Configuración de organizaciones asociadas
Para implementar una nueva organización de asociado en los Servicios de federación de Active Directory (AD FS), complete las tareas de Lista de comprobación: configuración de la organización del asociado del recurso o de Lista de comprobación: configuración de la organización del asociado de cuenta, en función del diseño de AD FS.
Nota
Al usar cualquiera de estas listas de comprobación, se recomienda encarecidamente leer primero las referencias a la guía de planeación de asociados de cuenta o de asociados de recursos en la Guía de diseño de AD FS en Windows Server 2012, antes de continuar con los procedimientos para configurar la nueva organización de asociados. Seguir la lista de comprobación de esta forma le ayudará a comprender mejor la historia completa de diseño e implementación de AD FS para la organización del asociado de cuenta o del asociado de recurso.
Acerca de las organizaciones de asociados de cuenta
Un asociado de cuenta es la organización de la relación de confianza de federación que almacena físicamente las cuentas de usuario en un almacén de atributos admitidos por AD FS. El asociado de cuenta es responsable de recopilar y autenticar las credenciales de un usuario, generar notificaciones para dicho usuario y empaquetar las notificaciones en tokens de seguridad. Estos tokens se pueden presentar en una relación de confianza de federación para habilitar el acceso a los recursos basados en web ubicados en la organización del asociado de recurso.
Dicho de otro modo, un asociado de cuenta representa a la organización para cuyos usuarios el servidor de federación de cuentas emite tokens de seguridad. El servidor de federación de la organización del asociado de cuenta autentica a los usuarios locales y crea tokens de seguridad que el asociado de recurso utiliza para tomar decisiones de autorización.
En cuanto a los almacenes de atributos, el asociado de cuenta de AD FS es conceptualmente equivalente a un único bosque de Active Directory cuyas cuentas necesitan acceder a los recursos ubicados físicamente en otro bosque. Las cuentas de este bosque pueden acceder a los recursos del bosque de recursos solo si existe una relación de confianza externa o de confianza de bosque entre ambos bosques y los recursos a los que los usuarios intentan acceder se han establecido con los permisos de autorización adecuados.
Acerca de las organizaciones de asociados de recursos
El asociado de recurso es la organización de una implementación de AD FS donde se encuentran los servidores web. El asociado de recurso confía en el asociado de cuenta para autenticar a los usuarios. Por lo tanto, para tomar decisiones de autorización, el asociado de recurso utiliza las notificaciones empaquetadas en tokens de seguridad procedentes de usuarios del asociado de cuenta.
Dicho de otro modo, un asociado de recurso representa a la organización cuyos servidores web están protegidos por el servidor de federación de recursos. El servidor de federación del asociado de recurso usa los tokens de seguridad generados por el asociado de cuenta para tomar decisiones de autorización para los servidores web en el asociado de recurso.
Para funcionar como un recurso de AD FS, los servidores web de la organización del asociado de recurso deben tener instalado Windows Identity Foundation (WIF) o los servicios de rol del agente web para notificaciones de Servicios de federación de Active Directory (AD FS) 1.x. Los servidores web que funcionan como recurso de AD FS pueden hospedar aplicaciones basadas en servidor web o basadas en servicio web.