Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La base de datos de configuración de AD FS almacena todos los datos de configuración que representan una sola instancia de Servicios de federación de Active Directory (AD FS) (es decir, el servicio de federación). La base de datos de configuración de AD FS define el conjunto de parámetros que un servicio de federación requiere para identificar asociados, certificados, almacenes de atributos, notificaciones y varios datos sobre estas entidades asociadas. Puede almacenar estos datos de configuración en una base de datos de Microsoft SQL Server® o en la característica de Windows Internal Database (WID) que se incluye con Windows Server 2012 o superior.
Nota:
Todo el contenido de la base de datos de configuración de AD FS se puede almacenar en una instancia de WID o en una instancia de la base de datos SQL, pero no en ambos. Esto significa que no puede tener algunos servidores de federación mediante WID y otros mediante una base de datos de SQL Server para la misma instancia de la base de datos de configuración de AD FS.
Puede usar la siguiente información de este tema junto con el contenido proporcionado en Consideraciones de topología de implementación de AD FS para obtener información sobre las ventajas y desventajas de elegir WID o SQL Server para almacenar la base de datos de configuración de AD FS:
WID usa un almacén de datos relacional y no tiene su propia interfaz de usuario de administración (UI). En su lugar, los administradores pueden modificar el contenido de la base de datos de configuración de AD FS mediante el complemento de administración de AD FS, Fsconfig.exe, o los cmdlets de Windows PowerShell™.
Uso de WID para almacenar la base de datos de configuración de AD FS
Puede crear la base de datos de configuración de AD FS utilizando WID como almacén mediante la herramienta de línea de comandos Fsconfig.exe o el Asistente para configuración del servidor de federación de AD FS. Al usar cualquiera de estas herramientas, puede elegir cualquiera de las siguientes opciones para crear la topología del servidor de federación. Cada una de estas opciones usa WID para almacenar la base de datos de configuración de AD FS:
Creación de un servidor de federación independiente
Creación del primer servidor de federación en una granja de servidores de federación
Agregar un servidor de federación a una granja de servidores de federación
Si selecciona la opción independiente, WID se usa para almacenar una sola instancia de la base de datos de configuración de AD FS. Esta instancia no se puede compartir entre varios servidores de federación. Solo está pensado para entornos de laboratorio de prueba. Para obtener más información sobre la opción de servidor de federación independiente o cómo configurar uno, consulta Servidor de federación independiente con WID o Crear un servidor de federación independiente.
Si selecciona el primer servidor de federación en una opción de granja de servidores de federación, WID se configura para la escalabilidad que permitirá agregar servidores de federación adicionales a la granja de servidores más adelante. Para obtener más información sobre cómo implementar una granja de servidores WID o cómo configurar una, consulte granja de servidores de federación mediante WID o Crear el primer servidor de federación en una granja de servidores de federación
Si selecciona la opción Agregar un servidor de federación, WID está configurado para replicar los cambios de la base de datos de configuración en el nuevo servidor de federación a intervalos establecidos. Para obtener más información sobre cómo agregar un servidor de federación a una granja de servidores WID, consulte granja de servidores de federación mediante WID o Agregar un servidor de federación a una granja de servidores de federación.
Nota:
Al implementar una granja de servidores de federación mediante WID, es posible que algunas características de AD FS no estén disponibles. Para tener acceso al conjunto de características completo al configurar la granja de servidores, considere la posibilidad de usar Microsoft SQL Server para almacenar en su lugar la base de datos de configuración de AD FS. Para obtener más información, consulte Consideraciones sobre la topología de implementación de AD FS.
Funcionamiento de una granja de servidores de federación WID
En esta sección se describen conceptos importantes que describen cómo la granja de servidores de federación wiD replica los datos entre un servidor de federación principal y los servidores de federación secundarios. .
Servidor de federación principal
Un servidor de federación principal es un equipo que ejecuta Windows Server 2012 o superior que se ha configurado con el rol de servidor de federación mediante el Asistente para configuración del servidor de federación de AD FS y que tiene una copia de lectura y escritura de la base de datos de configuración de AD FS. El servidor de federación principal siempre se crea cuando se usa el Asistente para configuración del servidor de federación de AD FS y se selecciona la opción para crear un nuevo servicio de federación y hacer que ese equipo sea el primer servidor de federación de la granja de servidores. Todos los demás servidores de federación de esta granja, también conocidos como servidores de federación secundarios, deben sincronizar los cambios realizados en el servidor de federación principal a una copia de la base de datos de configuración de AD FS almacenada localmente.
