Share via

Revisión de los requisitos para implementar AD FS

  • Artículo

Se aplica a: Azure, Office 365, Power BI, Windows Intune

Para que una nueva implementación de AD FS cree una relación de confianza para usuario autenticado correctamente con Azure AD, primero debe asegurarse de que la infraestructura de red corporativa está configurada para admitir los requisitos de AD FS para cuentas, resolución de nombres y certificados. AD FS tiene los tipos siguientes de requisitos:

  • Requisitos de software

  • Requisitos de certificados

  • Requisitos de red

Requisitos de software

El software AD FS debe instalarse en cualquier equipo que estés preparando para el rol de servidor de federación o de servidor proxy de federación. Puede instalar este software mediante el Asistente para la instalación de AD FS o realizando una instalación silenciosa mediante el parámetro /quiet deadfssetup.exe en una línea de comandos.

Para una plataforma de instalación base, AD FS requiere el sistema operativo Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2. AD FS tiene un paquete de instalación independiente para las plataformas del sistema operativo de Windows Server 2008, Windows Server 2008 R2 (y se conoce normalmente como AD FS 2.0) o se puede instalar agregando el rol de servidor de servicio de federación como parte del sistema operativo Windows Server 2012 o Windows Server 2012 R2.

Si utilizas AD FS 2.0 o AD FS en Windows Server 2012, implementarás y configurarás los servidores proxy de federación como parte de la implementación de su solución de SSO.

Si utilizas AD FS en Windows Server 2012 R2, implementarás proxies de aplicación web a fin de configurar su implementación de AD FS para acceso de extranet. En Windows Server 2012 R2, se utiliza un proxy de aplicación web, un nuevo servicio de rol del rol de servidor de acceso remoto, para que tu AD FS tenga accesibilidad desde el exterior de la red corporativa. Para obtener más información, vea Información general del Proxy de aplicación web.

Requisitos previos

Durante el proceso de instalación de AD FS, el asistente para la instalación intenta comprobar y, de ser necesario, instalar automáticamente ambas aplicaciones y revisiones dependientes requeridas. En la mayoría de los casos, el asistente para la instalación instalará todas las aplicaciones requeridas para que AD FS opere y se instale.

Sin embargo, hay una excepción: al instalar AD FS en la plataforma Windows Server 2008 (como un paquete de instalación independiente conocido como AD FS 2.0). Si este es el caso en su situación de implementación, primero debe asegurarse de que .NET 3.5 SP1 está instalado en los servidores que ejecutan Windows Server 2008 antes de instalar el software AD FS 2.0, ya que es un requisito previo de AD FS 2.0 y no se instalará automáticamente por el Asistente para la instalación de AD FS 2.0 en esta plataforma. Si .NET 3.5 SP1 no está instalado, el Asistente para la instalación de AD FS 2.0 impedirá la instalación del software de AD FS 2.0.

Revisiones

Debe instalar revisiones de AD FS 2.0 después de haber instalado AD FS 2.0. Para obtener más información, vea Description of Update Rollup 2 for Active Directory Federation Services (AD FS) 2.0 (Descripción del paquete acumulativo de actualizaciones 2 para Servicios de federación de Active Directory (AD FS) 2.0).

Virtualización

AD FS admite la virtualización de software tanto del rol de servidor de federación como del rol de servidor proxy de federación. Para tener en cuenta la redundancia, se recomienda almacenar cada máquina virtual de AD FS en servidores virtuales físicos independientes.

Para obtener más información sobre la configuración de un entorno virtual de servidores con la tecnología de virtualización de Microsoft, vea la Guía de introducción a Hyper-V.

Requisitos de certificados

Los certificados desempeñan el papel más importante en la protección de las comunicaciones entre servidores de federación, servidores proxy de aplicación web, servidores proxy de federación, el servicio en la nube y los clientes web. Los requisitos de certificados varían según configures un servidor de federación, un proxy de aplicación web o un equipo de servidor proxy de federación, como se describe en las tablas siguientes.

Certificados del servidor de federación

Los servidores de federación necesitan los certificados de la siguiente tabla.

Tipo de certificado Descripción Qué debes saber antes de la implementación

Certificado SSL (también conocido como Certificado de autenticación de servidor) para AD FS en Windows Server 2012 R2

Este es un certificado estándar de capa de sockets seguros (SSL) que se utiliza para asegurar las comunicaciones entre los servidores de federación, los clientes, los proxies de aplicación web y los equipos de servidores proxy de federación.

