Table of contents
TOC
Collapse the table of content
Expand the table of content

Requisitos de AD FS

Bill Mathers|Última actualización: 14/04/2017
|
1 Colaborador

Se aplica a: Windows Server 2012 R2

Estos son los distintos requisitos que deben cumplir con durante la implementación de AD FS:

Requisitos de certificados

Certificados de reproducción el rol más importante en proteger las comunicaciones entre federación reclamaciones de servidores proxy de aplicación Web,-clientes Web y aplicaciones. Los requisitos para certificados varían en función de si estás configurando un servidor de federación o un equipo de proxy, como se describe en esta sección.

Certificados de servidor de federación

Tipo de certificadoRequisitos, soporte técnico y cosas que debes saber
Capa de Sockets seguros (SSL) certificado: se trata de un certificado SSL estándar que se usa para proteger las comunicaciones entre clientes y servidores de federación.: Este certificado debe estar públicamente confianza* X509 certificado v3.
-Todos los clientes que tienen acceso a cualquier extremo de AD FS deben confiar en este certificado. Se recomienda encarecidamente usar certificados emitidos por un público (tercer-terceros) entidad de certificación (CA). Puedes usar un self-firmado SSL certificado correctamente en los servidores de federación en un entorno de laboratorio de prueba. Sin embargo, para un entorno de producción, te recomendamos que obtener el certificado de una CA pública.
: Admite cualquier tamaño de la clave compatible con Windows Server 2012 R2 para certificados SSL.
-No no los certificados de soporte técnico que usan claves CNG.
-Cuando se usa junto al área de trabajo\/servicio de registro del dispositivo, el nombre alternativo del firmante del certificado SSL para el servicio de AD FS debe contener el enterpriseregistration de valor que se va seguido por el nombre Principal de usuario (UPN) sufijo de la organización, por ejemplo, enterpriseregistration.contoso.com.
-Se admiten los certificados carácter comodín. Al crear el conjunto de AD FS, se te pedirá para proporcionar el nombre de servicio para el servicio de AD FS (por ejemplo, adfs.contoso.com.
-Se recomienda encarecidamente usar el mismo certificado SSL para el Proxy de aplicación Web. Pero esto es requiere a ser el mismo cuando se admiten los extremos de la autenticación integrada de Windows a través del Proxy de aplicación Web y cuando está activada extendido protección autenticación (configuración predeterminada).
-El nombre del sujeto del certificado se usa para representar el nombre de servicios de federación de cada instancia de AD FS que implementas. Por este motivo, es aconsejable considera la posibilidad de elegir un nombre de asunto en cualquier entidad emisora nueva-que mejor represente el nombre de tu empresa u organización para los partners de certificados emitidos.
La identidad del certificado debe coincidir con el nombre de servicio de federación (por ejemplo, fs.contoso.com). La identidad es una extensión de nombre alternativas de asunto de dNSName de tipo, o bien, si no hay ninguna entrada de nombre alternativo del firmante, el nombre de firmante especificado como un nombre común. Varias entradas de nombre alternativo del firmante pueden estar presentes en el certificado, siempre que uno de ellos coincide con el nombre de servicio de federación.
- Importante: se recomienda usar el mismo certificado SSL en todos los nodos de la granja de servidores de AD FS, así como todos los servidores proxy de aplicación Web en el conjunto de AD FS.
Certificado de comunicación de servicio: este certificado permite seguridad para proteger las comunicaciones entre servidores de federación de WCF los mensajes.-De manera predeterminada, el certificado SSL se usa como el certificado de comunicaciones de servicio. Pero también tienes la opción de configurar otro certificado como el certificado de comunicación de servicio.
- Importante: si utilizas el certificado SSL como el certificado de comunicación de servicio, cuando expira el certificado SSL, asegúrate de que configurar el certificado SSL renovado como el certificado de comunicación de servicio. Esto no se produce automáticamente.
-Este certificado debe ser de confianza para los clientes de AD FS que usan la seguridad de mensajes de WCF.
-Te recomendamos que uses un certificado de autenticación de servidor emitido por un público (tercer-terceros) entidad de certificación (CA).
-El certificado de comunicación de servicio no puede ser un certificado que usa las claves CNG.
