Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Si planea configurar un entorno de granja de servidores de federación en Servicios de federación de Active Directory (AD FS), tiene que crear y configurar una cuenta de servicio dedicada en los Active Directory Domain Services (AD DS), donde residirá la granja de servidores. Después, configura cada servidor de federación de la granja para que use esta cuenta. Cuando desee que los equipos cliente de la red corporativa se puedan autenticar en cualquiera de los servidores de federación de una granja de AD FS mediante la autenticación integrada de Windows, debe completar las siguientes tareas.
Important
A partir de AD FS 3.0 (Windows Server 2012 R2), AD FS admite el uso de una cuenta de servicio administrada de grupo (gMSA) como cuenta de servicio. Esta es la opción recomendada, ya que elimina la necesidad de administrar la contraseña de la cuenta de servicio. En este documento se describe el caso alternativo de usar una cuenta de servicio tradicional, como en los dominios que siguen ejecutando un nivel funcional de dominio (DFL) de Windows Server 2008 R2 o anterior.
Note
Debe realizar las tareas de este procedimiento una sola vez para toda la granja de servidores de federación. Más adelante, cuando crees un servidor de federación mediante el Asistente para la configuración de servidores de federación, debes especificar esta misma cuenta en la página Cuenta de servicio del asistente en cada servidor de federación de la granja.
Crear una cuenta de servicio dedicada
Crea una cuenta de usuario/servicio dedicada en el bosque de Active Directory que está ubicada en la organización del proveedor de identidades. Esta cuenta es necesaria para que el protocolo de autenticación Kerberos funcione en un escenario de granja de servidores y para permitir la autenticación de paso a través en todos los servidores de federación. Usa esta cuenta únicamente para los propósitos de la granja de servidores de la federación.
Edita las propiedades de la cuenta de usuario y activa la casilla La contraseña nunca expira. Con esta acción te aseguras de que la función de esta cuenta de servicio no se interrumpa nunca como resultado de los requisitos de cambio de contraseña del dominio.
Note
Si se usa la cuenta de servicio de red para esta cuenta dedicada, se producirán errores aleatorios al intentar acceder con la autenticación integrada de Windows, porque los vales de Kerberos no se validan de un servidor a otro.
Para establecer el SPN de la cuenta de servicio
Como la identidad del grupo de aplicaciones para AppPool de AD FS se ejecuta como una cuenta de usuario/servicio de dominio, debe configurar el nombre principal de servicio (SPN) para esa cuenta en el dominio con la herramienta de línea de comandos Setspn.exe. Setspn.exe se instala de manera predeterminada en equipos que ejecutan Windows Server 2008. Ejecuta el siguiente comando en un equipo que esté unido al mismo dominio donde reside usuario/cuenta de servicio:
setspn -a host/<server name> <service account>Por ejemplo, en un escenario en el que todos los servidores de federación están agrupados en clúster bajo el nombre de host del Sistema de nombres de dominio (DNS) fs.fabrikam.com y el nombre de la cuenta de servicio asignada a AD FS AppPool es adfs2farm, escriba el siguiente comando y luego presione INTRO.
setspn -a host/fs.fabrikam.com adfs2farmSolo es necesario realizar esta tarea una vez para esta cuenta.
Después de cambiar la identidad de AppPool de AD FS a la cuenta de servicio, establezca las listas de control de acceso (ACL) en la base de datos SQL Server para permitir el acceso de lectura a esta nueva cuenta a fin de que AppPool de AD FS pueda leer los datos de la directiva.