Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Después de instalar el servicio de rol Servicio de federación y de configurar los certificados necesarios en un equipo, ya puede configurarlo para que se convierta en un servidor de federación. Puede usar el siguiente procedimiento para configurar el equipo para convertirse en el primer servidor de federación de una nueva granja de servidores de federación mediante el Asistente para configuración del servidor de federación de AD FS.
El acto de crear el primer servidor de federación en una granja de servidores también crea un nuevo servicio de federación y hace que este equipo sea el servidor de federación principal. Esto significa que este equipo se configurará con una copia de lectura y escritura de la base de datos de configuración de AD FS. Todos los demás servidores de federación de esta granja de servidores deben replicar los cambios realizados en el servidor de federación principal en sus copias de solo lectura de la base de datos de configuración de AD FS que almacenan localmente. Para obtener más información sobre este proceso de replicación, vea El rol de la base de datos de configuración de AD FS.
Note
Al diseñar el inicio de sesión único (SSO) web federado, debe haber como mínimo un servidor de federación en la organización del asociado de cuenta y otro en la organización del asociado de recurso. Para obtener más información, consulta Dónde colocar un servidor de federación.
La pertenencia a administradores de dominio o una cuenta de dominio delegada a la que se ha concedido acceso de escritura al contenedor de datos de programa en Active Directory es el mínimo necesario para completar este procedimiento.
Para crear el primer servidor de federación en una granja de servidores de federación
Hay dos maneras de iniciar el Asistente para la configuración del servidor de federación de AD FS. Para iniciar el asistente, realiza una de las acciones siguientes:
Después de completar la instalación del servicio de rol de Servicios de federación, inicie el complemento de administración de AD FS y haga clic en el vínculo del Asistente para la configuración del servidor de federación de AD FS en la página Introducción o en el panel Acciones.
Cada vez que se complete el asistente para la instalación, abra el Explorador de Windows, vaya a la carpeta C:\Windows\ADFS y, a continuación, haga doble clic en FsConfigWizard.exe.
En la página principal , compruebe que está seleccionado Crear un nuevo servicio de federación y, a continuación, haga clic en Siguiente.
En la página Seleccionar implementación independiente o de granja, haz clic en Nueva granja de servidores de federación y haz clic en Siguiente.
En la página Especificar el nombre del Servicio de federación, comprueba que el Certificado SSL que se muestra es correcto. Si no es el certificado correcto, seleccione el certificado adecuado en la lista de certificados SSL .
Este certificado se genera desde la configuración de la Capa de sockets seguros (SSL) para el sitio web predeterminado. Si el sitio web predeterminado tiene un solo certificado SSL configurado, dicho certificado se mostrará y se seleccionará automáticamente para su uso. Si hay varios certificados SSL configurados para el sitio web predeterminado, se mostrarán todos los certificados en una lista y tendrás que elegir entre ellos. Si no hay ningún ajuste SSL configurado para el sitio web predeterminado, se generará una lista a partir de los certificados disponibles en el almacén de certificados personales del equipo local.
Note
El asistente no te permitirá invalidar el certificado si hay un certificado SSL configurado para IIS. Esto garantiza que se conserve cualquier configuración IIS anterior prevista para los certificados SSL. Para solucionar esta restricción, puede quitar el certificado o volver a configurarlo manualmente con la consola de administración de IIS.
Si la base de datos de AD FS que ha seleccionado ya existe, aparece la página Se detectó una base de datos de configuración de AD FS existente. Si aparece esa página, haga clic en Eliminar base de datos y, a continuación, haga clic en Siguiente.
Caution
Seleccione esta opción solo cuando esté seguro de que los datos en esta base de datos de AD FS no son importantes o no se usan en una granja de servidores de federación de producción.
En la página Especificar una cuenta de servicio , haga clic en Examinar. En el cuadro de diálogo Examinar , busque la cuenta de dominio que se usará como cuenta de servicio en esta nueva granja de servidores de federación y, a continuación, haga clic en Aceptar. Escriba la contraseña de esta cuenta, confírmela y, a continuación, haga clic en Siguiente.
Note
Consulte Configurar manualmente una cuenta de servicio para una granja de servidores de federación para obtener más información sobre cómo especificar una cuenta de servicio para una granja de servidores de federación. Cada servidor de federación de la granja de servidores de federación debe especificar la misma cuenta de servicio para que la granja esté operativa. Por ejemplo, si la cuenta de servicio que se creó fue contoso\ADFS2SVC, cada equipo que configure para el rol de servidor de federación y que participará en la misma granja de servidores debe especificar contoso\ADFS2SVC en este paso en el Asistente para configuración del servidor de federación para que la granja esté operativa.
En la página Listo para aplicar configuración, comprueba los detalles. Si la configuración parece ser correcta, haga clic en Siguiente para empezar a configurar AD FS con estas opciones.
En la página Resultados de configuración , revise los resultados. Cuando finalicen todos los pasos de configuración, haga clic en Cerrar para salir del asistente.
Important
Para garantizar una implementación segura, la resolución de artefactos y la detección de respuestas están deshabilitadas cuando se utiliza el asistente de configuración del servidor de federación de AD FS para configurar una granja de servidores de federación. Este asistente configura automáticamente Windows Internal Database para almacenar datos de configuración del servicio. Sin embargo, puede deshacer erróneamente este cambio habilitando el punto de conexión de resolución de artefactos mediante el nodo Puntos de conexión del complemento administración de AD FS o el cmdlet Enable-ADFSEndpoint en Windows PowerShell. Tenga cuidado de no volver a configurar la configuración predeterminada para que este punto de conexión permanezca deshabilitado cuando use una granja de servidores de federación y la base de datos interna de Windows juntas.
Referencias adicionales
Lista de comprobación: configuración de un servidor de federación