Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta lista de comprobación incluye las tareas de implementación necesarias para preparar un servidor que ejecuta Windows Server® 2012 para el rol de servidor de federación en Servicios de federación de Active Directory (AD FS).
Nota:
Complete las tareas de esta lista de comprobación en orden. Cuando un vínculo de referencia le lleva a un procedimiento, vuelva a este tema después de completar los pasos descritos en ese procedimiento para poder continuar con las tareas restantes de esta lista de comprobación.
Lista de comprobación: Configuración de un servidor de federación
| Tarea | Referencia |
|---|---|
| Antes de empezar a implementar los servidores de federación de AD FS, revise lo siguiente: 1.) ventajas y desventajas de elegir Windows Internal Database (WID) o SQL Server para almacenar la base de datos de configuración de AD FS 2). Tipos de topología de implementación de AD FS y sus recomendaciones de ubicación del servidor y diseño de red asociados. |
Determinar la topología de implementación de AD FS
|
| Revise la guía de planeamiento de la capacidad de AD FS para determinar el número adecuado de servidores de federación que debe usar en el entorno de producción. |
Planeación de la capacidad del servidor de federación |
| Revise la información de la Guía de diseño de AD FS sobre dónde colocar servidores de federación en su organización. |
Planificación de la ubicación del servidor de federación |
| Determine si un servidor de federación independiente o una granja de servidores de federación es mejor para la implementación. |
Cuándo crear un servidor de federación |
| Determine si este nuevo servidor de federación se creará en la organización del asociado de cuenta o en la organización del asociado de recursos. |
Revisar el rol del servidor de federación en el socio de cuenta
|
| Revise la información sobre cómo los servidores de federación usan certificados de comunicación de servicio y certificados de firma de tokens para autenticar de forma segura las solicitudes de proxy de servidor de federación y cliente. Cautela: Aunque ha sido habitual usar certificados con nombres de host no calificados como https://myserver, estos certificados no tienen ningún valor de seguridad y pueden permitir que un atacante suplanta el servicio de federación de AD FS a los clientes empresariales. Por lo tanto, se recomienda usar un nombre de dominio completo (FQDN), como https://myserver.contoso.com y usar solo certificados SSL emitidos al FQDN del servicio de federación. |
Requisitos de certificado para servidores de federación |
| Revise la información sobre cómo actualizar el sistema de nombres de dominio (DNS) de red corporativa para que se pueda producir una resolución correcta de nombres en los servidores de federación. |
Requisitos de resolución de nombres para servidores de federación |
| Únase al equipo que se convertirá en el servidor de federación en un dominio del bosque de asociado de cuenta o bosque de asociado de recursos donde se usará para autenticar a los usuarios de ese bosque o desde bosques de confianza. Nota: Si desea configurar un servidor de federación en la organización del asociado de cuenta, el equipo primero debe estar unido a cualquier dominio del bosque donde se usará el servidor de federación para autenticar a los usuarios de ese bosque o de bosques de confianza. |
Unión de un equipo a un dominio |
| Cree un registro de recursos en el DNS de la red corporativa que vincule el nombre de host DNS del servidor de federación a la dirección IP del servidor de federación. |
Agregar un registro de recursos de host (A) al DNS corporativo para un servidor de federación |
| (Opcional) Si va a agregar un servidor de federación a una granja de servidores de federación, es posible que tenga que exportar primero la clave privada del certificado de firma de tokens existente (en el primer servidor de federación de la granja de servidores) para que tenga un formato de archivo del certificado listo cuando otros servidores de federación deben importar el mismo certificado. No es necesario exportar la clave privada cuando varios equipos (sin necesidad de exportar) pueden reutilizar el certificado de autenticación de servidor emitido o cuando obtenga certificados de autenticación de servidor únicos para cada servidor de federación de la granja de servidores. Nota: El complemento de administración de AD FS hace referencia a los certificados de autenticación del servidor para los servidores de federación como certificados de comunicación del servicio. |
Exportación de la parte de clave privada de un certificado de autenticación de servidor |
| Después de obtener un certificado de autenticación de servidor (o clave privada) de una entidad de certificación (CA), debe importar el archivo de certificado al sitio web predeterminado para cada servidor de federación. Nota: Instalar este certificado en el sitio web predeterminado es un requisito antes de poder usar el Asistente para configuración del servidor de federación de AD FS. |
Importar un certificado de autenticación de servidor al sitio web predeterminado |
| (Opcional) Como alternativa a obtener un certificado de autenticación de servidor de una entidad de certificación, puede usar Internet Information Services (IIS) para crear un certificado de ejemplo para el servidor de federación. Cautela: No es un procedimiento recomendado de seguridad implementar un servidor de federación en un entorno de producción mediante un certificado de autenticación de servidor autofirmado. |
IIS: cree un certificado de servidor de Self-Signed y complete el procedimiento Importar un certificado de autenticación de servidor al sitio web predeterminado. |
| Si va a configurar un entorno de granja de servidores de federación en una organización asociada de cuenta, debe crear y configurar una cuenta de servicio dedicada en Active Directory Domain Services (AD DS) donde residirá la granja de servidores y configurará cada servidor de federación de la granja de servidores para usar esta cuenta. Al realizar este procedimiento, permitirá que los clientes de la red corporativa se autentiquen en cualquiera de los servidores de federación de la granja mediante la autenticación integrada de Windows. |
Configurar manualmente una cuenta de servicio para una granja de servidores de federación |
| Instale el servicio de rol servicio de federación en el equipo que se convertirá en el servidor de federación. |
Instalar el servicio de rol del servicio de federación |
| Configure el software de AD FS en el equipo para que actúe en el rol de servidor de federación mediante el Asistente para configuración del servidor de federación de AD FS. Siga este procedimiento cuando desee configurar un servidor de federación independiente, cree el primer servidor de federación en una nueva granja de servidores o una une un equipo a una granja de servidores de federación existente. Nota: En el caso de un diseño de inicio de sesión único (SSO) web federado, debe tener por lo menos un servidor de federación en la organización del asociado de cuenta y por lo menos un servidor de federación en la organización del asociado de recurso. |
Creación de un servidor de federación de Stand-Alone
|
| (Opcional) Use el complemento AD FS Management para agregar y configurar los certificados de AD FS necesarios para implementar el diseño. Para obtener más información sobre cuándo agregar o cambiar certificados mediante el complemento, vea Requisitos de certificado para servidores de federación. |
Agregar un certificado de Token-Signing
|
| Si este es el primer servidor de federación de la organización, configure el servicio de federación para que se ajuste al diseño de AD FS. |
Lista de comprobación: Configuración de la organización del asociado de cuenta
|
| Desde un equipo cliente, compruebe que el servidor de federación está operativo. |
Compruebe que un servidor de federación está operativo |