equilibrador de carga para el o los servidores de AD FS.
Para el acceso desde una extranet, todos los clientes que accedan al servicio de AD FS desde fuera de la red corporativa (extranet/Intranet) deben poder resolver el nombre del servicio de AD FS en el equilibrador de carga para el o los servidores del Proxy de aplicación web.
Cada servidor de proxy de aplicación web de la red perimetral (DMZ) debe ser capaz de resolver el nombre de servicio de AD FS en el equilibrador de carga para el o los servidores de AD FS. Puede crear esta configuración mediante un servidor alternativo del Sistema de nombres de dominio (DNS) en la red DMZ o cambiando la resolución del servidor local mediante el archivo HOSTS.
Para la Autenticación integrada de Windows, tienes que usar un registro A de DNS (no CNAME) para el nombre del servicio de federación.
Para la autenticación de certificados de usuario en el puerto 443, "certauth.<federation service name>" debe estar configurado en DNS para resolver el servidor de federación o el proxy de aplicación web.
Para registrar dispositivos o realizar una autenticación moderna en recursos locales mediante clientes anteriores a Windows 10,
enterpriseregistration.\<upn suffix\>
, para cada sufijo UPN en uso en su organización, debe estar configurado para resolver el servidor de federación o el proxy de aplicación web.
Requisitos del equilibrador de carga
- El equilibrador de carga no debe finalizar TLS/SSL. AD FS admite varios casos de uso con autenticación de certificados, los cuales se interrumpirán al finalizar TLS/SSL. No se admite la finalizar TLS/SSL en el equilibrador de carga en ningún caso.
- Use un equilibrador de carga que admita SNI. En caso contrario, usar el enlace de reserva 0.0.0.0 en el servidor de AD FS o proxy de aplicación web debería ofrecer una solución alternativa.
- Use los puntos de conexión de sondeo de mantenimiento de HTTP (no HTTPS) para hacer comprobaciones de estado del equilibrador de carga para el enrutamiento del tráfico. Este requisito evita cualquier problema relacionado con el SNI. La respuesta a estos puntos de conexión de sondeo es un estado HTTP 200 - Correcto y se atiende localmente sin depender de los servicios de back-end. Se puede acceder al sondeo HTTP a través de HTTP mediante la ruta de acceso "/adfs/probe".
http://<Web Application Proxy name>/adfs/probe
http://<AD FS server name>/adfs/probe
http://<Web Application Proxy IP address>/adfs/probe
http://<AD FS IP address>/adfs/probe
- No se recomienda usar round robin de DNS para equilibrar la carga. Usar este tipo de equilibrio de carga no proporciona una manera automatizada de quitar un nodo del equilibrador de carga mediante sondeos de estado.
- NO se recomienda usar la afinidad de sesión basada en IP ni sesiones permanentes para el tráfico de autenticación a AD FS dentro del equilibrador de carga. Esto puede producir una sobrecarga de ciertos nodos cuando se usa el protocolo de autenticación heredado para que los clientes de correo se conecten a los servicios de correo de Office 365 (Exchange Online).
Requisitos de permisos
El administrador que se encarga de la instalación y la configuración inicial de AD FS debe tener permisos de administrador local en el servidor de AD FS. Si el administrador local no tiene permisos para crear objetos en Active Directory, primero debe hacer que un administrador de dominio cree los objetos de AD necesarios y, luego, configure la granja de AD FS con el parámetro AdminConfiguration.