Configuración de los servicios de Federación de Active Directory (AD FS 2,0) para Lync Server 2013Configuring Active Directory Federation Services (AD FS 2.0) for Lync Server 2013

 

Última modificación del tema: 2013-07-03Topic Last Modified: 2013-07-03

En la siguiente sección se describe cómo configurar los servicios de Federación de Active Directory (AD FS 2,0) para que admitan la autenticación multifactor.The following section describes how to configure Active Directory Federation Services (AD FS 2.0) to support multi-factor authentication. Para obtener información sobre cómo instalar AD FS 2,0, consulte las guías paso a paso y de procedimientos de AD FS 2,0 en https://go.microsoft.com/fwlink/p/?LinkId=313374 .For information on how to install AD FS 2.0, see AD FS 2.0 Step-by-Step and How To Guides at https://go.microsoft.com/fwlink/p/?LinkId=313374.

Nota

Al instalar AD FS 2,0, no use el administrador de servidores de Windows para agregar el rol de los servicios de Federación de Active Directory.When installing AD FS 2.0, do not use the Windows Server Manager to add the Active Directory Federation Services role. En su lugar, descargue e instale el paquete 2,0 RTW de los servicios de Federación de Active Directory en https://go.microsoft.com/fwlink/p/?LinkId=313375 .Instead, download and install the Active Directory Federation Services 2.0 RTW package at https://go.microsoft.com/fwlink/p/?LinkId=313375.

Para configurar AD FS para la autenticación en dos fasesTo configure AD FS for two-factor Authentication

  1. Inicie sesión en el equipo con AD FS 2,0 con una cuenta de administrador de dominio.Log in to the AD FS 2.0 computer using a Domain Admin account.

  2. Iniciar Windows PowerShellStart Windows PowerShell.

  3. Desde la línea de comandos de Windows PowerShell, ejecute el siguiente comando:From the Windows PowerShell command-line, run the following command:

    add-pssnapin Microsoft.Adfs.PowerShell
    
  4. Establezca una asociación con cada Lync Server 2013 con actualizaciones acumulativas para Lync Server 2013: Director de julio de 2013, grupo de servidores Enterprise y servidor Standard Edition que se habilitarán para la autenticación pasiva mediante la ejecución del siguiente comando, que reemplaza el nombre del servidor específico de la implementación:Establish a partnership with each Lync Server 2013 with Cumulative Updates for Lync Server 2013: July 2013 Director, Enterprise Pool, and Standard Edition server that will be enabled for passive authentication by running the following command, replacing the server name specific to your deployment:

    Add-ADFSRelyingPartyTrust -Name LyncPool01-PassiveAuth -MetadataURL https://lyncpool01.contoso.com/passiveauth/federationmetadata/2007-06/federationmetadata.xml
    
  5. En el menú Herramientas administrativas, inicie la consola de administración de AD FS 2,0.From the Administrative Tools menu, launch the AD FS 2.0 Management console.

  6. Expanda relaciones de confianza relaciones de > confianza para usuario autenticado.Expand Trust Relationships > Relying Party Trusts.

  7. Compruebe que se haya creado una nueva confianza para Lync Server 2013 con actualizaciones acumulativas para Lync Server 2013: Grupo de servidores Enterprise o servidor Standard Edition de julio de 2013.Verify that a new trust has been created for your Lync Server 2013 with Cumulative Updates for Lync Server 2013: July 2013 Enterprise Pool or Standard Edition server.

  8. Cree y asigne una regla de autorización de emisión para la relación de confianza para usuario autenticado con Windows PowerShell; para ello, ejecute los siguientes comandos:Create and assign an Issuance Authorization Rule for your relying party trust using Windows PowerShell by running the following commands:

     $IssuanceAuthorizationRules = '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
    
     Set-ADFSRelyingPartyTrust -TargetName LyncPool01-PassiveAuth 
     -IssuanceAuthorizationRules $IssuanceAuthorizationRules
    
  9. Cree y asigne una regla de transformación de emisión para la relación de confianza para usuario autenticado con Windows PowerShell; para ello, ejecute los siguientes comandos:Create and assign an Issuance Transform Rule for your relying party trust using Windows PowerShell by running the following commands:

     $IssuanceTransformRules = '@RuleTemplate = "PassThroughClaims" @RuleName = "Sid" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]=> issue(claim = c);'
    
     Set-ADFSRelyingPartyTrust -TargetName LyncPool01-PassiveAuth -IssuanceTransformRules $IssuanceTransformRules
    
  10. Desde la consola de Administración AD FS 2,0, haga clic con el botón secundario en su relación de confianza para usuario autenticado y seleccione editar reglas de notificación.From the AD FS 2.0 Management console, right click on your relying party trust and select Edit Claim Rules.

  11. Seleccione la pestaña reglas de autorización de emisión y compruebe que la nueva regla de autorización se haya creado correctamente.Select the Issuance Authorization Rules tab and verify that the new authorization rule was created successfully.

  12. Seleccione la ficha reglas de transformación de emisión y compruebe que la nueva regla de transformación se haya creado correctamente.Select the Issuance Transform Rules tab and verify that the new transform rule was created successfully.