Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2

Artículo
04/02/2025
Se aplica a:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

En este tema se describen los pasos para configurar un entorno de prueba que se puede usar para completar los tutoriales en las siguientes guías de recorrido.

Nota:

No se recomienda instalar el servidor web y el servidor de federación en el mismo equipo.

Para configurar este entorno de prueba, complete los pasos siguientes:

Paso 1: Configurar el controlador de dominio (DC1)

Para los fines de este entorno de prueba, puede llamar al dominio raíz de Active Directory contoso.com y especificar pass@word1 como contraseña de administrador.

Instale el servicio de rol de AD DS e instale Active Directory Domain Services (AD DS) para que el equipo sea un controlador de dominio en Windows Server 2012 R2 . Esta acción actualiza el esquema de AD DS como parte de la creación del controlador de dominio. Para obtener más información e instrucciones paso a paso, veahttps://technet.microsoft.com/library/hh472162.aspx.

Creación de cuentas de Active Directory de prueba

Después de que el controlador de dominio sea funcional, puede crear un grupo de prueba y probar cuentas de usuario en este dominio y agregar la cuenta de usuario a la cuenta de grupo. Utilizarás estas cuentas para completar los tutoriales de las guías mencionadas anteriormente en este tema.

Crea las cuentas siguientes:

Usuario: Robert Hatley con las siguientes credenciales: Nombre de usuario: RobertH y contraseña: P@ssword
Grupo: Finanzas

Para obtener información sobre cómo crear cuentas de usuario y de grupo en Active Directory (AD), consulte https://technet.microsoft.com/library/cc783323%28v.aspx.

Agrega la cuenta Robert Hatley al grupo Finance. Para obtener información sobre cómo agregar un usuario a un grupo en Active Directory, consulte https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

Creación de una cuenta de GMSA

La cuenta de cuenta de servicio administrada (GMSA) de grupo es necesaria durante la instalación y configuración de los Servicios de federación de Active Directory (AD FS).

Para crear una cuenta de GMSA

Abra una ventana de comandos de Windows PowerShell y escriba:

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com

Paso 2: Configurar el servidor de federación (ADFS1) mediante el servicio de registro de dispositivos

Para configurar otra máquina virtual, instale Windows Server 2012 R2 y conéctelo al dominio contoso.com. Configure el equipo después de haberlo unido al dominio y, a continuación, continúe con la instalación y configuración del rol de AD FS.

Para ver un vídeo, consulte Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: instalar una granja de servidores de AD FS.

Instalación de un certificado SSL de servidor

Debes instalar un certificado de Capa de sockets seguros (SSL) de servidor en el servidor ADFS1 en el almacén del equipo local. El certificado DEBE tener los siguientes atributos:

Nombre del sujeto (CN): adfs1.contoso.com
Nombre Alternativo del Sujeto (DNS): adfs1.contoso.com
Nombre Alternativo del Sujeto (DNS): enterpriseregistration.contoso.com

Para obtener más información sobre cómo configurar certificados SSL, consulte Configure SSL/TLS en un sitio web en el dominio con una CA empresarial.

Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: actualizar certificados.

Instalación del rol de servidor de AD FS

Cómo instalar el servicio de rol de servicio de federación

Inicie sesión en el servidor mediante la cuenta de administrador de dominio administrator@contoso.com.
Inicie el Administrador del servidor. Para iniciar el Administrador del servidor, haga clic en Administrador del servidor en la pantalla Inicio de Windows, o haga clic en Administrador del servidor en la barra de tareas de Windows en el escritorio de Windows. En la pestaña Inicio rápido del icono Página principal en la página Panel, haz clic en Agregar roles y características. Como alternativa, puede hacer clic en Agregar roles y características en el menú Administrar.
En la página Antes de comenzar, haga clic en Siguiente.
En la página Seleccionar tipo de instalación, haga clic en Instalación basada en características o en roles y, a continuación, en Siguiente.
En la página Seleccionar servidor de destino, haga clic en Seleccione un servidor del grupo de servidores, compruebe que el equipo de destino está seleccionado y, a continuación, haga clic en Siguiente.
En la página Seleccionar roles de servidor, haz clic en Servicios de dominio de Active Directory y en Siguiente.
En la página Seleccionar características, haz clic en Siguiente.
En la página Servicios de federación de Active Directory (AD FS), haz clic en Siguiente.
Después de comprobar la información en la página de Confirmar selecciones de instalación, marque la casilla de Reiniciar el servidor de destino automáticamente si es necesario y, a continuación, haga clic en Instalar.
En la página Progreso de la instalación, comprueba que todo se instala correctamente y haz clic en Cerrar.

Configuración del servidor de federación

El siguiente paso es configurar el servidor de federación.