-Este certificado puede administrarse mediante la consola de administración de AD FS.
Token-certificado de firma: este es un estándar X509 certificado que se usa para firmar todos los tokens que emite el servidor de federación de forma segura.-De forma predeterminada, AD FS crea un self-firmó el certificado con claves de 2048 bits.
-Emitida certificados también son compatibles y pueden modificarse mediante el complemento de administración de AD FS-en
-CA certificados emitido se debe almacena y accede a través de un proveedor de criptografía de CSP.
-El token de certificado de firma no puede ser un certificado que usa las claves CNG.
-AD FS no requiere externamente inscritos certificados de firma de token.
AD FS renueva de forma automática estos self-certificados firmados antes de que expiren, configurando primero los certificados nuevos como certificados secundarios para permitir la asociados para consumir, y voltear para principal en un proceso denominado automática rollover.We recomendamos que uses el valor predeterminado, generados automáticamente certificados de firma de tokens.
Si tu organización tiene directivas que requieren diferentes certificados estén configurados para la firma de tokens, puedes especificar los certificados en tiempo de instalación mediante Powershell (usa el parámetro: SigningCertificateThumbprint de la instalación-AdfsFarm cmdlet). Después de la instalación, puedes ver y administrar certificados de firma de tokens mediante la consola de administración de AD FS o los cmdlets de Powershell conjunto-AdfsCertificate y Get-AdfsCertificate.
Cuando se usan externamente inscritos certificados de firma de tokens, AD FS no realiza la renovación automática de certificados o sustitución. Este proceso se debe realizar un administrador.
Para permitir que para la sustitución del certificado cuando un certificado está a punto de expirar –, un certificado de firma de token secundario puede configurarse en AD FS. De manera predeterminada, todos los certificados de firma de tokens se publican en los metadatos de federación, pero solo el token principal-certificado de firma se usa para firmar realmente tokens por AD FS.
Token-descifrado\/certificado de cifrado: este es un estándar X509 certificado que se usa para descifrar\/cifrar los tokens entrantes. También se publica en los metadatos de federación.-De forma predeterminada, AD FS crea un self-firmó el certificado con claves de 2048 bits.
-Emitida certificados también son compatibles y pueden modificarse mediante el complemento de administración de AD FS-en
-CA certificados emitido se debe almacena y accede a través de un proveedor de criptografía de CSP.
-El token-descifrado\/certificado de cifrado no puede ser un certificado que usa las claves CNG.
-De manera predeterminada, AD FS genera y usa su propio, internamente generado y self-certificados para el descifrado token firmados. AD FS no requiere certificados inscritos externamente para este propósito.
Además, AD FS renueva de forma automática estos self-certificados firmados antes de que expiren.
Te recomendamos que uses el valor predeterminado, certificados generados automáticamente para el descifrado de token.
Si tu organización tiene directivas que requieran certificados diferentes esté configurado para el descifrado de token, puedes especificar los certificados en tiempo de instalación mediante Powershell (usa el parámetro: DecryptionCertificateThumbprint de la instalación-AdfsFarm cmdlet). Después de la instalación, puedes ver y administrar los certificados de descifrado token mediante la consola de administración de AD FS o los cmdlets de Powershell conjunto-AdfsCertificate y Get-AdfsCertificate.
Cuando se usan certificados inscritos externamente para el descifrado de token, AD FS no realiza la renovación automática de certificados. Este proceso se debe realizar un administrador.
-La cuenta de servicio de AD FS debe tener acceso al token-firmar la clave privada del certificado en el almacén personal del equipo local. Esto se ocupa de instalación. También puedes usar el complemento de administración de AD FS-para asegurarse de este acceso si posteriormente cambias el token-certificado de firma.
Precaución

Certificados que se usan para el token-firma y token-descifrar\/cifrado son fundamentales para la estabilidad del servicio de federación. Los clientes administrar su propias token-firma & token-descifrar\/los certificados de cifrado deben asegurarse de que estos certificados están disponibles independientemente durante un evento de recuperación o copian de seguridad.

