Implementar carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 2: Trabajo posterior a la configuración de AD FS

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En este tema se describe el segundo paso para implementar Carpetas de trabajo con Servicios de federación de Active Directory (AD FS) y Proxy de aplicación web. Puede encontrar los otros pasos de este proceso en estos temas:

• Implementación de carpetas de trabajo con AD FS y Proxy de aplicación web: introducción

• Implementación de carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 1: Configurar AD FS

• Implementar carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 3: Configurar carpetas de trabajo

• Implementar carpetas de trabajo con AD FS y Proxy de aplicación web, Paso 4: Configurar Proxy de aplicación web

• Implementar carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 5: Configurar clientes

Nota

Las instrucciones que se describen en esta sección son para un entorno de Windows Server 2019 o Windows Server 2016. Si usa Windows Server 2012 R2, siga las instrucciones de Windows Server 2012 R2.

En el paso 1, instaló y configuró AD FS. Ahora, debe realizar los siguientes pasos posteriores a la configuración para AD FS.

Configuración de entradas DNS

Debe crear dos entradas DNS para AD FS. Estas son las mismas dos entradas que se usaron en los pasos de preinstalación al crear el certificado de nombre alternativo del firmante (SAN).

Las entradas DNS tienen el formato:

• nombre.dominio del servicio AD FS

• registroempresa.dominio

• nombre.dominio del servidor de AD FS (la entrada DNS ya debe existir, por ejemplo, 2016-ADFS.contoso.com)

En el ejemplo de prueba, los valores son:

• blueadfs.contoso.com

• enterpriseregistration.contoso.com

Crear los registros A y CNAME para AD FS

Para crear registros A y CNAME para AD FS, siga estos pasos:

1. Desde el controlador de dominio, abra el Administrador de DNS.

2. Expanda la carpeta Zonas de búsqueda directa, haga clic con el botón derecho en el dominio y seleccione Host nuevo (A).

3. Se abre la ventana Host nuevo. En el campo Nombre, escriba el alias del nombre del servicio AD FS. En el ejemplo de prueba, se trata de blueadfs.

   El alias debe ser el mismo que el firmante del certificado que se usó para AD FS. Por ejemplo, si el firmante era adfs.contoso.com, el alias especificado aquí sería adfs.

   Importante

   Al configurar AD FS mediante la interfaz de usuario (UI) de Windows Server en lugar de Windows PowerShell, debe crear un registro A en lugar de un registro CNAME para AD FS. El motivo es que el nombre de la entidad de servicio (SPN) que se crea a través de la interfaz de usuario contiene solo el alias que se usa para configurar el servicio AD FS como host.

4. En Dirección IP, escriba la dirección IP del servidor de AD FS. En el ejemplo de prueba, se trata de 192.168.0.160. Haz clic en Agregar host.

5. En la carpeta Zonas de búsqueda directa, vuelva a hacer clic con el botón derecho en el dominio y seleccione Nuevo alias (CNAME).

6. En la ventana Nuevo registro de recursos, agregue el nombre de alias enterpriseregistration y escriba el FQDN para el servidor de AD FS. Este alias se usa para la unión a dispositivos y se debe llamar enterpriseregistration.

7. Haga clic en OK.

Para realizar los pasos equivalentes a través de Windows PowerShell, use el siguiente comando. El comando debe ejecutarse en el controlador de dominio.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160
Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name enterpriseregistration -CName  -HostNameAlias 2016-ADFS.contoso.com

Configuración de la relación de confianza para usuario autenticado de AD FS para Carpetas de trabajo

Puede instalar y configurar la relación de confianza para usuario autenticado para Carpetas de trabajo, aunque Carpetas de trabajo aún no se haya configurado. La relación de confianza para usuario autenticado debe configurarse para permitir que Carpetas de trabajo use AD FS. Ahora que está configurando AD FS, es un buen momento para realizar este paso.

Para configurar la relación de confianza para usuario autenticado:

1. Abra Administrador del servidor y, en el menú Herramientas, seleccione Administración de AD FS.

2. En el panel derecho, en Acciones, haga clic en Agregar relación de confianza para usuario autenticado.

3. En la página de Bienvenida, elija Compatible con notificaciones y haga clic en Iniciar.

4. En la página Seleccionar origen de datos, seleccione Escribir manualmente los datos sobre el usuario de confianza y, a continuación, haga clic en Siguiente.

5. En el campo Nombre para mostrar, escriba WorkFolders y, a continuación, haga clic en Siguiente.

6. En la página Configurar certificado, haga clic en Siguiente. Los certificados de cifrado de tokens son opcionales y no son necesarios para la configuración de prueba.

7. En la página Configurar URL, haga clic en Siguiente.

8. En la página Configurar identificadores, agregue el siguiente identificador: https://windows-server-work-folders/V1. Este identificador es un valor codificado de forma rígida que usa Carpetas de trabajo y lo envía el servicio Carpetas de trabajo cuando se comunica con AD FS. Haga clic en Next.

9. En la página Elegir directiva de control de acceso, seleccione Permitir a todos y haga clic en Siguiente.

10. En la página Listo para agregar confianza, haz clic en Siguiente.

11. Una vez finalizada la configuración, la última página del asistente indica que la configuración se realizó correctamente. Marque la casilla para editar las reglas de notificaciones y haga clic en Cerrar.

12. En el complemento AD FS, seleccione la relación de confianza para usuario autenticado WorkFolders y haga clic en Editar directiva de emisión de notificaciones en Acciones.