Para configurar el servidor de federación

En la página Panel del Administrador de servidores, haz clic en el marcador Notificaciones y en Configure el servicio de federación en este servidor.

Se abre el asistente de configuración del servicio de federación de Active Directory .
En la Página principal, selecciona Crear el primer servidor de federación en una granja de servidores de federación y haz clic en Siguiente.
En la página Conectar a AD DS, especifica una cuenta con derechos de administrador de dominio para el dominio de Active Directory contoso.com al que está unido este dominio, y haz clic en Siguiente.
En la página Especificar propiedades del servicio, haz lo que se explica a continuación y, después, haz clic en Siguiente:
- Importe el certificado SSL que obtuvo anteriormente. Este certificado es el certificado de autenticación de servicio necesario. Navegue hasta la ubicación de su certificado SSL.
- Para proporcionar un nombre para el servicio de federación, escriba adfs1.contoso.com. Este valor es el mismo que proporcionó al inscribir un certificado SSL en Servicios de certificados de Active Directory (AD CS).
- Para darle un nombre para mostrar al servicio de federación, escribe Contoso Corporation.
En la página Especificar cuenta de servicio, seleccione Usar una cuenta de usuario de dominio existente o una cuenta de servicio administrada de grupoy, a continuación, especifique la cuenta GMSA fsgmsa que se creó al establecer el controlador de dominio.
En la página Especificar base de datos de configuración, selecciona Crear una base de datos en este servidor que usa Windows Internal Database y haz clic en Siguiente.
En la página Revisar opciones, comprueba la configuración que has seleccionado y haz clic en Siguiente.
En la página Comprobación de requisitos previos, comprueba que se hayan completado correctamente todos los requisitos previos y haz clic en Configurar.
En la página Resultados, revise los resultados, compruebe si la configuración se ha completado correctamente y, a continuación, haga clic en Pasos siguientes necesarios para completar la implementación del servicio de federación.

Configuración del servicio de registro de dispositivos

El siguiente paso es configurar el servicio de registro de dispositivos en el servidor ADFS1. Para ver un vídeo, consulte Active Directory Federation Services How-To Video Series: Habilitación del servicio de registro de dispositivos.

Para configurar el servicio de registro de dispositivos para Windows Server 2012 RTM

Importante

El paso siguiente se aplica a la compilación de Windows Server 2012 R2 RTM.

Abra una ventana de comandos de Windows PowerShell y escriba:
```
Initialize-ADDeviceRegistration
```
Cuando se le solicite una cuenta de servicio, escriba contoso\fsgmsa$.

Ahora ejecute el cmdlet de Windows PowerShell.
```
Enable-AdfsDeviceRegistration
```
En el servidor ADFS1, en la consola de Administración de AD FS, ve a Directivas de autenticación. Seleccione Edite la autenticación principal global. Selecciona la casilla situada junto a Habilitar la autenticación de dispositivos y haz clic en Aceptar.

Agregar registros de recursos host (A) y alias (CNAME) a DNS

En DC1, debe asegurarse de que se crean los siguientes registros del sistema de nombres de dominio (DNS) para el servicio de registro de dispositivos.

Entrada	Tipo	Dirección
adfs1	Anfitrión (A)	Dirección IP del servidor de AD FS
registro de empresa	Alias (CNAME)	adfs1.contoso.com

Puedes usar el siguiente procedimiento para agregar un registro de recursos de host (A) a los servidores de nombres DNS corporativos para el servidor de federación y el Servicio de registro de dispositivos.

La pertenencia al grupo Administradores o un equivalente es el requisito mínimo para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en el HIPERVÍNCULO "https://go.microsoft.com/fwlink/?LinkId=83477" Grupos predeterminados de dominio y locales (https://go.microsoft.com/fwlink/p/?LinkId=83477).

Cómo agregar registros de recursos de host (A) y alias (CNAME) a DNS para el servidor de federación

En DC1, desde el Administrador de servidor, en el menú Herramientas, haz clic en DNS para abrir el complemento de DNS.
En el árbol de consola, expande DC1, expande Zonas de búsqueda directa, haz clic con el botón secundario en contoso.com y haz clic en Host nuevo (A o AAAA).
En Nombre, escribe el nombre que deseas usar para tu granja de AD FS. Para este tutorial, escribe adfs1.
En dirección IP, escriba la dirección IP del servidor ADFS1. Haz clic en Agregar host.
Haga clic con el botón derecho en contoso.comy, a continuación, haga clic en Nuevo alias (CNAME).
En el cuadro de diálogo Nuevo registro de recursos, escribe enterpriseregistration en el cuadro Nombre de alias.
En el nombre de dominio completo (FQDN) del cuadro del host de destino, escribe adfs1.contoso.com y haz clic en Aceptar.