Nota

En AD FS puede cambiar el algoritmo Hash seguro (SHA) nivel que se usa para las firmas digitales para cualquier SHA-1 o SHA-256 (más seguro). AD FS no admite el uso de certificados con otros métodos de hash, como MD5 (el algoritmo hash predeterminado que se usa con el comando Makecert.exe-herramienta de línea de). Como procedimiento recomendado de seguridad, te recomendamos que uses SHA-256 (que se establece de forma predeterminada) para todas las firmas. SHA-1 se recomienda su uso únicamente en escenarios en los que deben interoperar con un producto que no es compatible con las comunicaciones mediante SHA-256, como un no-versiones del producto o heredado de Microsoft de AD FS.

Nota

Después de recibir un certificado de una entidad de certificación, asegúrate de que todos los certificados se importan en el almacén de certificados personales del equipo local. Puedes importar certificados al almacén personal con el complemento de MMC de certificados-en.

Requisitos de hardware

Los siguientes requisitos mínimos de hardware se aplican a los servidores de federación de AD FS de Windows Server 2012 R2:

Requisitos de hardwareRequisito mínimoRequisito recomendado
Velocidad de CPU1,4 GHz y 64-bit de procesadorCuatro-core 2 GHz
RAM512 MB4 GB
Espacio en disco32 GB100 GB

Requisitos de software

Los siguientes requisitos de AD FS son para la funcionalidad del servidor que está integrada en el sistema operativo de Windows Server® 2012 R2:

  • Obtener acceso a la extranet, debes implementar el servicio de rol de Proxy de aplicación Web -parte del rol de servidor de acceso remoto de Windows Server® 2012 R2. No se admiten las versiones anteriores de un proxy de servidor de federación con AD FS en Windows Server® 2012 R2.

  • No se puede instalar un servidor de federación y el servicio de rol de Proxy de aplicación Web en el mismo equipo.

Requisitos de AD DS

Requisitos del controlador de dominio

Controladores de dominio de todos los dominios de usuario y el dominio al que se unen los servidores de AD FS deben ejecutar Windows Server 2008 o posterior.

Nota

Toda la ayuda para entornos con controladores de dominio de Windows Server 2003 finalizará después extendido soporte final fecha para Windows Server 2003. Los clientes se recomiendan actualizar los controladores de dominio tan pronto como sea posible. Visita esta página para obtener más información sobre el ciclo de vida de soporte técnico de Microsoft. Para los problemas detectados, que son específicos para entornos de controlador de dominio de Windows Server 2003, correcciones se emitirá solo para los problemas de seguridad y si se puede emitir una corrección antes de la expiración de los Extended soporte técnico para Windows Server 2003.

Funcional del dominio-requisitos de nivel

Todos los dominios de cuentas de usuario y el dominio al que se unen los servidores de AD FS deben funcionar en el nivel funcional de dominio de Windows Server 2003 o posterior.

La mayoría de características de AD FS no requieren AD DS funcional-nivel modificaciones para que funcionen correctamente. Sin embargo, funcional del dominio de Windows Server 2008 nivel o superior es necesario para la autenticación de certificado de cliente para que funcionen correctamente si el certificado se asigne explícitamente a una cuenta de usuario en AD DS.

Requisitos de esquema

  • AD FS no requiere cambios de esquema o funcional-nivel modificaciones en AD DS.

  • Para usar la funcionalidad al área de trabajo, el esquema del bosque que los servidores de AD FS están unidos a debe establecerse en Windows Server 2012 R2.

