Compartir vía


Uso de la autenticación basada en notificaciones de AD FS con Outlook en la Web

La instalación y configuración de Servicios de federación de Active Directory (AD FS) (AD FS) en organizaciones Exchange Server permite a los clientes usar la autenticación basada en notificaciones de AD FS para conectarse a Outlook en la Web (anteriormente conocida como Outlook Web App) y el Centro de administración de Exchange (EAC). La identidad basada en notificaciones es otro enfoque de autenticación que quita la administración de autenticación de la aplicación y facilita la administración de cuentas mediante la centralización de la autenticación. Cuando la autenticación basada en notificaciones está habilitada, Outlook en la Web y el EAC no son responsables de autenticar a los usuarios, almacenar cuentas de usuario y contraseñas, buscar detalles de identidad de usuario o integrarse con otros sistemas de identidad. La centralización de la autenticación ayuda a facilitar la actualización de métodos de autenticación en el futuro.

La autenticación basada en notificaciones de AD FS reemplaza los métodos de autenticación tradicionales que están disponibles para Outlook en la Web y el EAC. Por ejemplo:

  • Autenticación de certificados de cliente de Active Directory
  • Autenticación básica
  • Autenticación implícita
  • Autenticación de formularios
  • Autenticación de Windows

La configuración de la autenticación basada en notificaciones de AD FS para Outlook en la Web y el EAC en Exchange Server implica los siguientes servidores adicionales:

  • Un controlador de dominio de Windows Server 2012 o posterior (Servicios de dominio de Active Directory rol de servidor).

  • Un servidor de AD FS de Windows Server 2012 o posterior (Servicios de federación de Active Directory (AD FS) rol de servidor). Windows Server 2012 usa AD FS 2.1 y Windows Server 2012 R2 usa AD FS 3.0. Debe ser miembro del grupo de seguridad Administradores de dominio, Administradores de empresa o Administradores locales para instalar AD FS y crear las reglas de notificaciones y confianzas de usuario de confianza necesarias en el servidor de AD FS.

  • Opcionalmente, un servidor de Application Proxy web de Windows Server 2012 R2 o posterior (rol de servidor de acceso remoto, servicio de rol de Application Proxy web).

    • Web Application Proxy es un servidor proxy inverso para aplicaciones web que se encuentran dentro de la red corporativa. La Application Proxy web permite a los usuarios de muchos dispositivos acceder a las aplicaciones web publicadas desde fuera de la red corporativa. Para obtener más información, consulte Instalación y configuración de Application Proxy web para publicar aplicaciones internas.

    • Aunque normalmente se recomienda la Application Proxy web cuando AD FS es accesible para clientes externos, no se admite el acceso sin conexión en Outlook en la Web cuando se usa la autenticación de AD FS a través de Application Proxy web.

    • La instalación de Application Proxy web en un servidor de Windows Server 2012 R2 requiere permisos de administrador local.

    • Debe implementar y configurar el servidor de AD FS antes de configurar el servidor de Application Proxy web y no puede instalar Application Proxy web en el mismo servidor donde está instalado AD FS.

¿Qué necesita saber antes de empezar?

  • Tiempo estimado para completar este procedimiento: 45 minutos.

  • Los procedimientos de este tema se basan en Windows Server 2012 R2.

  • Outlook en la web para dispositivos no admite la autenticación basada en notificaciones de AD FS.

  • Para los procedimientos de la organización de Exchange, debe tener permisos de administración de la organización.

  • Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.

Sugerencia

¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server, Exchange Online, o Exchange Online Protection.

Paso 1: Revisión de los requisitos de certificado para AD FS

AD FS requiere dos tipos básicos de certificados:

  • Certificado de capa de sockets seguros (SSL) de comunicación de servicio para el tráfico de servicios web cifrados entre el servidor de AD FS, los clientes, los servidores exchange y el servidor web Application Proxy opcional. Se recomienda usar un certificado emitido por una entidad de certificación (CA) interna o comercial, ya que todos los clientes deben confiar en este certificado.

  • Certificado de firma de tokens para la comunicación cifrada y la autenticación entre el servidor de AD FS, los controladores de dominio de Active Directory y los servidores de Exchange. Se recomienda usar el certificado de firma de token de AD FS autofirmado predeterminado.

Para obtener más información sobre cómo crear e importar certificados SSL en Windows, consulte Certificados de servidor.

Este es un resumen de los certificados que usaremos en este escenario:

Nombre común (CN) en el certificado (en el firmante, nombre alternativo del firmante o coincidencia de certificado comodín) Tipo Obligatorio en los servidores Comentarios
adfs.contoso.com Emitido por una entidad de certificación Servidor de AD FS

Servidor de Application Proxy web

Este es el nombre de host visible para los clientes, por lo que los clientes deben confiar en el emisor de este certificado.
ADFS Signing - adfs.contoso.com Autofirmado Servidor de AD FS

Servidores de Exchange

Servidor de Application Proxy web

El certificado autofirmado predeterminado se copia automáticamente durante la configuración del servidor de Application Proxy web opcional, pero tendrá que importarlo manualmente en el almacén de certificados raíz de confianza de todos los servidores de Exchange de su organización.

De forma predeterminada, los certificados de firma de tokens autofirmados son válidos durante un año. El servidor de AD FS está configurado para renovar automáticamente (reemplazar) sus certificados autofirmados antes de que expiren, pero tendrá que volver a importar el certificado en los servidores de Exchange.

Puede aumentar el período de expiración del certificado predeterminado ejecutando este comando en Windows PowerShell en el servidor de AD FS: Set-AdfsProperties -CertificateDuration <Days> (el valor predeterminado es 365). Para obtener más información, vea Set-AdfsProperties.

Para exportar el certificado desde la consola de administración de AD FS, seleccioneCertificados> de servicio> haga clic con el botón derecho en el certificado de firma de tokens y seleccione Ver certificado>>, haga clic en la pestaña >Detalles y haga clic en Copiar en archivo.

mail.contoso.com Emitido por una entidad de certificación Servidores de Exchange

Servidor de Application Proxy web

Este es el certificado típico que se usa para cifrar las conexiones de cliente externo a Outlook en la Web (y probablemente a otros servicios de Iis de Exchange). Para obtener más información, vea Requisitos de certificados para los servicios de Exchange.