Importante

En una implementación real, si su empresa tiene varios sufijos de nombre principal de usuario (UPN), debe crear varios registros CNAME, uno para cada uno de esos sufijos UPN en DNS.

Paso 3: Configurar el servidor web (WebServ1) y una aplicación basada en declaraciones de ejemplo

Configure una máquina virtual (WebServ1) instalando el sistema operativo Windows Server 2012 R2 y conéctelo al dominio contoso.com. Una vez unido al dominio, puede continuar con la instalación y configuración del rol servidor web.

Para completar los tutoriales a los que se hace referencia anteriormente en este tema, debe tener una aplicación de ejemplo protegida por el servidor de federación (ADFS1).

Debe completar los pasos siguientes para configurar un servidor web con esta aplicación de ejemplo basada en reclamaciones.

Nota:

Estos pasos se han probado en un servidor web que ejecuta el sistema operativo Windows Server 2012 R2.

Instalación del rol servidor web y Windows Identity Foundation

Nota:

Debe tener acceso a los medios de instalación de Windows Server 2012 R2.

Inicie sesión en WebServ1 mediante administrator@contoso.com y la contraseña pass@word1.
Desde el Administrador del servidor, en la pestaña Inicio rápido del icono Página principal en la página Panel, haz clic en Agregar roles y características. Como alternativa, puede hacer clic en Agregar roles y características en el menú Administrar.
En la página Antes de comenzar, haga clic en Siguiente.
En la página Seleccionar tipo de instalación, haga clic en Instalación basada en características o en roles y, a continuación, en Siguiente.
En la página Seleccionar servidor de destino, haga clic en Seleccione un servidor del grupo de servidores, compruebe que el equipo de destino está seleccionado y, a continuación, haga clic en Siguiente.
En la página Seleccionar roles de servidor, selecciona la casilla situada junto a Servidor web (IIS), haz clic en Agregar características y, a continuación, haz clic en Siguiente.
En la página Seleccionar características, selecciona Windows Identity Foundation 3.5 y haz clic en Siguiente.
En la página Rol Servidor web (IIS), haz clic en Siguiente.
En la página Seleccionar servicios de rol, selecciona y expande Desarrollo de aplicaciones. Selecciona ASP.NET 3.5, haz clic en Agregar características y, a continuación, haz clic en Siguiente.
En la página Confirmar selecciones de instalación, haga clic en Especificar una ruta de origen alternativa. Escriba la ruta de acceso al directorio Sxs que se encuentra en los medios de instalación de Windows Server 2012 R2. Por ejemplo, D:\Sources\Sxs. Haga clic en Aceptary, a continuación, haga clic en Instalar.

Instalación del SDK de Windows Identity Foundation

Ejecute WindowsIdentityFoundation-SDK-3.5.msi para instalar Windows Identity Foundation SDK 3.5. Elija todas las opciones predeterminadas.

Configurar la aplicación de demandas sencilla en IIS

Instale un certificado SSL válido en el almacén de certificados del equipo. El certificado debe contener el nombre del servidor web, webserv1.contoso.com.
Copie el contenido de C:\Archivos de programa (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp a C:\Inetpub\Claimapp.
Modifique el archivo Default.aspx.cs para que no se produzca ningún filtrado de reclamaciones. Este paso se realiza para asegurarse de que la aplicación de ejemplo muestre todas las reclamaciones emitidas por el servidor de federación. Haga lo siguiente:
1. Abra Default.aspx.cs en un editor de texto.
2. Busque el archivo para la segunda instancia de ExpectedClaims.
3. Convierta en comentario todo el argumento IF y el contenido de las llaves. Indique comentarios escribiendo "//" (sin comillas) al principio de una línea.
4. La instrucción FOREACH debería tener ahora un aspecto similar al de este ejemplo de código.
```
Foreach (claim claim in claimsIdentity.Claims)
{
   //Before showing the claims validate that this is an expected claim
   //If it is not in the expected claims list then don't show it
   //if (ExpectedClaims.Contains( claim.ClaimType ) )
   // {
      writeClaim( claim, table );
   //}
}
```
5. Guarde y cierre Default.aspx.cs.
6. Abra web.config en un editor de texto.
7. Quite toda la sección <microsoft.identityModel>. Elimine todo desde including <microsoft.identityModel> hasta </microsoft.identityModel>incluido.
8. Guarda y cierra web.config.
Configurar el Administrador de IIS
1. Abra el Administrador de Internet Information Services (IIS).
2. Vaya a Grupos de aplicaciones, haga clic con el botón derecho en DefaultAppPool para seleccionar Configuración avanzada. Configura Cargar perfil de usuario como Verdadero y haz clic en Aceptar.
3. Haga clic con el botón derecho en DefaultAppPool para seleccionar Configuración básica. Cambie la Versión .NET CLR a la Versión .NET CLR v2.0.50727.
4. Haz clic con el botón secundario en Sitio web predeterminado y selecciona Modificar enlaces.
5. Agregue un enlace de HTTPS al puerto 443 con el certificado SSL que ha instalado.
6. Haga clic con el botón derecho en Sitio Web Predeterminado para seleccionar Agregar aplicación.
7. Configura el alias como claimapp y la ruta de acceso física como c:\inetpub\claimapp.
Para configurar claimapp para trabajar con el servidor de federación, haga lo siguiente:
1. Ejecute FedUtil.exe, que se encuentra en C:\Archivos de programa (x86)\Windows Identity Foundation SDK\v3.5.
2. Establezca la ubicación de configuración de la aplicación en C:\inetpub\claimapp\web.config y establezca el URI de la aplicación en la dirección URL del sitio, https://webserv1.contoso.com /claimapp/. Haga clic en Next.
3. Seleccione Usar un STS existente y vaya a la dirección URL de metadatos del servidor de AD FS https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml. Haga clic en Next.
4. Seleccione Deshabilitar la validación de la cadena de certificadosy haga clic en Siguiente.
5. Seleccione Sin cifradoy haga clic en Siguiente. En la página Notificaciones ofrecidas, haga clic en Siguiente.
6. Selecciona la casilla situada junto a Programar una tarea para realizar diariamente actualizaciones de metadatos de WS-Federation. Haga clic en Finalizar
7. La aplicación de ejemplo ya está configurada. Si prueba la dirección URL de la aplicación https://webserv1.contoso.com/claimapp, debe redirigirle al servidor de federación. El servidor de federación debería mostrar una página de error, ya que todavía no has configurado la relación de confianza para usuario autenticado. En otras palabras, esta aplicación de prueba no está protegida por AD FS.