Requisitos de la cuenta de servicio

  • Cualquier cuenta de servicio estándar puede usarse como una cuenta de servicio de AD FS. También se admiten las cuentas de servicio administrado de grupo. Esto requiere al menos un controlador de dominio (se recomienda implementar dos o más) que ejecuta Windows Server 2012 o superior.

  • Para la autenticación de Kerberos funcione entre dominio-unido a los clientes y AD FS, la ' HOST\/< adfs_servicio_nombre >' debe registrarse como un SPN en la cuenta de servicio. De manera predeterminada, AD FS configurar esto al crear un nuevo conjunto de AD FS si tiene los permisos necesarios para realizar esta operación.

  • La cuenta de servicio de AD FS debe ser de confianza en cada dominio del usuario que contiene los usuarios autenticarse en el servicio de AD FS.

Requisitos de dominio.

  • Todos los servidores de AD FS deben ser un han unido a un dominio de AD DS.

  • Todos los servidores de AD FS dentro de una granja de servidores deben implementarse en un solo dominio.

  • Cada dominio de la cuenta de usuario que contiene los usuarios autenticarse en el servicio de AD FS debe confiar en que los servidores de AD FS están unidos al dominio.

Requisitos de bosques múltiples

  • Debe confiar en que los servidores de AD FS están unidos al dominio cada dominio de la cuenta de usuario o el bosque que contiene los usuarios autenticarse en el servicio de AD FS.

  • La cuenta de servicio de AD FS debe ser de confianza en cada dominio del usuario que contiene los usuarios autenticarse en el servicio de AD FS.

Requisitos de la base de datos de configuración

Estos son los requisitos y restricciones que se aplican en función del tipo de almacén de configuración:

WID

  • Una granja de servidores WID tiene un límite de 30 servidores de federación si tienes 100 confianzas de terceros de confianza.

  • Perfil de resolución artefacto en SAML 2.0 no se admite en la base de datos de configuración WID. Detección de reproducción token no se admite en la base de datos de configuración WID. Esta funcionalidad solo se usa únicamente en escenarios donde es que actúa como el proveedor de federación y consumir tokens de seguridad de proveedores externos reclamaciones AD FS.

  • Implementación de servidores de AD FS en datos diferentes recursos para conmutación por error o equilibrio de carga geográfica es compatible, como el número de servidores no superar los 30.

La siguiente tabla proporciona un resumen de uso de una granja de servidores WID. Úsalo para planear la implementación.

1 -100 confianzas de punto de ReuniónMás de 100 confianzas de punto de Reunión
1 -30 AD FS nodosWID compatibleNo se admite con WID -SQL necesario
Más de 30 AD FS nodosNo se admite con WID -SQL necesarioNo se admite con WID -SQL necesario

SQL Server

AD FS en Windows Server 2012 R2, puedes usar SQL Server 2008 y versiones posterior

Requisitos del explorador

Cuando se realiza la autenticación de AD FS a través de un explorador o un control de explorador, el explorador debe cumplir los siguientes requisitos:

  • JavaScript debe estar habilitado

  • Las cookies deben estar activadas

  • Indicación del nombre de servidor (SNI) debe ser compatible

  • Para la autenticación de certificado de usuario certificado y dispositivo (funcionalidad de unión a un área de trabajo), el explorador debe admitir la autenticación de certificado de cliente SSL

Varias plataformas y claves exploradores han sufrido validación de representación y la funcionalidad de los detalles de los cuales se enumeran a continuación. Aún se admiten los exploradores y dispositivos que no se tratan en esta tabla si cumplen los requisitos enumerados anteriormente:

ExploradoresPlataformas
IE 10.0Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2
IE 11.0Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2
Agente de autenticación Web de WindowsWindows 8.1
Firefox [v21]Windows 7, Windows 8.1
Safari [versión 7]iOS 6, Mac OS-10.7 X
Cromo [v27]Windows 7, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Mac OS-X 10.7.
Importante

Problema conocido -Firefox: funcionalidad al área de trabajo que identifica el dispositivo con el certificado de dispositivo no es funcional en plataformas de Windows. Firefox no admite actualmente realizar la autenticación de certificado de cliente SSL mediante certificados aprovisionados en el almacén de certificados de usuario en los clientes de Windows.