Servidores de federación secundarios
Los servidores de federación secundarios almacenan una copia de la base de datos de configuración de AD FS desde el servidor de federación principal, pero estas copias son de solo lectura. Los servidores de federación secundarios se conectan y sincronizan los datos con el servidor de federación principal de la granja de servidores sondeándolo a intervalos regulares para comprobar si los datos han cambiado. Los servidores de federación secundarios existen para proporcionar tolerancia a errores para el servidor de federación principal mientras actúan para equilibrar la carga de las solicitudes de acceso realizadas en diferentes sitios en todo el entorno de red.
Sincronización de la base de datos de configuración de AD FS
Debido al papel importante que desempeña la base de datos de configuración de AD FS, está disponible en todos los servidores de federación de la red para proporcionar funcionalidades de tolerancia a errores y equilibrio de carga al procesar solicitudes (cuando se usan equilibradores de carga de red). Sin embargo, para que los servidores de federación secundarios sirvan en esta capacidad, se debe sincronizar la base de datos de configuración de AD FS almacenada en el servidor de federación principal.
Al agregar un servidor de federación a la granja de servidores, el nuevo equipo que se convertirá en un servidor de federación secundario se conecta al servidor de federación principal para replicar la copia de la base de datos de configuración de AD FS. Desde este punto de vista, el nuevo servidor de federación continúa extrayendo actualizaciones del servidor de federación principal de forma periódica, como se muestra en la ilustración siguiente.
Cada servidor de federación secundario sondea el servidor de federación principal cada cinco minutos para los cambios. Puede ajustar este valor predeterminado de cinco minutos o forzar una sincronización inmediata en cualquier momento mediante un cmdlet de Windows PowerShell. Para obtener más información sobre cómo hacerlo, consulte administración de AD FS con Windows PowerShell.
El proceso de sincronización de WID también admite transferencias incrementales para transferencias más eficaces de cambios intermedios. El proceso de transferencia incremental requiere mucho menos tráfico en una red y las transferencias se completan mucho más rápido.
Nota:
Se admite la migración de una base de datos de configuración de AD FS de WID a una instancia de SQL Server. Para obtener más información sobre cómo hacerlo, consulte AD FS: Migrar la base de datos de configuración de AD FS a SQL Server en el sitio wiki de TechNet.
Administración de las propiedades de sincronización de AD FS
En esta sección se describe cómo ver y editar las propiedades de sincronización de la base de datos de configuración de AD FS. .
El cmdlet Get-ADFSSyncProperties obtiene las propiedades de sincronización de la base de datos de configuración de Servicios de federación de Active Directory (AD FS).
PS C:\> Get-ADFSSyncProperties
En el servidor de AD FS principal, este cmdlet solo mostrará que el rol es el equipo principal. En un miembro secundario, mostrará el resto de la configuración, incluido el nombre de dominio completo de la última sincronización desde el equipo principal, el estado y la hora de la última sincronización, la duración del sondeo, el nombre del equipo principal configurado actualmente, el puerto de equipo principal y el rol del equipo secundario.
El cmdlet Set-ADFSSyncProperties modifica la frecuencia de sincronización de la base de datos de configuración de Servicios de federación de Active Directory (AD FS). El cmdlet también especifica qué servidor de federación es el servidor principal de la granja de servidores de federación.
Nota:
Si un servidor de federación principal se bloquea y está sin conexión, todos los servidores de federación secundarios seguirán procesando las solicitudes como normales. Sin embargo, no se pueden realizar nuevos cambios en el Servicio de federación hasta que el servidor de federación principal se haya vuelto a poner en línea. También puede designar un servidor de federación secundario para convertirse en el servidor de federación principal mediante Windows PowerShell. Si designa un nuevo servidor principal, se deben modificar los servidores restantes para reflejar el nuevo servidor principal. Tener 2 principales con una granja de WID afectará a la estabilidad de la granja con la posibilidad de perder datos.
Modificación de la duración del sondeo de una granja
PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"
Este comando modifica la sincronización de la base de datos a 3600 segundos. El comando realiza el cambio en el servidor de federación principal.
Cambio de un servidor de secundario a principal
PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"
Este comando cambia un servidor de AD FS en una granja de WID de la secundaria a la principal.
Cambiar un servidor principal a un servidor secundario
PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"
Este comando cambia un servidor primario de AD FS en un grupo WID a un servidor secundario. Debe especificar el nombre de dominio completamente calificado del servidor principal. Si no lo hace, no todos los servidores secundarios de AD FS se sincronizan correctamente. Nota: El servidor principal debe ser accesible a través de HTTP en el puerto 80 desde el servidor secundario.