AD FS requiere un certificado para la autenticación de servidor SSL en cada servidor de federación en tu granja de servidores de federación. El mismo certificado debe utilizarse en cada servidor de federación de una granja. Es necesario tener disponibles tanto el certificado como su clave privada. Por ejemplo, si tienes el certificado y tu clave privada en un archivo .pfx, podrás importar el archivo directamente al Asistente para la configuración de los Servicios de federación de Active Directory. Este certificado SSL debe contener lo siguiente:

  1. El nombre de sujeto y el nombre alternativo del firmante deben contener tu nombre del servicio de federación, como fs.contoso.com

  2. El nombre alternativo del firmante debe contener el valor enterpriseregistration seguido del sufijo UPN de su organización, por ejemplo, enterpriseregistration.corp.contoso.com

Certificado SSL (también conocido como Certificado de autenticación de servidor) para las versiones heredadas de AD FS

Este es un certificado estándar de capa de sockets seguros que se utiliza para asegurar las comunicaciones entre los servidores proxy de federación, los clientes, los servidores proxy de aplicación web y los equipos de servidores proxy de federación.

AD FS requiere un certificado SSL al configurar las opciones del servidor de federación. De modo predeterminado, AD FS utiliza el certificado SSL configurado para el sitio web predeterminado en Internet Information Services (IIS).

El nombre de sujeto de este certificado SSL se utiliza para determinar el nombre del servicio de federación para cada instancia de AD FS que implementes. Por este motivo, es posible que desee considerar la posibilidad de elegir un nombre de sujeto en cualquier nuevo certificado emitido por la entidad de certificación (CA) que mejor represente el nombre de su empresa u organización al servicio en la nube y este nombre debe ser enrutable en Internet. Por ejemplo, en el diagrama anterior (consulte la “Fase 2”), el nombre de sujeto del certificado sería fs.fabrikam.com.

Importante

AD FS requiere que este certificado SSL tenga un nombre de sujeto sin punto (nombre corto).

Obligatorio: Dado que los clientes de AD FS y los servicios en la nube de Microsoft deben confiar en este certificado, use un certificado SSL emitido por una ENTIDAD de certificación pública (de terceros) o por una ENTIDAD de certificación subordinada a una raíz de confianza pública; por ejemplo, VeriSign o Thawte.

Certificado de firma de tokens

Se trata de un certificado X.509 estándar que se usa para firmar de forma segura todos los tokens que emite el servidor de federación y que el servicio en la nube aceptará y validará.

El certificado de firma de tokens debe contener una clave privada y debería estar encadenado a una raíz de confianza en el servicio de federación. De manera predeterminada, AD FS crea un certificado autofirmado. Sin embargo, según las necesidades de su organización, puede cambiar este último a un certificado emitido por una CA mediante el complemento de administración de AD FS.

Recomendación: Use el certificado de firma de tokens autofirmado generado por AD FS. Al hacerlo, AD FS administrará este certificado por ti de manera predeterminada. Por ejemplo, en caso de que este certificado expire, AD FS generará un nuevo certificado autofirmado para utilizarlo por adelantado.

Advertencia

El certificado de firma de tokens es fundamental para la estabilidad del Servicio de federación. En caso de que se cambie, el servicio en la nube debe recibir una notificación sobre este cambio. De lo contrario, se producirá un error en las solicitudes al servicio en la nube. Para obtener más información sobre cómo administrar certificados en la granja de servidores de federación de AD FS y el servicio en la nube, vea Actualizar las propiedades de confianza.

Certificados de equipos de proxy

Los servidores proxy de federación requieren los certificados que se detallan en la siguiente tabla.

Tipo de certificado Descripción Qué debes saber antes de la implementación

Certificado SSL

Este es un certificado SSL estándar que se utiliza para asegurar las comunicaciones entre un servidor de federación, un servidor proxy de federación o un proxy de aplicación web y los equipos cliente de Internet.

Es el mismo certificado de autenticación de servidores que el utilizado por los servidores de federación en una red corporativa. Este certificado debe tener el mismo nombre de sujeto que el certificado SSL configurado en el servidor de federación de la red corporativa.