Cookies

AD FS crea sesión-cookies persistentes y en función que deben almacenarse en los equipos cliente para proporcionar el inicio de sesión-, iniciar sesión-, inicio de sesión único-en (SSO)y otras funciones. Por lo tanto, el explorador del cliente debe configurarse para que acepte cookies. Las cookies que se usan para la autenticación siempre son Protocolo seguro de transferencia de hipertexto (HTTPS) las cookies de sesión que se han escrito para el servidor de origen. Si el explorador del cliente no está configurado para permitir que estas cookies, AD FS no puede funcionar correctamente. Las cookies persistentes se usan para conservar la selección del usuario de que el proveedor de notificaciones. Puede deshabilitar mediante el uso de una opción de configuración en el archivo de configuración para el inicio de sesión de AD FS-en páginas. Compatibilidad con TLS\/SSL es necesario por motivos de seguridad.

Requisitos de extranet

Para proporcionar acceso a la extranet al servicio de AD FS, debes implementar el servicio de rol de Proxy de aplicación Web que la función frontal extranet que solicitudes de autenticación de proxy de forma segura para el servicio de AD FS. Esto proporciona el aislamiento de los extremos de servicios de AD FS, así como el aislamiento de todas las claves de seguridad (como certificados de firma del token) de solicitudes que proceden de internet. Además, características, como el bloqueo de cuenta Extranet suave requieren el uso de los Proxy de aplicación Web. Para obtener más información acerca de Proxy de aplicación Web, consulta Proxy de aplicación Web.

Si quieres utilizar una tercera-terceros proxy para el acceso a la extranet, este tercer-proxy de terceros debe ser compatible con el protocolo definido en http:\/\/download.microsoft.com\/descargar\/9\/5\/E\/95EF66AF-9026-4BB0-A41D-A4F81802D92C\/% 5bMS-ADFSPIP%5d.pdf.

Requisitos de la red

Correctamente la configuración de los siguientes servicios de red es fundamental para la correcta implementación de AD FS de la organización:

Configuración de Firewall corporativa

Encuentra entre el Proxy de aplicación Web y de la granja de servidores de federación de firewall y el firewall entre los clientes y el Proxy de aplicación Web deben tener el puerto TCP 443 habilitado entrante.

Además, si la autenticación de certificados de usuario de cliente (autenticación clientTLS con X509 certificados de usuario) es necesario, AD FS en Windows Server 2012 R2 requiere que esté habilitado el puerto TCP 49443 entrante en el firewall entre los clientes y el Proxy de aplicación Web. Esto no es necesario en el firewall entre el Proxy de aplicación Web y los servidores de federación).

Configuración de DNS

  • Obtener acceso a la intranet, todos los clientes acceso a AD FS servicio dentro de la red corporativa interna (intranet) debe ser capaz de resolver el nombre de servicio de AD FS (nombre proporcionado por el certificado SSL) para el equilibrado de carga de los servidores de AD FS o del servidor de AD FS.

  • Obtener acceso a la extranet, todos los clientes acceso a AD FS servicio desde fuera de la red corporativa (extranet\/internet) debe ser capaz de resolver el nombre de servicio de AD FS (nombre proporcionado por el certificado SSL) para el equilibrado de carga de los servidores Proxy de aplicación Web o el servidor Proxy de aplicación Web.

  • Para que extranet acceso funcionar correctamente, cada servidor Proxy de aplicación Web en la DMZ debe ser capaz de resolver el nombre de servicio de AD FS (nombre proporcionado por el certificado SSL) para el equilibrado de carga de los servidores de AD FS o del servidor de AD FS. Esto puede lograrse mediante un servidor DNS alternativo de la red DMZ o cambiando la resolución de servidor local mediante el archivo de HOSTS.