Para obtener más información, consulte la sección "Requisitos de certificado" en Requisitos de AD FS.

Nota:

Capa de sockets seguros (SSL) se está reemplazando por Seguridad de la capa de transporte (TLS) como protocolo usado para cifrar los datos enviados entre sistemas informáticos. Están tan estrechamente relacionadas que a menudo los términos "SSL" y "TLS" (sin versiones) se usan indistintamente. Debido a esta similitud, las referencias a "SSL" en los temas de Exchange, el Centro de administración de Exchange y el Shell de administración de Exchange se han usado a menudo para englobar los protocolos SSL y TLS. Normalmente, "SSL" hace referencia al protocolo SSL real solo cuando también se proporciona una versión (por ejemplo, SSL 3.0). Para averiguar por qué debería deshabilitar el protocolo SSL y cambiar a TLS, consulte Protecting you against the SSL 3.0 vulnerability (Protección contra la vulnerabilidad de SSL 3.0).

Paso 2: Implementación de un servidor de AD FS

Puede usar Administrador del servidor o Windows PowerShell para instalar el servicio de rol Servicios de federación de Active Directory (AD FS) en el servidor de destino.

Para usar Administrador del servidor para instalar AD FS, siga estos pasos:

  1. En el servidor de destino, abra Administrador del servidor, haga clic en Administrar y, a continuación, seleccione Agregar roles y características.

    En Administrador del servidor, haga clic en Administrar para acceder a Agregar roles y características.

  2. Se abre el Asistente para agregar roles y características . Comenzará en la página Antes de comenzar , a menos que haya seleccionado Omitir esta página de forma predeterminada. Haga clic en Siguiente.

    La página

  3. En la página Seleccionar tipo de instalación , compruebe que la instalación basada en roles o características está seleccionada y, a continuación, haga clic en Siguiente.

    La página

  4. En la página Seleccionar servidor de destino , compruebe la selección del servidor y, a continuación, haga clic en Siguiente.

    La página

  5. En la página Seleccionar roles de servidor, seleccione Servicios de federación de Active Directory (AD FS) de la lista y, a continuación, haga clic en Siguiente.

    Seleccione

  6. En la página Seleccionar características , haga clic en Siguiente (acepte las selecciones de características predeterminadas).

    Haga clic en Siguiente en la página

  7. En la página Servicios de federación de Active Directory (AD FS) (AD FS), haga clic en Siguiente.

    Página

  8. Solo Windows Server 2012: en la página Seleccionar servicios de rol , haga clic en Siguiente (acepte las selecciones de servicio de rol predeterminadas).

  9. En la página Confirmar selecciones de instalación , haga clic en Instalar.

    La página

  10. En la página Progreso de la instalación, puede watch la barra de progreso para comprobar que la instalación se realizó correctamente. Cuando finalice la instalación, deje abierto el asistente para que pueda hacer clic en Configurar el servicio de federación en este servidor en paso 3b: Configurar el servidor de AD FS.

Vea el progreso en la página

Para usar Windows PowerShell para instalar AD FS, ejecute el siguiente comando:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Paso 3: Configuración y prueba del servidor de AD FS

También puede consultar esta lista de comprobación para ayudarle a configurar AD FS: Lista de comprobación: Configuración de un servidor de federación.

Paso 3a: Crear una gMSA en un controlador de dominio

Antes de configurar el servidor de AD FS, debe crear una cuenta de servicio administrada (gMSA) de grupo en un controlador de dominio de Windows Server 2012 o posterior. Haga esto en una ventana de Windows PowerShell con privilegios elevados en el controlador de dominio (una ventana de Windows PowerShell que abra seleccionando Ejecutar como administrador).

  1. Ejecute el siguiente comando:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
    

    Si el comando se ejecuta correctamente, se devuelve un valor GUID. Por ejemplo:

    Guid
    ----
    2570034b-ab50-461d-eb80-04e73ecf142b

  2. Para crear una nueva cuenta de gMSA para el servidor de AD FS, use la sintaxis siguiente:

    New-ADServiceAccount -Name <AccountName> -DnsHostName <FederationServiceName> -ServicePrincipalNames http/<FederationServiceName>
    

    En este ejemplo se crea una nueva cuenta de gMSA denominada FSgMSA para el servicio de federación denominado adfs.contoso.com. El nombre del servicio de federación es el valor visible para los clientes.

    New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
    

Paso 3b: Configuración del servidor de AD FS

Para configurar el servidor de AD FS, puede usar Administrador del servidor o Windows PowerShell.

Para usar Administrador del servidor, siga estos pasos:

  1. Si deja abierto el Asistente para agregar roles y características en el servidor de AD FS del paso 2: Implementación de un servidor de AD FS, puede hacer clic en el vínculo Configurar el servicio de federación en este servidor en la página Progreso de la instalación .

    Haga clic en

    Si ha cerrado el Asistente para agregar roles y características o ha usado Windows PowerShell para instalar AD FS, puede llegar al mismo lugar en Administrador del servidor haciendo clic en Notificaciones y, a continuación, en Configurar el servicio de federación en este servidor en la advertencia Configuración posterior a la implementación.

    En Administrador del servidor, haga clic en Notificaciones para ver la advertencia que contiene el vínculo Configurar el servicio de fedration en este servidor.

  2. Se abre el Asistente para Servicios de federación de Active Directory (AD FS). En la página Principal , compruebe que la opción Crear el primer servidor de federación de una granja de servidores de federación está seleccionada y, a continuación, haga clic en Siguiente.

    La página principal del Asistente para configuración de Servicios de federación de Active Directory (AD FS).

  3. En la página Conectar con Servicios de federación de Active Directory (AD FS), seleccione una cuenta de administrador de dominio en el dominio donde reside el servidor de AD FS (las credenciales actuales están seleccionadas de forma predeterminada). Si necesita seleccionar un usuario diferente, haga clic en Cambiar. Cuando termine, haga clic en Siguiente.

    La página Conectarse a AD DS en el Asistente para configuración de Servicios de federación de Active Directory (AD FS).

  4. En la página Especificar propiedades del servicio , configure los siguientes valores:

    • Certificado SSL: importe o seleccione el certificado SSL que contiene el nombre del servicio de federación que configuró en el paso 3a: Crear una gMSA en un controlador de dominio (por ejemplo adfs.contoso.com, ). Al importar un certificado que aún no está instalado en el servidor, debe importar un archivo .pfx (probablemente, un archivo protegido con contraseña que contenga la clave privada del certificado). Aquí se muestra el valor de nombre común (CN) en el campo Asunto del certificado.