Para obtener más información, vea: Set-AdfsSyncProperties
Uso de SQL Server para almacenar la base de datos de configuración de AD FS
Puede crear la base de datos de configuración de AD FS mediante una única instancia de base de datos de SQL Server como almacén mediante la herramienta de línea de comandos Fsconfig.exe. El uso de una base de datos de SQL Server como base de datos de configuración de AD FS proporciona las siguientes ventajas sobre WID:
Los administradores pueden aprovechar las características de alta disponibilidad de SQL Server
Proporciona aumentos de rendimiento adicionales para un alto tráfico.
Proporciona compatibilidad con características de resolución de artefactos SAML y detección de reproducción de tokens de SAML/WS-Federation (se describe más adelante).
El término "servidor de federación principal" no se aplica cuando la base de datos de configuración de AD FS se almacena en una instancia de SQL Database porque todos los servidores de federación pueden leer y escribir igualmente en la base de datos de configuración de AD FS que usa la misma instancia de SQL Server en clúster, como se muestra en la ilustración siguiente.
Puede usar SQL Server para configurar dos o más servidores para que funcionen juntos como un clúster de servidores para asegurarse de que AD FS esté altamente disponible para atender las solicitudes de cliente entrantes. La alta disponibilidad proporciona una arquitectura de escalabilidad horizontal en la que puede aumentar la capacidad del servidor agregando servidores adicionales. Los puntos de concentración de errores se mitigan gracias a la conmutación por error automática del clúster.
Puede lograr una alta disponibilidad utilizando el equilibrio de carga de red y los servicios de conmutación por error que proporcionan las tecnologías de clústeres de SQL. Para obtener más información sobre cómo configurar SQL Server para alta disponibilidad, consulte Introducción a las soluciones de alta disponibilidad.
Resolución de artefactos SAML
La resolución de artefactos del Lenguaje de marcado de aserción de seguridad (SAML) es un extremo basado en la parte del protocolo SAML 2.0 que describe cómo un usuario de confianza puede recuperar un token directamente de un proveedor de notificaciones. En la primera fase del proceso de resolución, un cliente del navegador se pone en contacto con un servidor de federación de recursos y le proporciona un artefacto. En la segunda etapa, los servidores de federación de recursos envían el artefacto a una dirección URL de punto de conexión del artefacto SAML hospedada en una organización asociada para resolver el mensaje del artefacto. En la fase final, el servidor de federación de cuentas emite el token al servidor de federación en nombre del cliente del explorador.
Nota:
Si es administrador en una organización asociada de cuentas, asegúrese de asignar o vincular un certificado SSL, que está encadenado a un certificado raíz de un miembro del Programa de Certificados Raíz de Windows, al sitio web pasivo de federación en IIS (<NombreDeEquipo>\Sites\Sitio Web Predeterminado\adfs\ls) en todos los servidores de federación de cuentas de la granja de servidores. Esto es importante para impedir que los servidores de federación de recursos tengan que agregar manualmente el certificado SSL al almacén de certificados Usuarios de confianza de equipos locales o que no sean capaces de resolver el artefacto publicado en tu organización.
SAML/WS: Detección de reproducción de token de federación
El término reproducción de tokens hace referencia al acto por el que un cliente de explorador en una organización del asociado de cuenta intenta enviar varias veces el mismo token que recibió de un servidor de federación de cuenta para autenticarse en un servidor de federación de recursos. Este acto se produce cuando un usuario hace clic en el botón Atrás del explorador en un esfuerzo por volver a enviar la página de autenticación.
AD FS proporciona una característica denominada detección de reproducción de tokens mediante la cual se pueden detectar y descartar varias solicitudes de token que usan el mismo token. Cuando esta característica está habilitada, la detección de reproducción de tokens protege la integridad de las solicitudes de autenticación tanto en el perfil pasivo de WS-Federation como en el perfil de SAML WebSSO asegurándose de que el mismo token nunca se usa más de una vez. Esta característica debe habilitarse en situaciones en las que la seguridad es una preocupación muy alta, como cuando se usan quioscos.
En el ejemplo de pantalla completa, un usuario puede cerrar sesión de todos los sitios web y, posteriormente, un usuario malintencionado puede intentar usar el historial del explorador para volver a enviar la página de autenticación federada que cargó el usuario anterior. Esta característica mitiga esta preocupación almacenando información adicional sobre cada autenticación exitosa realizada por una organización colaboradora de cuentas para detectar reproducciones posteriores del token y evitar que varios intentos de autenticación tengan éxito.