Agregar un asociado de cuenta

Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Servicios de federación de Active Directory.

En el árbol de la consola, haga doble clic en Servicio de federación, Directiva de confianza y Organizaciones asociadas.

Haga clic con el botón secundario en Asociados de cuenta, seleccione Nuevo y, a continuación, haga clic en Asociado de cuenta.

En la página Asistente para agregar asociados de cuenta, haga clic en Siguiente.

En la página Importar archivo de directiva, haga clic en No y, a continuación, haga clic en Siguiente.

En la página Detalles del asociado de cuenta, realice las siguientes acciones y después haga clic en Siguiente.

• En Nombre para mostrar, escriba el nombre para mostrar del asociado de cuenta.
  
  
• En URI del Servicio de federación, escriba el identificador uniforme de recursos (URI) del Servicio de federación.
  
  
• En Dirección URL del extremo de Servicio de federación, escriba el Localizador uniforme de recursos (URL) del Servicio de federación.
  
  

En la página Certificado de verificación de asociado de cuenta, escriba la ruta de acceso del certificado de verificación o búsquelo y, a continuación, haga clic en Siguiente.

En la página Escenario de federación, realice una de las siguientes acciones y, a continuación, haga clic en Siguiente:

• Si va a establecer una confianza federada con otra organización o no desea utilizar una confianza de bosque existente, haga clic en SSO web federado y, a continuación, vaya al paso 10.
  
  
• Si va establecer una confianza federada en la misma organización cuando ambas partes ya comparten una confianza de bosque, haga clic en SSO web federado con confianza de bosque.
  
  

En la página SSO web federado con confianza de bosque, realice una de las siguientes acciones y, a continuación, haga clic en Siguiente:

• Para aceptar a los usuarios de todos los dominios en que confía el asociado de cuenta, haga clic en Todos los dominios y bosques de Active Directory. Se aceptan todos los usuarios que se pueden autenticar para el asociado de cuenta.
  
  
• Para aceptar cuentas de usuario ubicadas en algunos de los dominios en que confía el asociado de cuenta, haga clic en Los siguientes dominios y bosques de Active Directory. En Nuevo dominio o bosque de Active Directory de confianza, escriba el nombre del dominio o bosque y, a continuación, haga clic en Agregar. Sólo se aceptan usuarios de los dominios especificados.
  
  

En la página Notificaciones de identidad de asociados de cuenta, seleccione una o más notificaciones de identidad para compartirlas con el asociado de recurso y, a continuación, haga clic en Siguiente:

• Si el asociado de recurso requiere notificaciones de nombre principal de usuario (UPN) para tomar decisiones de autorización, active la casilla Notificación de UPN.
  
  

Importante

Si se usan notificaciones de UPN o de correo electrónico para tomar decisiones de autorización, es fundamental que cada asociado de cuenta tenga un sufijo UPN o de correo electrónico único. Si dos asociados de cuenta tienen el mismo sufijo UPN o de correo electrónico, es posible que no se pueda identificar a los usuarios de forma única. Esta condición puede dar como resultado que un usuario de un asociado de cuenta reciba los permisos necesarios para un usuario de otro asociado de cuenta. Esta condición puede suponer también un riesgo de seguridad considerable debido a que un administrador puede crear intencionadamente cuentas de usuario para suplantar a los usuarios de otros asociados de cuenta.

	Nota
	Si ha seleccionado el escenario SSO web federado con confianza de bosque, la opción Notificación de UPN está seleccionada y no es configurable. Esto se debe a que las notificaciones de UPN son necesarias para este escenario.

• Si el asociado de recurso requiere notificaciones de correo electrónico para tomar decisiones de autorización, active la casilla Notificación de correo electrónico.
  
  
• Si el asociado de recurso requiere notificaciones de nombre común para tomar decisiones de autorización, active la casilla Notificación de nombre común.
  
  

Si ha seleccionado Notificación de UPN como notificación de identidad, en la página Sufijos UPN aceptados, realice una de las siguientes acciones y, a continuación, haga clic en Siguiente:

• Si ha seleccionado la opción SSO web federado con confianza de bosque, haga clic en Todos los sufijos UPN o en Sólo los sufijos de la lista siguiente, escriba el sufijo aceptado y haga clic en Agregar.
  
  
• Si ha seleccionado la opción SSO web federado, en Agregar un nuevo sufijo, escriba el sufijo aceptado y haga clic en Agregar.
  
  

Si ha seleccionado Notificación de correo electrónico como notificación de identidad, en la página Sufijos de correo electrónico aceptados, realice una de las siguientes acciones y, a continuación, haga clic en Siguiente:

• Si ha seleccionado la opción SSO web federado con confianza de bosque, haga clic en Todos los sufijos de correo electrónico o en Sólo los sufijos de la lista siguiente, escriba el sufijo aceptado y haga clic en Agregar.
  
  
• Si ha seleccionado la opción SSO web federado, en Agregar un nuevo sufijo, escriba el sufijo aceptado y haga clic en Agregar.
  
  

	Nota
	Las notificaciones de nombre común no requieren información adicional.

En la página Habilitar este asociado de cuenta, si no desea habilitar el asociado de cuenta ahora, desactive la casilla Habilitar este asociado de cuenta y, a continuación, haga clic en Siguiente.

Para agregar un asociado de cuenta nuevo y cerrar el asistente, haga clic en Finalizar.

Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Servicios de federación de Active Directory.

En el árbol de consola, haga doble clic en Servicio de federación, Directiva de confianza y Organizaciones asociadas.