    • Nombre del servicio de federación: este campo se rellena automáticamente en función del tipo de certificado SSL que seleccione o importe:

      • Certificado de firmante único: se muestra el valor CN del campo Asunto del certificado y no se puede cambiar (por ejemplo, adfs.contoso.com).

      • Certificado SAN: si el certificado contiene el nombre del servicio de federación necesario, se muestra ese valor (por ejemplo, adfs.contoso.com). Puede usar la lista desplegable para ver otros valores CN en el certificado.

      • Certificado comodín: se muestra el valor CN del campo Asunto del certificado (por ejemplo, *.contoso.com), pero debe cambiarlo al nombre del servicio de federación necesario (por ejemplo, adfs.contoso.com).

      Nota: Si el certificado que selecciona no contiene el nombre del servicio de federación necesario (el campo Nombre del servicio de federación no contiene el valor requerido), recibirá el siguiente error:

      The federation service name does not match any of the subject names found in the certificate.

    • Nombre para mostrar del servicio de federación: escriba el nombre de la organización. Por ejemplo, Contoso, Ltd.

    Cuando termine, haga clic en Siguiente.

    La página Especificar propiedades del servicio en el Asistente para configuración de Servicios de federación de Active Directory (AD FS).

  5. En la página Especificar cuenta de servicio , configure los siguientes valores:

    • Seleccione Usar una cuenta de usuario de dominio o una cuenta de servicio administrada de grupo existentes.

    • Nombre de cuenta: haga clic en Seleccionar y escriba la cuenta de gMSA que creó en Paso 3a: Crear una gMSA en un controlador de dominio (por ejemplo, FSgMSA). Tenga en cuenta que después de seleccionarlo, el valor que se muestra es <Domain>\<gMSAAccountName>$ (por ejemplo, CONTOSO\FSgMSA$).

    Cuando termine, haga clic en Siguiente.

    La página Especificar cuenta de servicio en el Asistente para configuración de Servicios de federación de Active Directory (AD FS).

  6. En la página Especificar base de datos de configuración , compruebe que está seleccionada la opción Crear una base de datos en este servidor mediante La base de datos interna de Windows y, a continuación, haga clic en Siguiente.

    La página Especificar base de datos de configuración en el Asistente para configuración de Servicios de federación de Active Directory (AD FS).

  7. En la página Opciones de revisión , compruebe las selecciones. Puede hacer clic en el botón Ver script para copiar el Windows PowerShell equivalente de las selecciones que ha realizado para su uso futuro. Cuando termine, haga clic en Siguiente.

    La página Opciones de revisión del Asistente para configuración de Servicios de federación de Active Directory (AD FS).

  8. En la página Comprobaciones de requisitos previos , compruebe que todas las comprobaciones de requisitos previos se completaron correctamente y, a continuación, haga clic en Configurar.

    La página Comprobación de requisitos previos en el Asistente para configuración de Servicios de federación de Active Directory (AD FS).

  9. En la página Resultados , revise los resultados y compruebe que la configuración se completó correctamente. Puede hacer clic en Pasos siguientes necesarios para completar la implementación del servicio de federación si desea leer los pasos siguientes (por ejemplo, configurar DNS). Cuando haya terminado, haga clic en Cerrar.

    La página Resultados del Asistente para configuración de Servicios de federación de Active Directory (AD FS).

Para usar Windows PowerShell para configurar AD FS, siga estos pasos:

  1. Ejecute el siguiente comando en el servidor de AD FS para buscar el valor de huella digital del certificado instalado que contiene adfs.contoso.com:

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Ejecute el siguiente comando:

    Import-Module ADFS
    
  3. Utilice la siguiente sintaxis:

    Install-AdfsFarm -CertificateThumbprint <ThumbprintValue> -FederationServiceName <FederationServiceName> -FederationServiceDisplayName <FederationServiceDisplayName> -GroupServiceAccountIdentifier <gMSA>
    

En este ejemplo se configura AD FS con las siguientes opciones:

  • adfs.contoso.com huella digital del certificado: *.contoso.com certificado que tiene el valor 5AE82C737900B29C2BAC3AB6D8C44D249EE05609de huella digital .

  • Nombre del servicio de federación: adfs.contoso.com

  • Nombre para mostrar del servicio de federación: Contoso, Ltd.

  • Nombre y dominio de la cuenta sam de gMSA de federación: por ejemplo, para la cuenta gMSA denominada FSgMSA en el contoso.com dominio, el valor necesario es contoso\FSgMSA$.

Install-AdfsFarm -CertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -FederationServiceName adfs.contoso.com -FederationServiceDisplayName "Contoso, Ltd." -GroupServiceAccountIdentifier "contoso\FSgMSA`$"

Notas:

  • Al crear la gMSA, se $ anexa automáticamente al valor Name para crear el valor SamAccountName , que es necesario aquí.

  • El carácter de escape (''') es necesario para en $SamAccountName.

Para obtener detalles y la sintaxis, vea Install-AdfsFarm.

Paso 3c: Prueba del servidor de AD FS

Después de configurar AD FS, puede comprobar la instalación en el servidor de AD FS abriendo correctamente la dirección URL de los metadatos de federación en un explorador web. La dirección URL usa la sintaxis https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml. Por ejemplo, https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

Paso 4: Crear una confianza de usuario de confianza y reglas de notificación personalizadas en AD FS para Outlook en la Web y el EAC

  • En el servidor exchange, Outlook en la Web usa el directorio virtual denominado owa y el EAC usa el directorio virtual denominado ecp.

  • La barra diagonal final (/) que se usa en los valores de dirección URL de Outlook en la Web y EAC es intencionada. Es importante que las confianzas del usuario de confianza de AD FS y los URI de la audiencia de Exchange sean idénticas. Ambos deben tener o ambos deben omitir las barras diagonales finales en sus direcciones URL. Los ejemplos de esta sección contienen las barras diagonales finales después de las direcciones URL de owa y ecp (owa/ y ecp/).