Si utilizas AD FS en Windows Server 2008 o Windows Server 2012, debes instalar este certificado en el sitio web predeterminado del equipo del servidor proxy de federación.

Si utilizas AD FS en Windows Server 2012 R2, debes importar este certificado al almacén de certificados personales en el equipo que servirá de proxy de aplicación web.

Recomendación: Use el mismo certificado de autenticación de servidor que está configurado en el servidor de federación al que se conectará este proxy de servidor de federación o web Application Proxy.

Para obtener más información sobre los certificados que usan los servidores de federación y los servidores proxy de servidor de federación, vea Guía de diseño de AD FS 2.0 o Windows Server 2012 Guía de diseño de AD FS.

Requisitos de red

Configurar de manera apropiada los siguientes servicios de red es fundamental para una correcta implementación de AD FS en tu organización.

Conectividad de red TCP/IP

Para que AD FS funcione, debe existir la conectividad de red TCP/IP entre el cliente, los controladores de dominios, los servidores de federación y los servidores proxy de federación.

DNS

El servicio de red principal que es fundamental para el funcionamiento de AD FS, distinto de Active Directory, es sistema de nombres de dominio (DNS). Si se implementa DNS, los usuarios pueden utilizar nombres de equipo descriptivos que sean más fáciles de recordar a la hora de conectarse a equipos y otros recursos en redes IP.

El proceso de actualización de DNS para admitir AD FS consiste en configurar lo siguiente:

  • Servidores DNS internos de la red corporativa para resolver el nombre DNS de clúster a la dirección IP del clúster para el clúster de NLB que configure en el host de NLB de la red corporativa. Por ejemplo, resolver fs.fabrikam.com a 172.16.1.3.

  • Servidores DNS de la red perimetral para resolver el nombre DNS de clúster a la dirección IP del clúster para el clúster de NLB que configure en el host perimetral de NLB. Por ejemplo, resolver fs.fabrikam.com a 192.0.2.3.

Requisitos de NLB

NLB es necesario para proporcionar tolerancia a errores, alta disponibilidad y equilibrio de carga en varios nodos. Puede implementarse con hardware, software o una combinación de ambos. Debes configurar los registros de recursos DNS según tu nombre de servicio de federación para el clúster NLB de modo que el nombre de dominio completo (FQDN) del clúster (también conocido como nombre DNS del clúster en este artículo) se resuelva en su dirección IP del clúster.

Para obtener información general sobre la dirección IP del clúster de NLB o el FQDN del clúster, vea Specifying the Cluster Parameters (Especificar los parámetros de clúster).

Usar Protección ampliada para la autenticación

Si los equipos tienen protección ampliada para la autenticación y usa Firefox, Chrome o Safari, es posible que no pueda iniciar sesión en el servicio en la nube mediante la autenticación de Windows integrada desde dentro de la red corporativa. En este caso, es posible que los usuarios reciban solicitudes periódicas de inicio de sesión. Esto se debe a la configuración predeterminada (en Windows 7 y sistemas operativos cliente revisados) para AD FS y protección ampliada para la autenticación.

Hasta que Firefox, Chrome y Safari admitan la protección ampliada para la autenticación, la opción recomendada es que todos los clientes accedan al servicio en la nube para instalar y usar Windows Internet Explorer 8. Si desea usar el inicio de sesión único para el servicio en la nube con Firefox, Chrome o Safari, hay otras dos soluciones que se deben tener en cuenta. Sin embargo, estos métodos pueden dar lugar a problemas de seguridad. Para obtener más información, vea Microsoft Security Advisory: Extended protection for authentication (Aviso de seguridad de Microsoft: protección ampliada de la autenticación). Posibles soluciones:

  • Desinstalación del equipo de las revisiones de Protección ampliada para la autenticación.

  • Cambiar la configuración de la protección ampliada para la autenticación en el servidor de AD FS. Para obtener más información, consulte la página sobre la configuración de opciones avanzadas de AD FS 2.0.

  • Reconfiguración de las opciones de autenticación para la página web de AD FS en cada servidor de federación desde la autenticación de Windows integrada hasta el uso de autenticación basada en formularios.

Paso siguiente

Ahora que ha revisado los requisitos para implementar AD FS, el siguiente paso es Preparar la infraestructura de red para los servidores de federación.

Consulte también

Conceptos

Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único