13. Se abre la ventana Editar directiva de emisión de notificaciones para WorkFolders. Haga clic en Agregar regla.

14. En la lista desplegable Plantilla de regla de notificación, seleccione Enviar atributos LDAP como notificaciones y haga clic en Siguiente.

15. En la página Configurar regla de notificación, en el campo Nombre de la regla de notificación, escriba WorkFolders.

16. En la lista desplegable Almacén de atributos, seleccione Active Directory.

17. En la tabla de asignación, escriba estos valores:

    • User-Principal-Name: UPN

    • Display Name: nombre

    • Surname: apellido

    • Given-Name: nombre dado

18. Haga clic en Finalizar Verá la regla WorkFolders en la pestaña Reglas de transformación de emisión; haga clic en Aceptar.

Definición de las opciones de la relación de confianza para usuario autenticado

Una vez configurada la relación de confianza para usuario autenticado para AD FS, debe finalizar la configuración ejecutando cinco comandos en Windows PowerShell. Estos comandos establecen las opciones necesarias para que Carpetas de trabajo se comunique correctamente con AD FS, y no se pueden establecer mediante la interfaz de usuario. Estas opciones son:

• Habilitación del uso de tokens web JSON (JWT)

• Deshabilitación de notificaciones cifradas

• Habilitación de la actualización automática

• Establezca la emisión de tokens de actualización de Oauth en Todos los dispositivos.

• Concesión de acceso a los clientes a la relación de confianza para usuario autenticado

Para establecer estas opciones, use los siguientes comandos:

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile

Habilitar Workplace Join

Habilitar Workplace Join es opcional, pero puede ser útil cuando quiere que los usuarios puedan usar sus dispositivos personales para acceder a los recursos del área de trabajo.

Para habilitar el registro de dispositivos para Workplace Join, debe ejecutar los siguientes comandos de Windows PowerShell, que configurarán el registro de dispositivos y establecerán la directiva de autenticación global:

Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
    Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true

Exportación del certificado de AD FS

A continuación, exporte el certificado de AD FS autofirmado para que se pueda instalar en las siguientes máquinas del entorno de prueba:

• Servidor que se usa para Work Folders

• Servidor que se usa para Proxy de aplicación web

• el cliente Windows unido a un dominio

• Cliente Windows no unido a un dominio

Para exportar el certificado, siga estos pasos:

1. Haga clic en Inicioy, a continuación, haga clic en Ejecutar.

2. Escriba MMC.

3. En el menú Archivo , haga clic en Agregar o quitar complemento.

4. En la lista Complementos disponibles, seleccione Certificados y, a continuación, haga clic en Agregar. Se inicia el Asistente para complementos de certificados.

5. Seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente.

6. Seleccione Equipo local: (el equipo en el que se está ejecutando esta consola) y, a continuación, haga clic en Finalizar.

7. Haga clic en OK.

8. Expanda la carpeta Raíz de la consola\Certificados(equipo local)\Personal\Certificados.

9. Haga clic con el botón derecho en el Certificado de AD FS, haga clic en Todas las tareas y, a continuación, haga clic en Exportar....

10. Se abre el Asistente para exportar certificados. Selecciona Sí, exportar la clave privada.

11. En la página Exportar formato de archivo, deje las opciones seleccionadas de forma predeterminada y haga clic en Siguiente.

12. Cree una contraseña para el certificado. Esta es la contraseña que usará más adelante al importar el certificado a otros dispositivos. Haga clic en Next.

13. Escriba una ubicación y un nombre para el certificado y, a continuación, haga clic en Finalizar.

La instalación del certificado se trata más adelante en el procedimiento de implementación.

Administración de la configuración de la clave privada

Debe conceder permiso a la cuenta de servicio de AD FS para acceder a la clave privada del nuevo certificado. Tendrá que volver a conceder este permiso cuando reemplace el certificado de comunicación después de que expire. Para conceder el permiso, siga estos pasos:

1. Haga clic en Inicioy, a continuación, haga clic en Ejecutar.

2. Escriba MMC.

3. En el menú Archivo , haga clic en Agregar o quitar complemento.

4. En la lista Complementos disponibles, seleccione Certificados y, a continuación, haga clic en Agregar. Se inicia el Asistente para complementos de certificados.

5. Seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente.

6. Seleccione Equipo local: (el equipo en el que se está ejecutando esta consola) y, a continuación, haga clic en Finalizar.

7. Haga clic en OK.

8. Expanda la carpeta Raíz de la consola\Certificados(equipo local)\Personal\Certificados.

9. Haga clic con el botón derecho en el Certificado de AD FS, haga clic en Todas las tareas y, a continuación, haga clic en Administrar claves privadas.

10. En la ventana Permisos, haga clic en Agregar.

11. En Tipos de objetos, seleccione Cuentas de servicio y, a continuación, haga clic en Aceptar.

12. Escriba el nombre de la cuenta que ejecuta AD FS. En el ejemplo de prueba, se trata de ADFSService. Haga clic en OK.

13. En la ventana Permisos, asigne al menos permisos de lectura a la cuenta y haga clic en Aceptar.

Si no tiene la opción de administrar claves privadas, es posible que tenga que ejecutar el siguiente comando: certutil -repairstore my *.

Comprobación de que AD FS está operativo

Para comprobar que AD FS está operativo, abra una ventana del explorador y vaya a https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml, cambiando la dirección URL para que coincida con su entorno.

La ventana del explorador mostrará los metadatos del servidor de federación sin ningún formato. Si puede ver los datos sin errores ni advertencias de SSL, el servidor de federación está operativo.

Paso siguiente: Implementar carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 3: Configurar carpetas de trabajo

Vea también

Introducción a Carpetas de trabajo