  • En las organizaciones con varios sitios de Active Directory que usan espacios de nombres independientes (por ejemplo, eu.contoso.com y na.contoso.com), debe configurar las confianzas de usuario de confianza para cada espacio de nombres para Outlook en la Web y el EAC.

Paso 4a: Creación de confianzas de usuario de confianza en AD FS para Outlook en la Web y el EAC

Para crear las confianzas de usuario de confianza en el servidor de AD FS, puede usar la consola de administración de AD FS o Windows PowerShell.

Para usar la consola de administración de AD FS para crear las confianzas de usuario de confianza, siga estos pasos:

Nota: Debe seguir estos pasos dos veces: una para Outlook en la Web y otra para el EAC. La única diferencia son los valores que se especifican en los pasos 5 y 8 (las páginas Especificar nombre para mostrar y Configurar dirección URL en el asistente).

  1. En Administrador del servidor, haga clic en Herramientas y seleccione Administración de AD FS.

    En Administrador del servidor, seleccione Herramientas > administración de AD FS.

  2. En la consola de administración de AD FS, expanda Relaciones de confianza y, a continuación, seleccione Confianzas de usuario de confianza. En el panel Acciones , seleccione Agregar confianza de usuario de confianza.

    En la consola de administración de AD FS, expanda Relaciones de confianza y seleccione Agregar confianza de usuario de confianza en el panel Acción.

  3. Se abre el Asistente para agregar confianza de usuario de confianza . En la página principal, haga clic en Iniciar.

    La página principal del Asistente para agregar confianza de usuario de confianza.

  4. En la página Seleccionar origen de datos , seleccione Escribir datos sobre el usuario de confianza manualmente y, a continuación, haga clic en Siguiente.

    Detalles de Outlook en la Web en la página Seleccionar origen de datos del Asistente para agregar confianza de usuario de confianza.

  5. En la página Especificar nombre para mostrar , configure los siguientes valores:

    • Para Outlook en la Web:

    • Nombre para mostrar: escriba Outlook en la Web.

    • Notas: Escriba una descripción. Por ejemplo, se trata de una confianza para https://mail.contoso.com/owa/.

      La página Especificar nombre para mostrar en el Asistente para agregar confianza de usuario de confianza.

    • Para el EAC:

    • Nombre para mostrar: escriba EAC.

    • Notas: Escriba una descripción. Por ejemplo, se trata de una confianza para https://mail.contoso.com/ecp/.

    Detalles del EAC en la página Seleccionar origen de datos del Asistente para agregar confianza de usuario de confianza.

    Cuando termine, haga clic en Siguiente.

  6. En la página Elegir perfil , compruebe que el perfil de AD FS está seleccionado y, a continuación, haga clic en Siguiente.

    La página Elegir perfil del Asistente para agregar confianza de usuario de confianza.

  7. En la página Configurar certificado , haga clic en Siguiente (no especifique un certificado de cifrado de tokens opcional).

    La página Configurar certificado del Asistente para agregar confianza de usuario de confianza.

  8. En la página Configurar dirección URL , seleccione Habilitar compatibilidad con el protocolo pasivo WS-Federation y, en Usuario de confianza WS-Federation dirección URL del protocolo pasivo, escriba la siguiente información:

    Cuando termine, haga clic en Siguiente.

    La configuración del EAC en la página Configurar dirección URL del Asistente para agregar confianza de usuario de confianza.

  9. En la página Configurar identificadores , haga clic en Siguiente (la dirección URL del paso anterior aparece en Identificadores de confianza de usuario de confianza).

    La configuración de Outlook en la Web en la página Configurar identificadores del Asistente para agregar confianza de usuario de confianza.

  10. En la página Configure Multi-factor Authentication Now? (¿Configurar multifactor authentication now? ), compruebe que no quiero configurar los valores de autenticación multifactor para esta confianza de usuario de confianza en este momento y, a continuación, haga clic en Siguiente.

    ¿Configurar la autenticación multifactor ahora? en el Asistente para agregar confianza de usuario de confianza.

  11. En la página Elegir reglas de autorización de emisión , compruebe que está seleccionada la opción Permitir que todos los usuarios accedan a este usuario de confianza y, a continuación, haga clic en Siguiente.

    La página Elegir reglas de autorización de emisión del Asistente para agregar confianza de usuario de confianza.

  12. En la página Listo para agregar relación de confianza, revise la configuración y después, haga clic en Siguiente para guardar la información de la relación de confianza para usuario autenticado.

    La página Listo para agregar confianza en el Asistente para agregar confianza de usuario de confianza.

  13. En la página Finalizar , desactive Abrir el cuadro de diálogo Editar reglas de notificación para esta confianza de usuario de confianza cuando se cierre el asistente y, a continuación, haga clic en Cerrar.

    La página Finalizar del Asistente para agregar confianza de usuario de confianza.

Para usar Windows PowerShell símbolo del sistema para crear las confianzas de usuario de confianza, siga estos pasos:

  1. En una ventana de Windows PowerShell con privilegios elevados, ejecute el siguiente comando:

    Import-Module ADFS
    
  2. Utilice la siguiente sintaxis:

    Add-AdfsRelyingPartyTrust -Name <"Outlook on the web" | EAC> -Notes "This is a trust for <OotwURL | EACURL>" -Identifier <OotwURL | EACURL> -WSFedEndpoint <OotwURL | EACURL> -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
    

En este ejemplo se crea una confianza de usuario de confianza para Outlook en la Web mediante los siguientes valores:

Add-AdfsRelyingPartyTrust -Name "Outlook on the web" -Notes "This is a trust for https://mail.contoso.com/owa/" -Identifier https://mail.contoso.com/owa/ -WSFedEndpoint https://mail.contoso.com/owa/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

En este ejemplo se crea una confianza de usuario de confianza para el EAC mediante los siguientes valores:

Add-AdfsRelyingPartyTrust -Name EAC -Notes "This is a trust for https://mail.contoso.com/ecp/" -Identifier https://mail.contoso.com/ecp/ -WSFedEndpoint https://mail.contoso.com/ecp/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

Paso 4b: Creación de reglas de notificación personalizadas en AD FS para Outlook en la Web y el EAC

Para Outlook en la Web y EAC, debe crear dos reglas de notificación:

  • SID de usuario de Active Directory

  • UPN de Active Directory

Para crear las reglas de notificación en el servidor de AD FS, puede usar la consola de administración de AD FS o Windows PowerShell.