  • Para que la autenticación integrada de Windows trabajar dentro de la red y fuera de la red para un subconjunto de extremos que se exponen a través del Proxy de aplicación Web, debes usar un registro (no CNAME) para apuntar a los equilibradores de carga.

Para obtener información sobre la configuración corporativa DNS para el servicio de federación y servicio de registro del dispositivo, consulta configurar DNS corporativa para los servicios de federación y DRS.

Para obtener información sobre la configuración de DNS corporativa para los servidores proxy de aplicación Web, consulta la sección "Configurar DNS" en paso 1: configurar la infraestructura de Proxy de aplicación Web.

¿Para obtener información acerca de cómo configurar una dirección IP o FQDN mediante NLB del clúster, vea Especificar los parámetros de clúster en http:\/\/go.microsoft.com\/fwlink\/? LinkId=75282.

Requisitos de la tienda de atributo

AD FS requiere al menos un almacén de atributo que se usará para autenticar usuarios y notificaciones de seguridad para los usuarios de la extracción. Para obtener una lista del atributo almacena que es compatible con AD FS, consulta el rol de atributo almacena.

Nota

AD FS crea automáticamente un almacén de atributo "Active Directory", de manera predeterminada. Requisitos de la tienda de atributo dependen de si la organización actúa como el asociado de cuenta (aloja los usuarios federados) o el asociado de recurso (hospeda la aplicación federada).

Almacenes de atributo de LDAP

Cuando trabajas con otro protocolo ligero de acceso a directorios (LDAP)-en función de tiendas de atributo, debe conectarse a un servidor LDAP que admite la autenticación integrada de Windows. La cadena de conexión de LDAP debe escribirse en el formato de una dirección URL de LDAP, como se describe en la RFC 2255.

También es necesario que la cuenta de servicio para el servicio de AD FS tiene el derecho a recuperar información de usuario en la tienda de atributo LDAP.

Almacenes de atributo de SQL Server

Para AD FS en Windows Server 2012 R2 para que funcionen correctamente, los equipos que hospedar el almacén de atributo de SQL Server deben estar ejecutándose Microsoft SQL Server 2008 o una versión posterior. Cuando trabajas con SQL-en función de tiendas de atributo, también debes configurar una cadena de conexión.

Almacenes de atributo personalizada

Puedes desarrollar almacenes atributo personalizado para habilitar escenarios avanzados.

  • El lenguaje sobre directivas que está integrado en AD FS hacer referencia a los almacenes de atributo personalizado para que se puedan mejorar cualquiera de los siguientes escenarios:

    • Creación de notificaciones para un usuario autenticado localmente

    • Complementan reclamaciones por un usuario autenticado externamente

    • Autorización de un usuario para obtener un token

    • Autorización de un servicio para obtener un token en el comportamiento de un usuario

    • Emitir datos adicionales en los tokens de seguridad emitidos por AD FS para usuarios de confianza.

  • Todos los almacenes del atributo personalizado deben crearse en la parte superior .NET 4.0 o superior.

Cuando se trabaja con un almacén de atributo personalizado, es posible que debas configurar una cadena de conexión. En ese caso, puedes escribir un código personalizado de la opción que permite una conexión a la tienda de atributo personalizado. La cadena de conexión en esta situación es un conjunto de nombre\/almacenan pares de valores que se interpretan como implementados por el desarrollador del atributo store.For más información sobre cómo desarrollar y usar el atributo personalizado tiendas, consulte Introducción a la tienda atributo.

Requisitos de la aplicación

AD FS admite notificaciones-aplicaciones que usan los siguientes protocolos:

  • WS-federación

  • WS-de confianza

  • Protocolo de SAML 2.0 mediante perfiles IDPLite, SPLite y eGov1.5.

