Lista de comprobación: configuración de la organización del asociado de cuenta
Esta organización de asociado de cuenta contiene los usuarios que van a acceder a las aplicaciones web en el asociado de recurso. Los administradores de esta organización deben usar el complemento de administración de AD FS para crear relaciones de confianza para usuario autenticado para representar a sus relaciones de confianza con las organizaciones de los asociados de recurso. A su vez, el administrador del asociados de recurso debe crear proveedores de notificaciones para cada organización de asociado de cuenta en la que quiera confiar.
Esta lista de comprobación incluye tareas para implementar Servicios de federación de Active Directory (AD FS) en la organización del asociado de cuenta. También incluye tareas para configurar los componentes necesarios para establecer la mitad de una asociación de federación.
Si va a implementar un Diseño de SSO web, no tiene que seguir esta lista de comprobación. Sin embargo, debe completar las tareas de esta lista de comprobación para implementar correctamente un Diseño de SSO web federado.
Importante
Asegúrese de que el administrador de la organización del asociado de recurso sigue las instrucciones de Lista de comprobación: Configuración de la organización de asociados de recursos para asegurarse de que todas las tareas de implementación necesarias se completarán para crear correctamente la segunda mitad de la asociación de federación.
Nota
Complete las tareas de esta lista de comprobación en orden. Cuando un vínculo de referencia le dirija a un procedimiento, vuelva a este tema tras completar los pasos de este procedimiento, de tal forma que pueda continuar con las tareas restantes de la lista de comprobación.
Lista de comprobación: configuración de la organización del asociado de cuenta
Tarea | Referencia |
---|---|
Si actualmente tiene una implementación de AD FS 1.0 o 1.1 en el entorno de producción, consulte el vínculo adecuado para obtener información sobre cómo migrar la configuración del servicio de federación actual a un servicio de federación de AD FS nuevo. Si va a implementar AD FS por primera vez en su organización mediante AD FS, puede omitir este paso y continuar con la siguiente tarea de esta lista de comprobación para obtener información sobre cómo configurar una organización de asociados de cuenta nueva. | Planificación de una migración a AD FS 2.0 |
Revise la información sobre los componentes necesarios para proporcionar acceso a los usuarios a las aplicaciones federadas según sus objetivos de implementación. | Proporcionar a los usuarios de Active Directory acceso a aplicaciones y servicios habilitados para notificaciones |
Determine a qué diseño de AD FS se asociará esta organización de asociado de cuenta. | Diseño de SSO web |
Antes de empezar a implementar los servidores de AD FS, revise: 1.) las ventajas y desventajas de elegir Windows Internal Database (WID) o SQL Server para almacenar la base de datos de configuración de AD FS y 2.) Tipos de topología de implementación de AD FS y sus recomendaciones de ubicación de servidor y diseño de red asociados. | Determinar la topología de implementación de AD FS Consideraciones sobre la topología de implementación de AD FS |
Revise la guía de planeamiento de capacidad de AD FS para determinar el número adecuado de servidores de federación y servidores proxy de federación que debe usar en el entorno de producción. | Planear la capacidad de los servidores de AD FS |
Para planear e implementar eficazmente la topología física para la implementación de asociado de cuenta, determine si el diseño de AD FS requiere uno o varios servidores de federación o servidores proxy de federación. | Lista de comprobación: configurar un servidor de federación Lista de comprobación: configuración de un servidor proxy de federación |
Determine el tipo de almacén de atributos que quiere agregar a AD FS. Después, agregue el almacén de atributos mediante el complemento Administración de AD FS. | El papel de los almacenes de atributos |
Si necesita enviar notificaciones o consumir notificaciones de un asociado de recurso que use un servicio de federación de AD FS 1.0 o 1.1, consulte el vínculo a la derecha para obtener información sobre cómo configurar AD FS para interoperar con sus versiones anteriores. Si la organización de asociado de recurso también usa AD FS para enviar o consumir notificaciones en la organización, puede omitir este paso y continuar con la tarea siguiente de la lista de comprobación. | Planificación de interoperabilidad con AD FS 1.x |
Después de implementar el primer servidor de federación en la organización del asociado de cuenta, cree una relación de confianza para usuario autenticado con el complemento de Administración de AD FS. Para crear una relación de confianza de usuario autenticado, puede especificar los datos de un asociado de recurso manualmente o puede usar la dirección URL de metadatos de federación que la organización del asociado de recurso le proporcione. Puede usar los metadatos de federación para recuperar los datos del asociado de recurso automáticamente. Nota: Si el asociado de recurso publica sus metadatos de federación o puede proporcionarle una copia en archivo de los mismos, le recomendamos que recupere los datos automáticamente porque ahorra tiempo. | Crear manualmente una relación de confianza para usuario autenticado compatible con notificaciones |
Según las necesidades de su organización, cree uno o varios conjuntos de reglas de notificación para cada relación de confianza para usuario autenticado que se especifique en el complemento Administración de AD FS para que las notificaciones se emitan correctamente. | Lista de comprobación: crear reglas de notificación para una relación de confianza para usuario autenticado |
Se debe crear una descripción de notificación si aún no existe una que satisfaga las necesidades de su organización. AD FS se envía con un conjunto predeterminado de descripciones de notificaciones que se exponen en el complemento Administración de AD FS. | Agregar una descripción de notificación |
Determine si su organización tendrá que usar la delegación de identidades para autorizar o restringir una cuenta especificada para que "actúe como" o suplante a otros usuarios. Esto suele ser un requisito cuando las aplicaciones web de front-end deben interactuar con los servicios web back-end. | Cuándo usar la delegación de identidad |
Prepare los equipos cliente para la federación mediante lo siguiente: - La adición de la dirección URL del servidor de federación de asociados de cuenta a la lista de sitios de confianza para el explorador cliente. |
Preparación de equipos cliente en el asociado de cuenta Configurar equipos cliente para que confíen en el servidor de federación de cuentas Distribución de certificados en los equipos cliente mediante una directiva de grupo |