Para usar la consola de administración de AD FS para crear las reglas de notificación, siga estos pasos:

Nota: Debe seguir estos pasos dos veces: una para Outlook en la Web y otra para EAC. La única diferencia es la confianza de usuario de confianza que seleccione en el primer paso. Todos los demás valores del procedimiento son idénticos.

Para agregar las reglas de notificaciones necesarias:

  1. En la consola de administración de AD FS, expanda Relaciones de confianza, seleccione Confianzas de usuario de confianza y, a continuación, seleccione la Outlook en la Web o la confianza de usuario de confianza de EAC. En el panel Acciones , seleccione Editar reglas de notificación.

    En la consola de administración de AD FS, expanda Relaciones de confianza, seleccione Confianzas de usuario de confianza, seleccione la confianza de usuario de confianza y, en el panel Acción, haga clic en Editar reglas de notificación.

  2. En la ventana Editar reglas de notificación para <RuleName> que se abre, compruebe que la pestaña Reglas de transformación de emisión está seleccionada y, a continuación, haga clic en Agregar regla.

    En la ventana Editar reglas de notificación, seleccione Agregar regla en la pestaña Reglas de transformación de emisión.

  3. Se abre el Asistente para agregar reglas de notificación de transformación . En la página Seleccionar plantilla de regla , haga clic en la lista desplegable Plantilla de regla de notificación y, a continuación, seleccione Enviar notificaciones mediante una regla personalizada. Cuando termine, haga clic en Siguiente.

    En la página Seleccionar plantilla de regla del Asistente para agregar reglas de notificación de transformación, seleccione Enviar notificaciones mediante una regla personalizada.

  4. En la página Configurar regla , escriba la siguiente información:

    • Nombre de regla de notificación: escriba un nombre descriptivo para la regla de notificación. Por ejemplo, ActiveDirectoryUserSID.

    • Regla personalizada: copie y pegue el texto siguiente:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
      

    En la página Configurar regla del Asistente para agregar reglas de notificación de transformación, configure las opciones de regla de notificación para el SID de usuario de Active Directory.

    Cuando haya terminado, haga clic en Finalizar.

  5. De nuevo en la ventana Editar reglas de notificación para <RuleName> , compruebe que la pestaña Reglas de transformación de emisión está seleccionada y, a continuación, haga clic en Agregar regla.

    En la ventana Editar reglas de notificación, seleccione Agregar regla en la pestaña Reglas de transformación de emisión.

  6. Se abre el Asistente para agregar reglas de notificación de transformación . En la página Seleccionar plantilla de regla , haga clic en la lista desplegable Plantilla de regla de notificación y, a continuación, seleccione Enviar notificaciones mediante una regla personalizada. Cuando termine, haga clic en Siguiente.

    En la página Seleccionar plantilla de regla del Asistente para agregar reglas de notificación de transformación, seleccione Enviar notificaciones mediante una regla personalizada.

  7. En la página Configurar regla , escriba la siguiente información:

    • Nombre de regla de notificación: escriba un nombre descriptivo para la regla de notificación. Por ejemplo, ActiveDirectoryUPN.

    • Regla personalizada: copie y pegue el texto siguiente:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
      

    En la página Configurar regla del Asistente para agregar reglas de notificación de transformación, configure las opciones de regla de notificación para el UPN de Active Directory.

    Cuando haya terminado, haga clic en Finalizar.

  8. De nuevo en la ventana Editar reglas de notificación para <RuleName> , haga clic en Aceptar.

    Cuando haya terminado de agregar reglas de notificación, haga clic en Aceptar.

Para usar Windows PowerShell para crear las reglas de notificación personalizadas, siga estos pasos:

  1. Abra una ventana de Windows PowerShell con privilegios elevados y ejecute el siguiente comando:

    Import-Module ADFS
    
  2. Utilice la siguiente sintaxis:

    Set-AdfsRelyingPartyTrust -TargetName <OotwRelyingPartyTrust | EACRelyingPartyTrust> -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
    

Para crear las reglas de notificación personalizadas en la confianza de usuario de confianza existente denominada Outlook en la Web, ejecute el siguiente comando:

Set-AdfsRelyingPartyTrust -TargetName "Outlook on the web" -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Para crear las reglas de notificación personalizadas en la confianza de usuario de confianza existente denominada EAC, ejecute el siguiente comando:

Set-AdfsRelyingPartyTrust -TargetName EAC -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Paso 5: (Opcional) Implementar y configurar un servidor web Application Proxy de Windows Server 2012 R2

Los pasos de esta sección solo son necesarios si desea publicar Outlook en la Web y el EAC mediante web Application Proxy, y desea que web Application Proxy realice la autenticación de AD FS. Recuerde:

  • No puede usar el acceso sin conexión en Outlook en la Web si usa la autenticación de AD FS a través de Application Proxy web.

  • No puede instalar web Application Proxy en el mismo servidor donde está instalado AD FS.

Si no va a usar Application Proxy web, vaya al paso 6.

Paso 5a: Instalar Application Proxy web

Para usar Administrador del servidor para instalar Application Proxy web, siga estos pasos:

  1. En el servidor de destino, abra Administrador del servidor, haga clic en Administrar y, a continuación, seleccione Agregar roles y características.

    En Administrador del servidor, haga clic en Administrar para acceder a Agregar roles y características.

  2. Se abre el Asistente para agregar roles y características . Comenzará en la página Antes de comenzar , a menos que haya seleccionado Omitir esta página de forma predeterminada. Haga clic en Siguiente.

    La página

  3. En la página Seleccionar tipo de instalación , compruebe que la instalación basada en roles o características está seleccionada y, a continuación, haga clic en Siguiente.

    La página

  4. En la página Seleccionar servidor de destino , compruebe la selección del servidor y, a continuación, haga clic en Siguiente.

    La página

  5. En la página Seleccionar roles de servidor , seleccione Acceso remoto en la lista de roles y, a continuación, haga clic en Siguiente.

    Seleccione

  6. En la página Características , haga clic en Siguiente (acepte las selecciones de características predeterminadas).

    La página

  7. En la página Acceso remoto, lea la información y haga clic en Siguiente.

    Lea la información de la página

  8. En la página Seleccionar servicios de rol, seleccione Web Application Proxy. En el cuadro de diálogo Agregar características que se abre, haga clic en Agregar características para aceptar los valores predeterminados y cerrar el cuadro de diálogo. De nuevo en la página Seleccionar servicios de rol , haga clic en Siguiente.

