El agente web de Servicios de federación de Active Directory (AD FS) es un servicio de rol de AD FS que puede instalar independientemente de otros servicios de rol de AD FS. El hecho de instalar el servicio de rol del agente web de AD FS en un equipo lo convierte en un servidor web habilitado para AD FS.

Los servidores por habilitados para AD FS consumen tokens de seguridad, y permiten o deniegan el acceso de un usuario a una aplicación web. Para llevar esto a cabo, el servidor web habilitado para AD FS requiere una relación con un Servicio de federación de recursos para poder dirigir al usuario al Servicio de federación cuando sea necesario.

El Agente web de AD FS se puede usar para dos tipos diferentes de aplicaciones:

  • Aplicaciones para notificaciones: una aplicación Microsoft ASP.NET que se escribe en objetos AD FS publicados que permiten la consulta de las notificaciones del token de seguridad de AD FS. Las aplicaciones toman decisiones de autorización basadas en estas notificaciones.

  • Aplicaciones basadas en autorización token de Windows NT: una aplicación que usa mecanismos de autorización basados en Windows. El agente web de AD FS admite la conversión de un token de seguridad de AD FS a un token de acceso de Windows NT® de nivel de suplantación.

El servidor web habilitado para AD FS también almacena cookies de Protocolo de transferencia de hipertexto (HTTP) en clientes donde las cookies sean necesarias para facilitar el inicio de sesión único (SSO). El agente web de AD FS consta de dos componentes independientes:

  • Extensión del agente basado en tokens de Windows de AD FS

  • Servicio de autenticación del agente web de AD FS

Extensión de agente basado en tokens de Windows de AD FS

La Extensión del agente basado en tokens de Windows de AD FS es una extensión de Interfaz de programación de aplicaciones de servidor Internet (ISAPI) que se puede usar para configurar información en la metabase de Internet Information Services (IIS). En el Administrador de IIS, puede usar las páginas de propiedades Dirección URL del Servicio de federación y Agente web de AD FS para administrar directivas y certificados que comprueben el token de seguridad y las cookies de AD FS.

Las propiedades del agente web de AD FS de la siguiente tabla son heredables. Estas propiedades son necesarias en un recurso IIS si la extensión ISAPI va a admitir el protocolo WS-F PRP (WS-Federation Passive Requestor Profile).

Propiedades Descripción

Dirección URL del Servicio de federación

El Localizador uniforme de recursos o dirección URL del Servicio de federación. Esta dirección URL es necesaria para poder consultar en ella información de confianza.

Ruta de cookies

La ruta de acceso especificada cuando se escribe la cookie de autenticación.

Dominio de cookies

El dominio para el que la cookie es válida.

Dirección URL de retorno

La dirección URL a la que el token del Servicio de federación regresa tras la autenticación en el Servicio de federación. Esta dirección URL debería coincidir con el elemento Audiencia del token. La comprobación con el elemento Audiencia se realiza con el servicio Windows.

Servicio de autenticación del agente web de AD FS

El Servicio de autenticación del agente web de AD FS valida las cookies y los tokens entrantes. Se ejecuta como un sistema local para generar un token mediante Service-for-User (S4U), que permite obtener un token de Windows para el cliente mediante un nombre principal de usuario (UPN) sin una contraseña o el paquete de autenticación de AD FS. Sin embargo, el grupo de aplicaciones de IIS no es necesario para ejecutarse como Sistema local.

El Servicio de autenticación del Agente web de AD FS tiene interfaces a las que sólo se puede llamar con llamada a procedimiento remoto local (LRPC), no llamada a procedimiento remoto (RPC). Este servicio devuelve un token de acceso de Windows NT de suplantación si se le proporciona un token de seguridad de AD FS o una cookie de AD FS.

Vea también


Tabla de contenido