Cuándo crear un servidor proxy de federación
La creación de un servidor proxy de federación en la organización agrega capas de seguridad adicionales a la implementación de Servicios de federación de Active Directory (AD FS). Considere la posibilidad de implementar un servidor proxy de federación en la red perimetral de la organización cuando quiera:
Evitar que los equipos cliente externos accedan directamente a los servidores de federación. Al implementar un servidor proxy de federación en la red perimetral, aíslas de forma eficaz los servidores de federación para que solo tengan acceso mediante los equipos cliente que están conectados a la red corporativa a través de servidores proxy de federación, que actúan en nombre de los equipos cliente externos. Los proxies de servidor de federación no tienen acceso a las claves privadas que se utilizan para generar tokens. Para más información, consulte Ubicación de un servidor proxy de federación.
Ofrecer una manera conveniente de diferenciar la experiencia de inicio de sesión para los usuarios que proceden de Internet al contrario que los usuarios que proceden de tu red corporativa mediante la autenticación integrada de Windows. Un servidor proxy de federación recopila las credenciales o los detalles de dominio de inicio de los equipos cliente de Internet mediante las páginas de detección (homerealmdiscovery.aspx) de proveedor de inicio de sesión, cierre de sesión e identidad que se almacenan en el servidor proxy de federación.
En cambio, los equipos cliente que proceden de la red corporativa encuentran una experiencia diferente, según la configuración del servidor de federación. La red corporativa del servidor de federación a menudo está configurada para la autenticación integrada de Windows, que proporciona una experiencia de inicio de sesión sin problemas para los usuarios de la red corporativa.
El rol que desempeña el servidor proxy de federación en una organización depende de si se coloca el servidor proxy de federación en la organización del asociado de cuentas o en la organización del asociado de recursos. Por ejemplo, cuando un servidor proxy de federación se coloca en la red perimetral del asociado de cuentas, su función es recopilar la información de credenciales de usuario de los clientes de explorador. Cuando un servidor proxy de federación se coloca en la red perimetral del asociado de recursos, retransmite solicitudes de token de seguridad a un servidor de federación de recursos y crea tokens de seguridad de la organización en respuesta a los tokens de seguridad que proporcionan sus asociados de cuentas.
Para obtener más información, consulta Review the Role of the Federation Server Proxy in the Account Partner y Review the Role of the Federation Server Proxy in the Resource Partner.
Cómo crear un servidor proxy de federación
Puedes crear un servidor proxy de federación mediante el Asistente para la configuración del servidor proxy de federación de AD FS o la herramienta de línea de comandos Fsconfig.exe. Para obtener instrucciones sobre cómo hacerlo, consulta Configure a Computer for the Federation Server Proxy Role.
Para obtener información general sobre cómo configurar todos los requisitos previos necesarios para implementar un servidor proxy de federación, consulta Checklist: Setting Up a Federation Server Proxy.