    Después de seleccionar Web Application Proxy, aparece el cuadro de diálogo

    Seleccione Web Application Proxy en la página

  9. En la página Confirmar selecciones de instalación , haga clic en Instalar.

    X.

  10. En la página Progreso de la instalación, watch la barra de progreso para comprobar que la instalación se realizó correctamente. Cuando finalice la instalación, deje abierto el asistente para que pueda hacer clic en Abrir el Asistente para Application Proxy web en el paso siguiente (5b).

    Haga clic en

Para usar Windows PowerShell para instalar Application Proxy web, ejecute el siguiente comando:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Paso 5b: Configuración del servidor web Application Proxy

Después de implementar el servidor de Application Proxy web, debe configurar los siguientes valores de Application Proxy web:

  • Nombre del servicio de federación: por ejemplo, adfs.contoso.com.

  • Credencial de confianza del servicio de federación: nombre de usuario y contraseña de una cuenta de administrador local en el servidor de AD FS.

  • Certificado de proxy de AD FS: certificado instalado en el servidor de Application Proxy web que identifica el servidor a los clientes como proxy para el servicio de federación y, por tanto, contiene el nombre del servicio de federación (por ejemplo, adfs.contoso.com). Además, el nombre del servicio de federación debe ser accesible para el servidor de Application Proxy web (que se puede resolver en DNS).

Puede usar Administrador del servidor o Windows PowerShell para configurar el servidor web Application Proxy.

Para usar Administrador del servidor para configurar Application Proxy web, siga estos pasos:

  1. Si dejó abierto el Asistente para agregar roles y características en el servidor web Application Proxy del paso anterior, puede hacer clic en el vínculo Abrir el Asistente para Application Proxy web en la página Progreso de la instalación.

    Seleccione

    Si ha cerrado el Asistente para agregar roles y características o ha usado Windows PowerShell para instalar Application Proxy web, puede llegar al mismo lugar haciendo clic en Notificaciones y, a continuación, en Abrir el Asistente para Application Proxy web en la advertencia Configuración posterior a la implementación.

    En Administrador del servidor, haga clic en Notificaciones para ver la advertencia que contiene el vínculo al Asistente para abrir la Application Proxy web.

  2. Se abre el Asistente para configuración de web Application Proxy. En la página de bienvenida, haga clic en Next.

    Página principal del Asistente para configuración de Application Proxy web.

  3. En la página Servidor de federación , escriba la siguiente información:

    • Nombre del servicio de federación: por ejemplo, adfs.contoso.com.

    • Nombre de usuario y contraseña: escriba las credenciales de una cuenta de administrador local en el servidor de AD FS.

    Cuando termine, haga clic en Siguiente.

    Escriba las credenciales del servidor de AD FS en la página Servidor de federación del Asistente para configuración de Application Proxy web.

  4. En la página Certificado de proxy de AD FS , seleccione un certificado instalado que contenga el nombre del servicio de federación (por ejemplo adfs.contoso.com, ). Puede seleccionar un certificado en la lista desplegable y, a continuación, hacer clic en Ver>detalles para ver más información sobre el certificado. Cuando termine, haga clic en Siguiente.

    Seleccione el certificado de proxy de AD FS en la página Certificado de proxy de AD FS en el Asistente para configuración de proxy de AD FS.

  5. En la página Confirmación , revise la configuración. Puede copiar el comando Windows PowerShell para automatizar instalaciones adicionales (en particular, el valor de huella digital del certificado). Cuando haya terminado, haga clic en Configurar.

    Página Confirmación del Asistente para configuración de Application Proxy web.

  6. En la página Resultados , compruebe que la configuración se realizó correctamente y, a continuación, haga clic en Cerrar.

    La página Resultados del Asistente para configuración de Application Proxy web.

Para usar Windows PowerShell para configurar Application Proxy web, siga estos pasos:

  1. Ejecute el siguiente comando en el servidor web Application Proxy para buscar el valor de huella digital del certificado instalado que contiene adfs.contoso.com:

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Ejecute el siguiente comando y escriba el nombre de usuario y la contraseña de una cuenta de administrador local en el servidor de AD FS.

    $ADFSServerCred = Get-Credential
    
  3. Utilice la siguiente sintaxis:

    Install-WebApplicationProxy -FederationServiceName <FederationServiceName> -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint <ADFSCertThumbprint>
    

    En este ejemplo se configura el servidor web Application Proxy con los valores siguientes:

    • Nombre del servicio de federación: adfs.contoso.com

    • Huella digital del certificado SSL de AD FS: *.contoso.com certificado que tiene el valor 5AE82C737900B29C2BAC3AB6D8C44D249EE05609de huella digital .

    Install-WebApplicationProxy -FederationServiceName adfs.contoso.com -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609
    

Paso 5c: Publicación de las confianzas de usuario de confianza de notificaciones para Outlook en la Web y el EAC en web Application Proxy

Para publicar las confianzas de usuario de confianza en web Application Proxy, puede usar la consola de administración de acceso remoto o Windows PowerShell.

Para usar la consola de administración de acceso remoto, siga estos pasos:

Nota: Debe seguir estos pasos dos veces: una para Outlook en la Web y otra para EAC. La configuración necesaria se describe en el procedimiento.

  1. Abra la consola de administración de acceso remoto en el servidor de Application Proxy web: en Administrador del servidor, haga clic en Herramientas>de administración de acceso remoto.

  2. En la consola de administración de acceso remoto, en Configuración, haga clic en Web Application Proxy y, a continuación, en el panel Tareas, haga clic en Publicar.

    Seleccione Publicar en el panel Tareas de la consola de administración de acceso remoto.

  3. Se abre el Asistente para publicar nueva aplicación . En la página de bienvenida, haga clic en Next.

    La página principal del Asistente para publicar nueva aplicación en el servidor de Application Proxy web.

  4. En la página Autenticación previa, compruebe que Servicios de federación de Active Directory (AD FS) (AD FS) está seleccionado y, a continuación, haga clic en Siguiente.

    Página Autenticación previa del Asistente para publicar nueva aplicación en el servidor de Application Proxy web.

