Configuración de Servicios de federación de Active Directory (AD FS) en un modelo de confianza de certificados híbridos
En este artículo se describen Windows Hello para empresas funcionalidades o escenarios que se aplican a:
- Tipo de implementación:híbrido
- Tipo de confianza:.
- Tipo de combinación: Microsoft Entra unirse a , Microsoft Entra unión híbrida
Las implementaciones basadas en certificados de Windows Hello para empresas usan AD FS como entidad de registro de certificados (CRA).
La CRA es responsable de emitir y revocar certificados a los usuarios. Cuando la entidad de registro comprueba la solicitud de certificado, firma la solicitud de certificado con su certificado de agente de inscripción y la envía a la entidad de certificación.
La CRA se inscribe para un certificado de agente de inscripción y la plantilla de certificado de autenticación de Windows Hello para empresas está configurada para emitir solo certificados a las solicitudes firmadas con un certificado de agente de inscripción.
Nota
Para que AD FS compruebe las solicitudes de certificado de usuario para Windows Hello para empresas, debe poder acceder al https://enterpriseregistration.windows.net punto de conexión.
Configuración de la entidad de registro de certificados
Inicie sesión en el servidor de AD FS con credenciales equivalentes de administrador de dominio .
Abra un símbolo del sistema Windows PowerShell y escriba el siguiente comando:
Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true
Nota
Si ha dado a su agente de inscripción de Windows Hello para empresas y Windows Hello para empresas plantillas de certificado de autenticación nombres diferentes, reemplace WHFBEnrollmentAgent y WHFBAuthentication en el comando anterior por el nombre de las plantillas de certificado. Es importante que uses el nombre de plantilla en lugar del nombre de plantilla para mostrar. Puede ver el nombre de la plantilla en la pestaña General de la plantilla de certificado mediante la consola de administración de plantilla de certificado (certtmpl.msc). O bien, puede ver el nombre de la plantilla mediante el Get-CATemplate cmdlet de PowerShell en una CA.
Inscripción de certificados del agente de inscripción
AD FS realiza su propia administración del ciclo de vida de los certificados. Una vez configurada la entidad de registro con la plantilla de certificado correcta, el servidor de AD FS intenta inscribir el certificado en la primera solicitud de certificado o cuando el servicio se inicie por primera vez.
Aproximadamente 60 días antes de la expiración del certificado del agente de inscripción, el servicio AD FS intenta renovar el certificado hasta que se realice correctamente. Si el certificado no se renueva y el certificado expira, el servidor de AD FS solicita un nuevo certificado de agente de inscripción. Puedes ver los registros de eventos de AD FS para determinar el estado del certificado de agente de inscripción.
Pertenencias a grupos para la cuenta de servicio de AD FS
La cuenta de servicio de AD FS debe ser miembro del grupo de seguridad de destino de la inscripción automática de la plantilla de certificado de autenticación (por ejemplo, Windows Hello para usuarios empresariales). El grupo de seguridad proporciona al servicio AD FS los permisos necesarios para inscribir un certificado de autenticación de Windows Hello para empresas en nombre del usuario de aprovisionamiento.
Sugerencia
La cuenta de adfssvc es la cuenta de servicio de AD FS.
Inicia sesión en el controlador de dominio con unas credenciales equivalentes a las de Administrador de dominio.
- Abre Usuarios y Equipos de Active Directory
- Busque el grupo de seguridad destinado a la inscripción automática de la plantilla de certificado de autenticación (por ejemplo, Windows Hello para usuarios empresariales).
- Seleccione la pestaña Miembros y seleccione Agregar.
- En el cuadro de texto Escriba los nombres de objeto para seleccionar, escriba adfssvc o sustituya el nombre de la cuenta de servicio de AD FS en la implementación > de AD FS Aceptar.
- Seleccione Aceptar para volver a Usuarios y equipos de Active Directory
- Reinicio del servidor de AD FS
Nota
Para AD FS 2019 en un modelo de confianza de certificados híbridos, existe un problema de PRT. Puede encontrar este error en los registros de eventos de AD FS Administración: Se ha recibido una solicitud de Oauth no válida. El cliente "NAME" está prohibido acceder al recurso con el ámbito "ugs". Para corregir este error:
- Inicie la consola de administración de AD FS y vaya a Descripciones > del ámbito de servicios.
- Haga clic con el botón derecho en Descripciones de ámbito y seleccione Agregar descripción del ámbito.
- En Tipo de
ugsnombre y seleccione Aplicar > aceptar - Inicio de PowerShell como administrador
- Obtenga el objectIdentifier del permiso de aplicación con el
ClientRoleIdentifierparámetro igual a38aa3b87-a06d-4817-b275-7a316988d93b:
(Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
- Ejecute el comando
Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'. - Reinicio del servicio de AD FS
- En el cliente: reinicie el cliente. Se debe pedir al usuario que aprovisione Windows Hello para empresas
Revisión de sección y pasos siguientes
Antes de pasar a la sección siguiente, asegúrese de que se han completado los pasos siguientes:
- Configuración de la entidad de registro de certificados
- Actualizar la pertenencia a grupos de la cuenta del servicio AD FS
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de