Ahora debe proteger la aplicación de ejemplo que se ejecuta en el servidor web con AD FS. Para ello, agregue una relación de confianza con un tercero confiable en el servidor de federación (ADFS1). Para ver un vídeo, consulte Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: agregar una relación de confianza para usuario autenticado.

Crear una relación de confianza para usuario autenticado en el servidor de federación

En el servidor de federación (ADFS1), en la Consola de administración de AD FS, ve a Relaciones de confianza para usuario autenticado y haz clic en Agregar relación de confianza para usuario autenticado.
En la página Seleccionar origen de datos, selecciona Importar los datos acerca del usuario autenticado publicados en línea o en una red local, escribe la dirección URL de los metadatos para claimapp y haz clic en Siguiente. La ejecución de FedUtil.exe creó un archivo de metadatos .xml. Se encuentra en https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.
En la página Especificar nombre para mostrar, especifica el nombre para mostrar de la relación de confianza para usuario autenticado, claimapp, y haz clic en Siguiente.
En la página ¿Configurar ahora autenticación multifactor?, selecciona No deseo especificar ahora una configuración de autenticación multifactor para esta relación de confianza para usuario autenticado y haz clic en Siguiente.
En la página Elegir reglas de autorización de emisión, selecciona Permitir que todos los usuarios accedan a este usuario autenticado y haz clic en Siguiente.
En la página Listo para agregar confianza, haz clic en Siguiente.
En el cuadro de diálogo Editar reglas de reclamaciones, haga clic en Agregar regla.
En la página Elegir tipo de regla, seleccione Enviar reclamaciones mediante una regla personalizaday, a continuación, haga clic en Siguiente.
En la página Configurar regla de notificación, en el cuadro Nombre de regla de notificación, escribe All Claims. En el cuadro Regla personalizada, escribe la siguiente regla de notificación.
```
c:[ ]
=> issue(claim = c);
```
Haga clic en Finalizary, a continuación, haga clic en Aceptar.

Paso 4: Configurar el equipo cliente (Client1)

Configure otra máquina virtual e instale Windows 8.1. Esta máquina virtual debe estar en la misma red virtual que las otras máquinas. Esta máquina NO debe unirse al dominio Contoso.

El cliente DEBE confiar en el certificado SSL que se usa para el servidor de federación (ADFS1), que configuró en paso 2: Configurar el servidor de federación (ADFS1) con el servicio de registro de dispositivos. También debe poder validar la información de revocación de certificados para dicho certificado.

También debe configurar y usar una cuenta Microsoft para iniciar sesión en Client1.

Véase también

Serie de vídeos de Servicios de federación de Active Directory How-To: Instalación de una granja de servidores de AD FS
Serie de vídeos de Servicios de federación de Active Directory How-To: Actualización de certificados
Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: agregar una relación de confianza para usuario autenticado
Active Directory Federation Services How-To Video Series: Habilitación del servicio de registro de dispositivos
Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: instalar el servidor proxy de la aplicación web

Compartir a través de