Los Servicios de federación de Active Directory (AD FS) tienen los siguientes requisitos de hardware y software.

Requisitos de hardware

  • Velocidad del procesador: 133 megahercios (MHz) para equipos basados en x86

  • Memoria RAM mínima recomendada: 256 megabytes (MB)

  • Espacio libre en disco para la instalación: 10 MB

Requisitos de software

AD FS se basa en la funcionalidad de servidor integrada en Windows Server 2003 R2, Windows Server 2008 y Windows Server 2008 R2. Los servicios de rol Servicio de federación, proxy de Servicio de federación y agente web de AD FS no se pueden ejecutar en sistemas operativos anteriores. En esta sección se describen los requisitos de software de cada servicio de rol de AD FS. Además, se describen las configuraciones de software generales que son necesarias para AD FS en el entorno de red.

Nota

Los servicios de rol Servicio de federación y proxy de Servicio de federación no pueden coexistir en el mismo equipo.

Servicio de federación

Los equipos que ejecutan el Servicio de federación deben tener el siguiente software instalado:

  • Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise o Windows Server 2008 R2 Datacenter

  • Internet Information Services (IIS)

  • Microsoft ASP.NET 2.0

  • Microsoft .NET Framework 2.0

Nota

Una vez completada la instalación del Servicio de federación, es necesario configurar un sitio web predeterminado en IIS con Seguridad de la capa de transporte y Capa de sockets seguros (TLS/SSL).

Requisitos del almacén de cuentas de AD DS y AD LDS

AD FS requiere la presencia de cuentas de usuario en los Servicios de dominio de Active Directory (AD DS) o los Servicios de directorio ligero de Active Directory (AD LDS) para el Servicio de federación de la cuenta. Los controladores de dominio de AD DS o los equipos que hospedan los almacenes de cuentas deben tener uno de los siguientes sistemas operativos instalados:

  • Windows Server 2008 R2

  • Windows Server 2008

  • Windows Server 2003 R2

  • Windows Server 2003

  • Windows 2000 con Service Pack 4 (SP4) y actualizaciones críticas

AD FS no requiere ningún cambio de esquema ni modificaciones en el nivel funcional de AD DS. Para garantizar que AD LDS funcione con AD FS, instale la versión de AD LDS que viene con Windows Server 2008.

Proxy de Servicio de federación

Los equipos que ejecutan el proxy de Servicio de federación deben tener el siguiente software instalado:

  • Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise o Windows Server 2008 R2 Datacenter

  • IIS

  • ASP.NET 2.0

  • Microsoft .NET Framework 2.0

Nota

Una vez completada la instalación del proxy de Servicio de federación, es necesario configurar un sitio web predeterminado en IIS con TLS/SSL.

Agente web de AD FS

Los equipos en los que se ejecuta el agente web de AD FS, ya sea el agente para notificaciones o el agente basado en tokens de Windows, es necesario tener el siguiente software instalado:

  • Windows Server 2003 R2 Standard Edition, Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise o Windows Server 2008 R2 Datacenter

  • IIS

  • ASP.NET 2.0

  • Microsoft .NET Framework 2.0

Nota

Una vez completada la instalación del agente web de AD FS, se debe configurar como mínimo un sitio web en IIS con TLS/SSL para que los usuarios federados puedan tener acceso a las aplicaciones basadas en web hospedadas en el servidor web.

Entidades de certificación de confianza

Dado que tanto TLS/SSL como la firma de tokens se basan en certificados digitales, las entidades de certificación (CA) constituyen una parte importante de AD FS. Las CA públicas como, por ejemplo, VeriSign, Inc., representan a un tercero con una relación de confianza mutua que permite la comprobación de la identidad del titular del certificado. Puede utilizar CA empresariales, como los Servicios de servidor de certificados de Microsoft, para proporcionar la firma de tokens y otros servicios de certificados internos.

Si se presenta un cliente con un certificado de autenticación del servidor, el equipo cliente comprueba si la CA que ha emitido el certificado está incluida en la lista de CA de confianza del cliente y si la CA no ha revocado dicho certificado. Esta comprobación garantiza que el cliente haya tenido acceso al servidor correcto. Si se utiliza un certificado para comprobar los tokens firmados, el cliente utiliza el certificado para comprobar que el token haya sido emitido por el servidor de federación correcto y que no haya sido alterado.

Conectividad de red TCP/IP

Para que AD FS funcione, debe existir una conectividad de red TCP/IP entre el cliente, un controlador de dominio y los equipos que hospedan el Servicio de federación, el proxy de Servicio de federación (si se usa) y el agente web de AD FS.

DNS

Con el fin de autenticar a los usuarios de la intranet, los servidores del Sistema de nombres de dominio (DNS) internos del bosque de intranet se deben configurar para devolver el nombre canónico (CNAME) del servidor interno que ejecuta el Servicio de federación. Para obtener resultados óptimos, no use archivos de host con DNS.

Explorador web

Aunque los exploradores web actuales con JScript habilitado deben funcionar como clientes de AD FS, Microsoft solo ha probado Explorer 8, Internet Explorer 7, Internet Explorer 6, Internet Explorer 5 o 5.5, Mozilla Firefox y Safari de Apple Macintosh. Por motivos de rendimiento, se recomienda tener JScript habilitado. Las cookies deben estar habilitadas o, como mínimo ser de confianza, para los servidores de federación y las aplicaciones web a las que se va tener acceso.

Vea también


Tabla de contenido