  • Perfil de concesión de autorización de OAuth 2.0

AD FS también admite la autenticación y autorización para cualquier no-reclamaciones-aplicaciones que son compatibles con el Proxy de aplicación Web.

Requisitos de autenticación

Autenticación de AD DS (autenticación principal)

Obtener acceso a la intranet, se admiten los siguientes mecanismos de autenticación estándar de AD DS:

  • Autenticación integrada en Windows mediante Negotiate para Kerberos y NTLM

  • La autenticación con el nombre de usuario de formularios\/contraseñas

  • Uso de certificados asignados a cuentas de usuario en AD DS de la autenticación de certificado

Obtener acceso a la extranet, se admiten los siguientes mecanismos de autenticación:

  • La autenticación con el nombre de usuario de formularios\/contraseñas

  • Uso de certificados están asignados a cuentas de usuario en AD DS de la autenticación de certificado

  • Autenticación integrada en Windows mediante Negotiate (NTLM solo) de WS-extremos que aceptan la autenticación integrada de Windows de confianza.

Para la autenticación de certificado:

  • Se extiende a las tarjetas inteligentes que se pueden anclar protegido.

  • La interfaz gráfica de usuario para el usuario escriba su pin no se proporciona por AD FS y es necesaria para formar parte del sistema operativo cliente que se muestra cuando se utiliza al cliente TLS.

  • El lector y el proveedor de servicios criptográficos (CSP) para la tarjeta inteligente debe funcionar en el equipo donde se encuentra el explorador.

  • El certificado de tarjeta inteligente debe encadenas a raíz de confianza en todos los servidores de AD FS y servidores Proxy de aplicación Web.

  • El certificado debe asignar a la cuenta de usuario en AD DS por cualquiera de los siguientes métodos:

    • El nombre de firmante del certificado que se corresponde con el nombre completo de LDAP de una cuenta de usuario en AD DS.

    • La extensión de certificado asunto altname tiene el nombre de usuario principal (UPN) de una cuenta de usuario en AD DS.

Para la autenticación integrada de Windows sin problemas con Kerberos en la intranet,

  • Es necesario para el nombre de servicio que forman parte de los sitios de confianza o sitios de Intranet Local.

  • Además, el HOST\/< adfs_servicio_nombre > SPN debe establecerse en la cuenta de servicio que se ejecuta la granja de servidores de AD FS en.

Multi-Factor de autenticación

AD FS admite la autenticación adicional (más allá de autenticación principal compatible con AD DS) con un modelo de proveedor mediante el cual proveedores\/los clientes pueden crear su propios multi-adaptador de autenticación de factor que un administrador puede registrar y usar durante el inicio de sesión.

Todos los adaptadores de MFA deben basarse en .NET 4.5.

Para obtener más información acerca de MFA, consulta administrar riesgo con la autenticación multifactor adicional para aplicaciones con información confidencial.

Autenticación de dispositivo

AD FS admite la autenticación de dispositivo mediante certificados aprovisionados el servicio de registro del dispositivo durante la acción de un área de trabajo del usuario final unirse a su dispositivo.

Requisitos de unión a un área de trabajo

Los usuarios finales pueden unirse a un área de trabajo de sus dispositivos para una organización con AD FS. Esto es compatible con el servicio de registro del dispositivo en AD FS. Como resultado, los usuarios finales aprovechar las ventajas adicionales de SSO en todas las aplicaciones compatibles con AD FS. Además, los administradores pueden administrar riesgo por restringir el acceso a las aplicaciones solo para dispositivos que se han unido a la organización de empresa. A continuación son los siguientes requisitos para habilitar este escenario.

  • AD FS admite unirse a un área de trabajo para Windows 8.1 e iOS 5+ dispositivos

  • Para usar la funcionalidad al área de trabajo, el esquema del bosque que los servidores de AD FS están unidos a debe ser Windows Server 2012 R2.

