Cuándo se debe crear un servidor de federación

Al crear un servidor de federaciónen Servicios de federación de Active Directory (AD FS) (AD FS), se proporciona un medio por el que su organización puede:

  • Interactúe en la comunicación basada en el inicio de sesión único (SSO) web con otra organización (que también tiene al menos un servidor de federación) y, cuando sea necesario, con los empleados de su propia organización (que necesitan acceso a través de – Internet).

  • Habilite servicios front-end para suplantar a los usuarios en los servicios de infraestructura mediante la delegación de identidad. Para obtener más información, consulte When to Use Identity Delegation.

En las secciones siguientes se describen algunas de las decisiones clave para determinar cuándo y dónde crear uno o varios servidores de federación.

Determinar la función organizativa del servidor de federación

Para tomar una decisión informada sobre cuándo crear un nuevo servidor de federación, primero debe determinar en qué organización residirá el servidor. El rol que desempeña un servidor de federación en una organización depende de si coloca el servidor de federación en la organización del asociado de cuenta o en la organización del asociado de recursos.

Cuando un servidor de federación se coloca en la red corporativa del asociado de cuenta, su rol es autenticar las credenciales de usuario de los clientes de explorador, servicio web o selector de identidad y enviar tokens de seguridad a los clientes. Para obtener más información, consulte Review the Role of the Federation Server in the Account Partner.

Cuando un servidor de federación se coloca en la red corporativa del asociado de recursos, su rol es autenticar a los usuarios, en función de un token de seguridad emitido por un servidor de federación en la organización del asociado de recursos, o su rol es redirigir las solicitudes de token desde aplicaciones web configuradas o servicios web a la organización del asociado de cuenta a la que pertenece el cliente. Para obtener más información, consulte Review the Role of the Federation Server in the Resource Partner.

Determinar qué diseño de AD FS implementar

Cree servidores de federación en su organización siempre que desee implementar cualquiera de los siguientes AD FS diseños:

Si es necesario, una organización que implementa un diseño de SSO web federado puede configurar un único servidor de federación para que actúe tanto en el rol de asociado de cuenta como en el rol de asociado de recursos. En este caso, el servidor de federación puede generar tokens de Lenguaje de marcado de aserción de seguridad (SAML), en función de las cuentas de usuario de su propia organización, o volver a enrutar las solicitudes de token a la organización, en función de dónde residen las cuentas de los usuarios.

Nota

Para el diseño de SSO web federado, debe haber al menos un servidor de federación en el asociado de cuenta y al menos un servidor de federación en el asociado de recursos.

Diferencias entre un servidor de federación y un servidor proxy de federación

Un servidor de federación puede servir páginas web para el inicio de sesión, la directiva, la autenticación y la detección de la misma manera que un proxy de servidor de federación. Las principales diferencias entre un servidor de federación y un proxy de servidor de federación tienen que ver con las operaciones que puede realizar un servidor de federación que un proxy de servidor de federación no puede realizar.

Estas son las operaciones que solo puede realizar un servidor de federación:

  • El servidor de federación realiza las operaciones criptográficas que generan el token. Aunque los servidores proxy de federación no pueden generar tokens, se pueden usar para enrutar o redirigir los tokens a los clientes y, cuando sea necesario, volver al servidor de federación. Para obtener más información sobre el uso de servidores de federación, vea Cuándo crear un proxy de servidor de federación.

  • Los servidores de federación admiten el uso Windows autenticación integrada para los clientes de la red corporativa; los servidores proxy de federación no. Para obtener más información sobre cómo Windows autenticación integrada con el servidor de federación, vea Cuándo crear una granja de servidores de federación.

Precaución

La integridad y confidencialidad de la comunicación entre los servidores de federación y las bases de datos de configuración de SQL Server, los almacenes de atributos de SQL Server, los controladores de dominio y las instancias de AD LDS no está protegida de forma predeterminada. Para mitigar esto, considere la posibilidad de proteger el canal de comunicación entre estos servidores mediante IPSEC o con una conexión segura físicamente entre todos estos servidores. Para la comunicación entre los servidores de federación y SQL, considere la posibilidad de usar la protección de SSL en la cadena de conexión. Para las conexiones entre los servidores de federación y los controladores de dominio, considere la posibilidad de activar la firma y el cifrado de Kerberos. Para LDAP, no se admite LDAP/S para AD LDS y AD DS.

Cómo se crea un servidor de federación

Puede crear un servidor de federación mediante el Asistente AD FS configuración del servidor de federación o la Fsconfig.exe línea de comandos. Cualquiera de estas herramientas permite elegir las siguientes opciones para crear un servidor de federación.

  • Crear un servidor de federación independiente

    Para obtener más información acerca de cómo configurar un servidor de federación independiente, consulte Create a Stand-Alone Federation Server.

  • Crear el primer servidor de federación en una granja de servidores de federación

    Para obtener más información acerca de cómo configurar el primer servidor de federación o agregar un servidor de federación a una granja de servidores, consulte Create the First Federation Server in a Federation Server Farm.

  • Agregar un servidor de federación a una granja de servidores de federación

    Para obtener más información sobre cómo agregar un servidor de federación a una granja de servidores, consulte Add a Federation Server to a Federation Server Farm.

Para obtener más información detallada acerca de cómo funciona cada una de estas opciones, consulte The Role of the AD FS Configuration Database.

Para obtener más información acerca de cómo configurar todos los requisitos previos necesarios para implementar un servidor de federación, consulte Checklist: Setting Up a Federation Server.

Consulte también

Guía de diseño de AD FS en Windows Server 2012