Implementación de servidores de federación

Para implementar servidores de federación en Servicios de federación de Active Directory (AD FS), complete cada una de las tareas de Lista de comprobación: Configuración de un servidor de federación.

Acerca de los servidores de federación

Los servidores de federación son equipos que ejecutan Windows Server 2008 con el software de AD FS instalado que se han configurado para actuar en el rol de servidor de federación. Los servidores de federación autentican o enrutan solicitudes de cuentas de usuario en otras organizaciones y desde equipos cliente que se pueden ubicar en cualquier lugar de Internet.

El acto de instalar el software de AD FS en un equipo y usar el Asistente para configuración del servidor de federación de AD FS para configurarlo para el rol de servidor de federación hace que ese equipo sea un servidor de federación. También hace que el complemento Administración de AD FS esté disponible en ese equipo en el menú Start\Administrative Tools\ para que pueda especificar lo siguiente:

• El nombre de host de AD FS donde las organizaciones y aplicaciones asociadas enviarán solicitudes y respuestas de token.

• Identificador de AD FS que usarán las organizaciones y aplicaciones asociadas para identificar el nombre único o la ubicación de la organización.

• Certificado de firma de tokens que será usado por todos los servidores de federación de una granja de servidores para firmar y emitir tokens.

• La ubicación de las páginas web de ASP.NET personalizadas para el inicio de sesión de cliente, el cierre de sesión de cliente y la detección de asociados de cuenta que mejorarán la experiencia del cliente.

  Note

  La mayoría de estos valores principales de la interfaz de usuario (UI) se encuentran en el archivo web.config en cada servidor de federación. Los valores de nombre de host de AD FS y de identificador de AD FS no se especifican en el archivo web.config.

Los servidores de federación hospedan un motor de emisión de notificaciones que emite tokens basados en las credenciales (por ejemplo, el nombre de usuario y la contraseña) que se le presentan. Un token de seguridad es una unidad de datos firmada criptográficamente que expresa una o varias afirmaciones. Una reclamación es una declaración que realiza un servidor (por ejemplo, nombre, identidad, clave, grupo, privilegio o capacidad) acerca de un cliente. Después de verificar las credenciales en el servidor de federación (a través del proceso de inicio de sesión de usuario), las reclamaciones para el usuario se recopilan mediante el examen de los atributos de usuario almacenados en el almacén de atributos especificado.

En los diseños de inicio de sesión único (SSO) web federados (diseños de AD FS en los que participan dos o más organizaciones), las notificaciones se pueden modificar mediante reglas de notificación para un usuario de confianza específico. Las reclamaciones están integradas en un token que se envía a un servidor de federación de la organización del asociado de recursos. Después de que un servidor de federación del asociado de recursos reciba las notificaciones como notificaciones entrantes, ejecuta el motor de emisión de notificaciones para ejecutar un conjunto de reglas de notificación para filtrar, pasar o transformar esas notificaciones. Luego, las reclamaciones se integran en un nuevo token que se envía al servidor web del socio de recursos.

En el diseño de SSO web (un diseño de AD FS en el que solo interviene una organización), se puede usar un único servidor de federación para que los empleados puedan iniciar sesión una vez y seguir accediendo a varias aplicaciones.