Cuándo se debe crear un servidor de federación
Al crear un servidor de federación en Servicios de federación de Active Directory (AD FS), proporciona un medio por el que su organización puede:
Participar en una comunicación basada en inicio de sesión único (SSO) web con otra organización (que también tiene al menos un servidor de federación) y, cuando sea necesario, con los empleados de su propia organización (que necesitan tener acceso a través de Internet).
Habilite servicios front-end para suplantar a los usuarios en los servicios de infraestructura mediante la delegación de identidad. Para obtener más información, consulte When to Use Identity Delegation.
Las secciones siguientes describen algunas de las decisiones clave para determinar cuándo y dónde crear uno o más servidores de federación.
Determinar la función organizativa del servidor de federación
Para tomar una decisión informada acerca de cuándo se debe crear un nuevo servidor de federación, primero debe determinar en qué organización va a residir el servidor. El rol que desempeña el servidor de federación en una organización depende de si se coloca el servidor de federación en la organización del asociado de cuenta o en la organización del asociado de recurso.
Cuando se coloca un servidor de federación en la red corporativa del asociado de cuenta, su función es autenticar las credenciales de usuario del explorador, el servicio web o los clientes del selector de identidad y enviar los tokens de seguridad a los clientes. Para obtener más información, consulte Review the Role of the Federation Server in the Account Partner.
Cuando se coloca un servidor de federación en la red corporativa del asociado de recursos, su rol es autenticar usuarios basándose en un token de seguridad emitido por un servidor de federación en la organización del asociado de recursos, o su rol es redirigir solicitudes de token desde aplicaciones web o servicios web configurados a la organización del asociado de cuentas al que pertenece el cliente. Para obtener más información, consulte Review the Role of the Federation Server in the Resource Partner.
Determinar qué diseño de AD FS implementar
Cree servidores de federación en su organización siempre que desee implementar cualquiera de los siguientes diseños de AD FS:
Si es necesario, una organización que implementa un diseño SSO web federado puede configurar un único servidor de federación para que actúe en el rol de asociado de cuenta y en el rol de asociado de recursos. En este caso, el servidor de federación puede generar tokens de lenguaje de marcado de aserción de seguridad (SAML) basados en cuentas de usuario de su propia organización o redirigir las solicitudes de tokens a la organización, en función de dónde residen las cuentas de los usuarios.
Nota
Para el diseño SSO web federado, debe haber al menos un servidor de federación en el asociado de cuentas y al menos un servidor de federación en el asociado de recursos.
Diferencias entre un servidor de federación y un servidor proxy de federación
Un servidor de federación puede servir páginas web de inicio de sesión, directivas, autenticación y detección de la misma forma que un servidor proxy de federación. Las principales diferencias entre un servidor de federación y un servidor proxy de federación tienen que ver con qué operaciones puede realizar un servidor de federación que un servidor proxy de federación no puede realizar.
A continuación se indican las operaciones que solo puede realizar un servidor de federación:
El servidor de federación realiza las operaciones criptográficas que producen el token. Aunque los servidores proxy de federación no pueden generar tokens, pueden usarse para enrutar o redirigir los tokens a los clientes y, cuando sea necesario, de vuelta al servidor de federación. Para obtener más información sobre cómo usar servidores de federación, consulte Cuándo crear un servidor proxy de federación.
Los servidores de federación admiten el uso de la autenticación integrada de Windows para clientes de la red corporativa; los servidores proxy de federación no lo hacen. Para obtener más información sobre el uso de la autenticación integrada de Windows con el servidor de federación, vea Cuándo se debe crear una granja de servidores de federación.
Precaución
La integridad y confidencialidad de la comunicación entre los servidores de federación y las bases de datos de configuración de SQL Server, los almacenes de atributos de SQL Server, los controladores de dominio y las instancias de AD LDS no está protegida de forma predeterminada. Para mitigar esto, considere la posibilidad de proteger el canal de comunicación entre estos servidores mediante IPSEC o con una conexión segura físicamente entre todos estos servidores. Para la comunicación entre los servidores de federación y SQL, considere la posibilidad de usar la protección de SSL en la cadena de conexión. Para las conexiones entre los servidores de federación y los controladores de dominio, considere la posibilidad de activar la firma y el cifrado de Kerberos. Para LDAP, no se admite LDAP/S para AD LDS y AD DS.
Cómo se crea un servidor de federación
Puede crear un servidor de federación mediante el Asistente de configuración del servidor de federación de AD FS o la herramienta de línea de comandos Fsconfig.exe. Cualquiera de estas herramientas permite elegir las siguientes opciones para crear un servidor de federación.
Crear un servidor de federación independiente
Para obtener más información acerca de cómo configurar un servidor de federación independiente, consulte Create a Stand-Alone Federation Server.
Crear el primer servidor de federación en una granja de servidores de federación
Para obtener más información acerca de cómo configurar el primer servidor de federación o agregar un servidor de federación a una granja de servidores, consulte Create the First Federation Server in a Federation Server Farm.
Agregar un servidor de federación a una granja de servidores de federación
Para obtener más información sobre cómo agregar un servidor de federación a una granja de servidores, consulte Add a Federation Server to a Federation Server Farm.
Para obtener más información detallada acerca de cómo funciona cada una de estas opciones, consulte The Role of the AD FS Configuration Database.
Para obtener más información acerca de cómo configurar todos los requisitos previos necesarios para implementar un servidor de federación, consulte Checklist: Setting Up a Federation Server.