  5. En la página Usuario de confianza, seleccione el usuario de confianza que creó en el servidor de AD FS en Paso 4: Crear una confianza de usuario de confianza y reglas de notificación personalizadas en AD FS para Outlook en la Web y el EAC:

    Seleccione el usuario de confianza en la página Usuario de confianza en el Asistente para publicar nueva aplicación en el servidor de Application Proxy web.

    • Para Outlook en la Web: seleccione Outlook en la Web.

    • Para el EAC: seleccione EAC.

    Cuando termine, haga clic en Siguiente.

  6. En la página Configuración de publicación , escriba la siguiente información:

    • Para Outlook en la Web

      • Nombre: por ejemplo, Outlook on the web. Este nombre solo está visible en la consola de administración de acceso remoto.

      • Dirección URL externa: por ejemplo, https://mail.contoso.com/owa/.

      • Certificado externo: seleccione un certificado instalado que contenga el nombre de host de la dirección URL externa para Outlook en la Web (por ejemplo, mail.contoso.com). Puede seleccionar un certificado en la lista desplegable y, a continuación, hacer clic en Ver>detalles para ver más información sobre el certificado.

      • Dirección URL del servidor back-end: este valor se rellena automáticamente mediante la dirección URL externa. Solo tiene que cambiarlo si la dirección URL del servidor back-end es diferente de la dirección URL externa. Por ejemplo, https://server01.contoso.com/owa/. Tenga en cuenta que las rutas de acceso de la dirección URL externa y la dirección URL del servidor back-end deben coincidir (/owa/), pero los valores del nombre de host pueden ser diferentes (por ejemplo, mail.contoso.com y server01.contoso.com).

      Configuración de publicación de Outlook en la Web en la página Usuario de confianza del Asistente para publicar nueva aplicación en el servidor de Application Proxy web.

    • Para el EAC

      • Nombre: por ejemplo, EAC. Este nombre solo está visible en la consola de administración de acceso remoto.

      • Dirección URL externa: dirección URL externa del EAC. Por ejemplo, https://mail.contoso.com/ecp/.

      • Certificado externo: seleccione un certificado instalado que contenga el nombre de host de la dirección URL externa para el EAC (por ejemplo, mail.contoso.com). Es probable que el certificado sea un certificado comodín o un certificado SAN. Puede seleccionar un certificado en la lista desplegable y, a continuación, hacer clic en Ver>detalles para ver más información sobre el certificado.

      • Dirección URL del servidor back-end: este valor se rellena automáticamente mediante la dirección URL externa. Solo tiene que cambiarlo si la dirección URL del servidor back-end es diferente de la dirección URL externa. Por ejemplo, https://server01.contoso.com/ecp/. Tenga en cuenta que las rutas de acceso de la dirección URL externa y la dirección URL del servidor back-end deben coincidir (/ecp/), pero los valores del nombre de host pueden ser diferentes (por ejemplo, mail.contoso.com y server01.contoso.com).

    Cuando termine, haga clic en Siguiente.

    Configuración de publicación para el EAC en la página Usuario de confianza del Asistente para publicar nueva aplicación en el servidor de Application Proxy web.

  7. En la página Confirmación , revise la configuración. Puede copiar el comando Windows PowerShell para automatizar instalaciones adicionales (en particular, el valor de huella digital del certificado). Cuando haya terminado, haga clic en Publicar.

    La página Confirmación del Asistente para publicar nueva aplicación en el servidor de Application Proxy web.

  8. En la página Resultados , compruebe que la aplicación se publicó correctamente y, a continuación, haga clic en Cerrar.

    La página Resultados del Asistente para publicar nueva aplicación en el servidor de Application Proxy web.

Para usar Windows PowerShell para publicar las confianzas de usuario de confianza, siga estos pasos:

  1. Ejecute el siguiente comando en el servidor de Application Proxy web para buscar la huella digital del certificado instalado que contiene el nombre de host del Outlook en la Web y las direcciones URL de EAC (por ejemplo, mail.contoso.com):

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Utilice la siguiente sintaxis:

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName <OotwRelyingParty | EACRelyingParty> -Name "<Outlook on the web  | EAC>" -ExternalUrl <OotwURL | EACURL> -ExternalCertificateThumbprint <Thumbprint> -BackendServerUrl <OotwURL | EACURL>
    

    En este ejemplo se publican Outlook en la Web en web Application Proxy con la siguiente configuración:

    • Usuario de confianza de AD FS: Outlook en la Web
    • Nombre: Outlook en la Web
    • Dirección URL externa: https://mail.contoso.com/owa/
    • Huella digital del certificado externo: *.contoso.com certificado que tiene el valor 5AE82C737900B29C2BAC3AB6D8C44D249EE05609de huella digital .
    • Dirección URL del servidor back-end: https://mail.contoso.com/owa/
    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName "Outlook on the web" -Name "Outlook on the web" -ExternalUrl https://mail.contoso.com/owa/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE056093 -BackendServerUrl https://mail.contoso.com/owa/
    

    En este ejemplo se publica el EAC en la Application Proxy web con la siguiente configuración:

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName EAC -Name EAC -ExternalUrl https://external.contoso.com/ecp/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -BackendServerUrl https://mail.contoso.com/ecp/
    

Nota: Todos los puntos de conexión de AD FS que quiera publicar a través de web Application Proxy deben estar habilitados para el proxy. Haga esto en la consola de administración de AD FS enPuntos de conexión de servicio> (compruebe que Proxy habilitado es para el punto de conexión especificado).

Paso 6: Configuración de la organización de Exchange para usar la autenticación de AD FS

Para configurar la organización de Exchange para que use la autenticación de AD FS, debe usar el Shell de administración de Exchange. Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.

  1. Ejecute el siguiente comando para buscar el valor de huella digital del certificado de firma de tokens de AD FS importado:

    Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject
    

    Busque el valor CN=ADFS Signing - <FederationServiceName> subject (por ejemplo, CN=ADFS Signing - adfs.contoso.com).

    Puede confirmar este valor de huella digital en el servidor de AD FS en una ventana de Windows PowerShell con privilegios elevados ejecutando el comando Import-Module ADFSy, a continuación, ejecutando el comando Get-AdfsCertificate -CertificateType Token-Signing.