Haga clic con el botón secundario en Asociados de cuenta, seleccione Nuevo y, a continuación, haga clic en Asociado de cuenta.

En la página Asistente para agregar asociados de cuenta, haga clic en Siguiente.

En la página Importar archivo de directiva, realice las siguientes acciones y después haga clic en Siguiente:

• Haga clic en Sí.
  
  
• En Archivo de directiva de interoperabilidad de asociados, busque o escriba la ubicación del archivo de directiva del asociado de cuenta.
  
  

En la página Detalles del asociado de cuenta, bajo Nombre para mostrar, escriba el nombre que se mostrará del asociado de cuenta, compruebe que la configuración adicional de asociados importada sea correcta y haga clic en Siguiente.

En la página Certificado de verificación de asociado de cuenta, realice una de las siguientes acciones y después haga clic en Siguiente:

• Haga clic en Usar el certificado de comprobación del archivo de importación de directiva.
  
  
• Haga clic en Usar un certificado de comprobación distintoy escriba la ubicación del certificado o haga clic en Examinar.
  
  

En la página Escenario de federación, realice una de las siguientes acciones y, a continuación, haga clic en Siguiente:

• Si va a establecer una confianza federada con otra organización o no desea usar una confianza de bosque existente, haga clic en SSO web federado y, a continuación, vaya al paso 10.
  
  
• Si va establecer una confianza federada en la misma organización y ambas partes ya comparten una confianza de bosque, haga clic en SSO web federado con confianza de bosque.
  
  

En la página SSO web federado con confianza de bosque, realice una de las siguientes acciones y, a continuación, haga clic en Siguiente:

• Para aceptar a los usuarios de todos los dominios en que confía el asociado de cuenta, haga clic en Todos los dominios y bosques de Active Directory. Se aceptan todos los usuarios que se pueden autenticar para el asociado de cuenta.
  
  
• Para aceptar cuentas de usuario ubicadas en algunos de los dominios en que confía el asociado de cuenta, haga clic en Los siguientes dominios y bosques de Active Directory. En Nuevo dominio o bosque de Active Directory de confianza, escriba el nombre del dominio o bosque y, a continuación, haga clic en Agregar. Sólo se aceptan usuarios de los dominios especificados.
  
  

En la página Notificaciones de identidad de asociados de cuenta, seleccione una o más notificaciones de identidad proporcionadas por este asociado y, a continuación, haga clic en Siguiente:

• Si el asociado de recurso requiere notificaciones de UPN para tomar decisiones de autorización, active la casilla Notificación de UPN.
  
  

Importante

Si se usan notificaciones de UPN o de correo electrónico para tomar decisiones de autorización, es fundamental que cada asociado de cuenta tenga un sufijo UPN o de correo electrónico único. Si dos asociados de cuenta tienen el mismo sufijo UPN o de correo electrónico, es posible que no se pueda identificar a los usuarios de forma única. Esta condición puede tener como resultado que un usuario de un asociado de cuenta reciba los permisos necesarios para un usuario de otro asociado de cuenta. Esta condición puede suponer también un riesgo de seguridad considerable debido a que un administrador puede crear intencionadamente cuentas de usuario para suplantar a los usuarios de otros asociados de cuenta.

	Nota
	Si ha seleccionado el escenario SSO web federado con confianza de bosque, la opción Notificación de UPN está seleccionada y no es configurable. Esto se debe a que las notificaciones de UPN son necesarias para este escenario.

• Si el asociado de recurso requiere notificaciones de correo electrónico para tomar decisiones de autorización, active la casilla Notificación de correo electrónico.
  
  
• Si el asociado de recurso requiere notificaciones de nombre común para tomar decisiones de autorización, active la casilla Notificación de nombre común.
  
  

Si ha seleccionado Notificación de UPN como notificación de identidad, en la página Sufijos UPN aceptados, realice una de las siguientes acciones y, a continuación, haga clic en Siguiente:

• Si ha seleccionado la opción SSO web federado con confianza de bosque, haga clic en Todos los sufijos UPN o en Sólo los sufijos de la lista siguiente, escriba el sufijo aceptado y haga clic en Agregar.
  
  
• Si ha seleccionado la opción SSO web federado, en Agregar un nuevo sufijo, escriba el sufijo aceptado y haga clic en Agregar.
  
  

Si ha seleccionado Notificación de correo electrónico como notificación de identidad, en la página Sufijos de correo electrónico aceptados, realice una de las siguientes acciones y, a continuación, haga clic en Siguiente:

• Si ha seleccionado la opción SSO web federado con confianza de bosque, haga clic en Todos los sufijos de correo electrónico o en Sólo los sufijos de la lista siguiente, escriba el sufijo aceptado y haga clic en Agregar.
  
  
• Si ha seleccionado la opción SSO web federado, en Agregar un nuevo sufijo, escriba el sufijo aceptado y haga clic en Agregar.
  
  

En la página Habilitar este asociado de cuenta, si no desea habilitar el asociado de cuenta ahora, desactive la casilla Habilitar este asociado de cuenta y, a continuación, haga clic en Siguiente.

Para agregar un asociado de cuenta nuevo y cerrar el asistente, haga clic en Finalizar.

Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Servicios de federación de Active Directory.

En el árbol de la consola, haga doble clic en Servicio de federación, Directiva de confianza, Organizaciones asociadas y Asociados de cuenta.

Haga clic con el botón secundario en el asociado de cuenta y, a continuación, haga clic en Cambiar nombre.

Escriba un nombre nuevo para el asociado de cuenta.