  • El nombre alternativo del firmante del certificado SSL para el servicio de AD FS debe contener el enterpriseregistration de valor que se va seguido por el nombre Principal de usuario (UPN) sufijo de la organización, por ejemplo, enterpriseregistration.corp.contoso.com.

Requisitos de criptografía

La siguiente tabla proporciona información de soporte técnico de criptografía adicionales en el token de AD FS firma cifrado token\/funcionalidad de descifrado:

AlgoritmoLongitudes de claveProtocolos\/aplicaciones\/comentarios
DES triple – predeterminado 192 (admite 192 a 256)-http:\/\/www.w3.org\/2001\/04\/xmlenc#DES triple-cbc>= 192Algoritmos compatibles para cifrar el token de seguridad.
Aes128 -http:\/\/www.w3.org\/2001\/04\/xmlenc#aes128-cbc128Algoritmos compatibles para cifrar el token de seguridad.
AES192 -http:\/\/www.w3.org\/2001\/04\/xmlenc#aes192-cbc192Algoritmos compatibles para cifrar el token de seguridad.
AES256 -http:\/\/www.w3.org\/2001\/04\/xmlenc#aes256-cbc256Valor predeterminado. Algoritmos compatibles para cifrar el token de seguridad.
TripleDESKeyWrap -http:\/\/www.w3.org\/2001\/04\/xmlenc#kw-DES tripleTodos los tamaños de clave compatibles con .NET 4.0+Admite algoritmo para cifrar la clave simétrica que cifra un token de seguridad.
AES128KeyWrap -http:\/\/www.w3.org\/2001\/04\/xmlenc#kw-aes128128Admite algoritmo para cifrar la clave simétrica que cifra el token de seguridad.
AES192KeyWrap -http:\/\/www.w3.org\/2001\/04\/xmlenc#kw-aes192192Admite algoritmo para cifrar la clave simétrica que cifra el token de seguridad.
AES256KeyWrap -http:\/\/www.w3.org\/2001\/04\/xmlenc#kw-aes256256Admite algoritmo para cifrar la clave simétrica que cifra el token de seguridad.
RsaV15KeyWrap -http:\/\/www.w3.org\/2001\/04\/xmlenc#rsa-1_51024Admite algoritmo para cifrar la clave simétrica que cifra el token de seguridad.
RsaOaepKeyWrap -http:\/\/www.w3.org\/2001\/04\/xmlenc#rsa-oaep-mgf1p1024De forma predeterminada. Admite algoritmo para cifrar la clave simétrica que cifra el token de seguridad.
SHA1-http:\/\/www.w3.org\/IMÁGENES\/DSig\/SHA1_1_0 htmlN\/AServidor de AD FS utiliza en la generación de SourceId artefacto: en este escenario, el STS usa SHA1 (por la recomendación en el estándar 2.0 SAML) para crear un valor de bit 160 corto para sourceiD artefacto.

También usa el agente de web ADFS (componentes heredados del período de tiempo 2003) a identificar cambios durante un tiempo de "última actualización" valor para que sepa cuándo se debe actualizar la información de STS.
SHA1withRSA-

http:\/\/www.w3.org\/IMÁGENES\/DSig\/RSA-SHA1_1_0 html
N\/AUsado en casos al servidor de AD FS valida la firma de SAML AuthenticationRequest, iniciar la solicitud de resolución artefacto o respuesta, crear token-certificado de firma.

En estos casos, SHA256 es el valor predeterminado y SHA1 solo se usa si el partner (usuario de confianza) no es compatible con SHA256 y debe usar SHA1.

Requisitos de permisos

El administrador que realiza la instalación y la configuración inicial de AD FS debe tener permisos de administrador de dominio en el dominio local (en otras palabras, el dominio al que el servidor de federación está unido a.)

Consulta también

Guía de diseño de AD FS en Windows Server 2012 R2

© 2017 Microsoft