  2. Utilice la siguiente sintaxis:

    Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/adfs/ls/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"
    

    En este ejemplo se usan los siguientes valores:

    • DIRECCIÓN URL de AD FS: https://adfs.contoso.com/adfs/ls/

    • Outlook en la Web DIRECCIÓN URL:https://mail.contoso.com/owa/

    • Dirección URL de EAC: https://mail.contoso.com/ecp/

    • Huella digital del certificado de firma de tokens de AD FS: ADFS Signing - adfs.contoso.com el certificado que tiene el valor 88970C64278A15D642934DC2961D9CCA5E28DA6Bde huella digital .

    Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"
    

    Nota: El parámetro AdfsEncryptCertificateThumbprint no se admite en estos escenarios.

Paso 7: Configuración de la autenticación de AD FS en los directorios virtuales Outlook en la Web y EAC

Para los directorios virtuales Outlook en la Web y EAC, debe configurar la autenticación de AD FS como el único método de autenticación disponible deshabilitando todos los demás métodos de autenticación.

  • Debe configurar el directorio virtual EAC antes de configurar el directorio virtual de Outlook en la Web.

  • Es probable que quiera configurar la autenticación de AD FS solo en servidores exchange accesibles desde Internet que los clientes usan para conectarse a Outlook en la Web y EAC.

  • De forma predeterminada, solo se habilita la autenticación básica y de formularios para los directorios virtuales Outlook en la Web y EAC.

Para usar el Shell de administración de Exchange para configurar un EAC o Outlook en la Web directorio virtual para aceptar solo la autenticación de AD FS, use la sintaxis siguiente:

Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

En este ejemplo se configura el directorio virtual EAC en el sitio web predeterminado del servidor denominado Mailbox01:

Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

En este ejemplo se configura el directorio virtual Outlook en la Web en el sitio de we predeterminado en el servidor denominado Mailbox01:

Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Nota: Para configurar todos los directorios virtuales de EAC y Outlook en la Web en cada servidor exchange de la organización, ejecute los siguientes comandos:

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Paso 8: Reiniciar IIS en el servidor Exchange

  1. Abra el Administrador de IIS en el servidor Exchange. Una manera fácil de hacerlo en Windows Server 2012 o posterior es presionar la tecla Windows + Q, escribir inetmgr y seleccionar el Administrador de Internet Information Services (IIS) en los resultados.

  2. En el Administrador de IIS, seleccione el servidor.

  3. En el panel Acciones, haga clic en Reiniciar.

    En el Administrador de IIS, seleccione el servidor y, en el panel Acciones, haga clic en Reiniciar.

Nota: Para realizar este procedimiento en la línea de comandos, abra un símbolo del sistema con privilegios elevados en el servidor exchange (una ventana del símbolo del sistema que abra seleccionando Ejecutar como administrador) y ejecute los comandos siguientes:

net stop w3svc /y
net start w3svc

¿Cómo saber si el proceso se ha completado correctamente?

Para probar las notificaciones de AD FS para Outlook en la Web:

  1. En un explorador web, abra Outlook en la Web (por ejemplo, https://mail.contoso.com/owa).

  2. Si recibe un error de certificado en el explorador web, continúe en el sitio Outlook en la Web. Se le redirigirá a la página de inicio de sesión de AD FS o a la solicitud de credenciales de AD FS.

  3. Escriba el nombre de usuario (dominio\usuario) y la contraseña y, a continuación, haga clic en Iniciar sesión.

  4. Outlook en la Web se cargará en la ventana.

Para probar las notificaciones de AD FS para EAC:

  1. En un explorador web, abra EAC (por ejemplo, https://mail.contoso.com/ecp).

  2. Si recibe un error de certificado en el explorador web, continúe en el sitio web de EAC. Se le redirigirá a la página de inicio de sesión de AD FS o a la solicitud de credenciales de AD FS.

  3. Escriba el nombre de usuario (dominio\usuario) y la contraseña y, a continuación, haga clic en Iniciar sesión.

  4. EAC se cargará en la ventana.

Consideraciones adicionales

Autenticación multifactor

La implementación y configuración de AD FS para la autenticación basada en notificaciones permite que Outlook en la Web y el EAC admitan la autenticación multifactor, como la autenticación basada en certificados, la autenticación o los tokens de seguridad, y la autenticación con huella digital. La autenticación multifactor requiere dos de estos tres factores de autenticación:

  • Algo que solo el usuario sabe (por ejemplo, la contraseña, el PIN o el patrón).

  • Algo que solo tiene el usuario (por ejemplo, una tarjeta ATM, un token de seguridad, una tarjeta inteligente o un teléfono móvil).

  • Algo que solo el usuario es (por ejemplo, una característica biométrica, como una huella digital).

Por ejemplo, una contraseña y un código de seguridad que se envía a un teléfono móvil, o un PIN y una huella digital.

Para obtener más información sobre la autenticación multifactor en Windows Server 2012 R2, vea Información general: administración de riesgos con autenticación multifactor adicional para aplicaciones confidenciales y Guía de tutorial: administración de riesgos con autenticación multifactor adicional para aplicaciones confidenciales.

En el servidor de AD FS, el servicio de federación funciona como un servicio de token de seguridad y proporciona los tokens de seguridad que se usan con notificaciones. El servicio de federación emite tokens basados en las credenciales que se presentan. Después de que el almacén de cuentas verifique las credenciales del usuario, se generan las notificaciones para el usuario de acuerdo con las reglas de la directiva de confianza y después, se agregan a un token de seguridad que se emite al cliente. Para obtener más información sobre las notificaciones, vea Descripción de las notificaciones.

Coexistencia con otras versiones de Exchange

Puede usar la autenticación de AD FS para Outlook en la Web y el EAC cuando tenga más de una versión de Exchange implementada en su organización. Este escenario solo se admite si todos los clientes se conectan a través de servidores exchange y todos esos servidores se han configurado para la autenticación de AD FS.

En las organizaciones de Exchange 2016, los usuarios con buzones en servidores de Exchange 2010 pueden acceder a sus buzones a través de un servidor de Exchange 2016 configurado para la autenticación de AD FS. La conexión de cliente inicial al servidor de Exchange 2016 usa la autenticación de AD FS. Sin embargo, la conexión proxy a Exchange 2010 usa Kerberos. No se admite ninguna manera de configurar Exchange 2010 para la autenticación directa de AD FS.