Los Servicios de federación de Active Directory (AD FS) sólo pueden funcionar si los servidores en los que se ejecuta Windows Server 2008 o Windows Server 2008 R2 están configurados con los servicios de rol de AD FS adecuados. Los servicios de rol de AD FS son componentes individuales de AD FS que se instalan en servidores en los que se ejecuta Windows Server 2008 o Windows Server 2008 R2. Puede instalar los siguientes servicios de rol de AD FS mediante el asistente Agregar servicios de rol:
-
Servicio de federación
-
Proxy de Servicio de federación
-
Agente para notificaciones
-
Agente basado en tokens de Windows
En función del entorno de su organización, se deben implementar roles de servidor de AD FS específicos. En las siguientes secciones, se describen los roles de servidor asociados a cada uno de los servicios de rol de AD FS que puede usar para proporcionar una solución de administración de identidades federadas en AD FS.
Servidores de federación
Los servidores de federación hospedan el servicio de rol Servicio de federación de AD FS. Estos servidores enrutan solicitudes de autenticación realizadas desde cuentas de usuario de otras organizaciones (en diseños de inicio de sesión único (SSO) web federados) o desde clientes que se pueden ubicar en cualquier lugar de Internet (en el diseño SSO web). Para obtener más información acerca de los distintos diseños AD FS, vea Descripción de los diseños de federación.
Los servidores de federación también hospedan un servicio de emisión de tokens de seguridad que emite tokens basados en las credenciales (por ejemplo, nombre de usuario y contraseña) que se le presentan. Una vez comprobadas las credenciales (mediante el inicio de sesión del usuario), se recopilan las notificaciones para el usuario mediante el examen de los atributos para dicho usuario, los cuales están almacenados en Servicios de dominio de Active Directory (AD DS) o Servicios de directorio ligero de Active Directory (AD LDS).
Para obtener más información acerca de los servidores de federación, vea Descripción del servicio de rol Servicio de federación.
Proxies de servidor de federación
Los proxies de servidor de federación hospedan el servicio de rol Proxy de Servicio de federación de AD FS. Puede implementar los proxies de servidor de federación en la red perimetral de su organización (también llamada subred filtrada) para reenviar solicitudes a los servidores de federación a los que no se puede tener acceso desde Internet.
Nota | |
Aunque puede implementar servidores independientes para hospedar el servicio de rol Proxy de Servicio de federación, no es necesario implementar un servidor independiente para que actúe como proxy de servidor de federación en el bosque de intranet del asociado de cuenta o del asociado de recurso. El servidor de federación ejecuta este rol automáticamente. |
Para obtener más información acerca de los proxies de servidor de federación, vea Descripción del servicio de función proxy de Servicio de federación.
Servidores web habilitados para AD FS
Los servidores web que hospedan el servicio de rol del agente web de AD FS basado en tokens de Windows o para notificaciones se denominan servidores web habilitados para AD FS. Estos servidores proporcionan un acceso seguro a las aplicaciones web que están hospedadas en esos servidores web. El agente web de AD FS administra los tokens de seguridad y las cookies de autenticación que se envían a un servidor web habilitados para AD FS. El servidor web habilitado para AD FS requiere una relación con el Servicio de federación de forma que todos los tokens de autenticación procedan de dicho Servicio de federación.
Para obtener más información acerca de los servidores web habilitados para AD FS, vea Descripción del servicio de rol del Agente web de AD FS.