Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para implementar una nueva organización asociada en los Servicios de Federación de Active Directory (AD FS), complete las tareas de Lista de Comprobación: Configuración de la Organización Asociada de Recursos o Lista de Comprobación: Configuración de la Organización Asociada de Cuenta, según el diseño de AD FS.
Note
Al usar cualquiera de estas listas de comprobación, se recomienda encarecidamente que lea primero las referencias a las instrucciones de planeación de asociados de cuenta o de asociados de recursos en la Guía de diseño de AD FS en Windows Server 2012 antes de continuar con los procedimientos para configurar la nueva organización de asociados. Seguir la lista de comprobación de esta forma le ayudará a comprender mejor la historia completa de diseño e implementación de AD FS para la organización del asociado de cuenta o del asociado de recurso.
Acerca de las organizaciones colaboradoras de la cuenta
Un asociado de cuenta es la organización de la relación de confianza de federación que almacena físicamente las cuentas de usuario en un almacén de atributos compatible con AD FS. El asociado de cuenta es responsable de recopilar y autenticar las credenciales de un usuario, crear notificaciones para ese usuario y empaquetar las notificaciones en tokens de seguridad. Estos tokens se pueden presentar a través de una federación de confianza para permitir el acceso a los recursos web que se encuentran en la organización del socio de recursos.
Dicho de otro modo, un asociado de cuenta representa a la organización para cuyos usuarios el servidor de federación de cuentas emite tokens de seguridad. El servidor de federación de la organización del asociado de cuenta autentica a los usuarios locales y crea tokens de seguridad que usa el asociado de recursos para tomar decisiones de autorización.
Con respecto a los almacenes de atributos, el asociado de cuenta de AD FS es conceptualmente equivalente a un único bosque de Active Directory cuyas cuentas necesitan acceso a los recursos que se encuentran físicamente en otro bosque. Las cuentas de este bosque pueden acceder a los recursos del bosque de recursos solo si existe una relación de confianza externa o de confianza de bosque entre ambos bosques y los recursos a los que los usuarios intentan acceder se han establecido con los permisos de autorización adecuados.
Acerca de las organizaciones de asociados de recursos
El asociado de recursos es la organización en una implementación de AD FS donde se encuentran los servidores web. El asociado de recursos confía en el asociado de cuenta para autenticar a los usuarios. Por lo tanto, para tomar decisiones de autorización, el asociado de recurso utiliza las notificaciones empaquetadas en tokens de seguridad procedentes de usuarios del asociado de cuenta.
Dicho de otro modo, un asociado de recurso representa a la organización cuyos servidores web están protegidos por el servidor de federación de recursos. El servidor de federación del asociado de recursos usa los tokens de seguridad generados por el asociado de cuenta para tomar decisiones de autorización para los servidores web en el asociado de recursos.
Para funcionar como un recurso de AD FS, los servidores web de la organización del asociado de recursos deben tener instalados Windows Identity Foundation (WIF) o tener instalados los servicios de rol de Active Directory Federation Services (AD FS) 1.x Claims-Aware Web Agent. Los servidores web que funcionan como un recurso de AD FS pueden hospedar aplicaciones basadas en explorador web o basadas en servicios web.