Lista de comprobación: configuración de la organización del asociado de cuenta

  • Artículo

Esta organización de asociado de cuenta contiene los usuarios que van a acceder a las aplicaciones web en el asociado de recurso. Los administradores de esta organización deben usar el complemento de administración de AD FS para crear relaciones de confianza para usuario autenticado para representar a sus relaciones de confianza con las organizaciones de los asociados de recurso. A su vez, el administrador del asociados de recurso debe crear proveedores de notificaciones para cada organización de asociado de cuenta en la que quiera confiar.

Esta lista de comprobación incluye tareas para implementar Servicios de federación de Active Directory (AD FS) en la organización del asociado de cuenta. También incluye tareas para configurar los componentes necesarios para establecer la mitad de una asociación de federación.

Si va a implementar un Diseño de SSO web, no tiene que seguir esta lista de comprobación. Sin embargo, debe completar las tareas de esta lista de comprobación para implementar correctamente un Diseño de SSO web federado.

Importante

Asegúrese de que el administrador de la organización del asociado de recurso sigue las instrucciones de Lista de comprobación: Configuración de la organización de asociados de recursos para asegurarse de que todas las tareas de implementación necesarias se completarán para crear correctamente la segunda mitad de la asociación de federación.

Nota

Complete las tareas de esta lista de comprobación en orden. Cuando un vínculo de referencia le dirija a un procedimiento, vuelva a este tema tras completar los pasos de este procedimiento, de tal forma que pueda continuar con las tareas restantes de la lista de comprobación.

Check mark icon, Configure the account partner organization.Lista de comprobación: configuración de la organización del asociado de cuenta

Tarea Referencia
Si actualmente tiene una implementación de AD FS 1.0 o 1.1 en el entorno de producción, consulte el vínculo adecuado para obtener información sobre cómo migrar la configuración del servicio de federación actual a un servicio de federación de AD FS nuevo. Si va a implementar AD FS por primera vez en su organización mediante AD FS, puede omitir este paso y continuar con la siguiente tarea de esta lista de comprobación para obtener información sobre cómo configurar una organización de asociados de cuenta nueva. Icon, Plan to migrate to AD FS 2.0.Planificación de una migración a AD FS 2.0
Revise la información sobre los componentes necesarios para proporcionar acceso a los usuarios a las aplicaciones federadas según sus objetivos de implementación. Icon, Provide your AD users access to your claims-aware applications.Proporcionar a los usuarios de Active Directory acceso a aplicaciones y servicios habilitados para notificaciones

Icon, Provide your AD users access to applications and services.Proporcionar a los usuarios de Active Directory acceso a aplicaciones y servicios de otras organizaciones

Icon, Provide users in another organization acces to your claims-aware applications and services.Proporcionar a los usuarios de otra organización acceso a aplicaciones y servicios habilitados para notificaciones
Determine a qué diseño de AD FS se asociará esta organización de asociado de cuenta. Icon, Web SSO design.Diseño de SSO web

Icon, Federated Web SSO design.Diseño de SSO web federado
Antes de empezar a implementar los servidores de AD FS, revise: 1.) las ventajas y desventajas de elegir Windows Internal Database (WID) o SQL Server para almacenar la base de datos de configuración de AD FS y 2.) Tipos de topología de implementación de AD FS y sus recomendaciones de ubicación de servidor y diseño de red asociados. Icon, Determine your AD FS deployment topology.Determinar la topología de implementación de AD FS

Icon, AD FS deployment topology considerations.Consideraciones sobre la topología de implementación de AD FS
Revise la guía de planeamiento de capacidad de AD FS para determinar el número adecuado de servidores de federación y servidores proxy de federación que debe usar en el entorno de producción. Icon, Plan for AD FS server capacity.Planear la capacidad de los servidores de AD FS
Para planear e implementar eficazmente la topología física para la implementación de asociado de cuenta, determine si el diseño de AD FS requiere uno o varios servidores de federación o servidores proxy de federación. Icon, Set up a Federation server.Lista de comprobación: configurar un servidor de federación

Icon, Set up a Federation server proxy.Lista de comprobación: configuración de un servidor proxy de federación
Determine el tipo de almacén de atributos que quiere agregar a AD FS. Después, agregue el almacén de atributos mediante el complemento Administración de AD FS. Icon, The role of attribute stores.El papel de los almacenes de atributos

Icon, Add an attribute store.Adición de un almacén de atributos
Si necesita enviar notificaciones o consumir notificaciones de un asociado de recurso que use un servicio de federación de AD FS 1.0 o 1.1, consulte el vínculo a la derecha para obtener información sobre cómo configurar AD FS para interoperar con sus versiones anteriores. Si la organización de asociado de recurso también usa AD FS para enviar o consumir notificaciones en la organización, puede omitir este paso y continuar con la tarea siguiente de la lista de comprobación. Icon, Plan for interoperability with AD FS 1.x.Planificación de interoperabilidad con AD FS 1.x
Después de implementar el primer servidor de federación en la organización del asociado de cuenta, cree una relación de confianza para usuario autenticado con el complemento de Administración de AD FS. Para crear una relación de confianza de usuario autenticado, puede especificar los datos de un asociado de recurso manualmente o puede usar la dirección URL de metadatos de federación que la organización del asociado de recurso le proporcione. Puede usar los metadatos de federación para recuperar los datos del asociado de recurso automáticamente. Nota: Si el asociado de recurso publica sus metadatos de federación o puede proporcionarle una copia en archivo de los mismos, le recomendamos que recupere los datos automáticamente porque ahorra tiempo. Icon, Manually create a relying party trust.Crear manualmente una relación de confianza para usuario autenticado compatible con notificaciones

Icon, Create a relying party trust using Federation metadata.Crear una relación de confianza para usuario autenticado compatible con notificaciones mediante metadatos de federación
Según las necesidades de su organización, cree uno o varios conjuntos de reglas de notificación para cada relación de confianza para usuario autenticado que se especifique en el complemento Administración de AD FS para que las notificaciones se emitan correctamente. Icon, Create claim rules for a relying party trust.Lista de comprobación: crear reglas de notificación para una relación de confianza para usuario autenticado
Se debe crear una descripción de notificación si aún no existe una que satisfaga las necesidades de su organización. AD FS se envía con un conjunto predeterminado de descripciones de notificaciones que se exponen en el complemento Administración de AD FS. Icon, Add a claim description.Agregar una descripción de notificación
Determine si su organización tendrá que usar la delegación de identidades para autorizar o restringir una cuenta especificada para que "actúe como" o suplante a otros usuarios. Esto suele ser un requisito cuando las aplicaciones web de front-end deben interactuar con los servicios web back-end. Icon, Use identity delegation.Cuándo usar la delegación de identidad
Prepare los equipos cliente para la federación mediante lo siguiente:

- La adición de la dirección URL del servidor de federación de asociados de cuenta a la lista de sitios de confianza para el explorador cliente.
- El uso de la directiva de grupo para insertar los certificados de Capa de sockets seguros (SSL) adecuados en los equipos cliente.

 Icon, Prepare client computers in the account partner.Preparación de equipos cliente en el asociado de cuenta

Icon, Configure client computers to trust the account Federation server.Configurar equipos cliente para que confíen en el servidor de federación de cuentas

configure account partner orgDistribución de certificados en los equipos cliente mediante una directiva de grupo