Академический Документы
Профессиональный Документы
Культура Документы
Resumen
En esta guía se proporcionan instrucciones para configurar los Servicios de federación
de Active Directory (ADFS) en el entorno de un laboratorio de pruebas pequeño. Las
instrucciones de esta guía deben llevarse a cabo aproximadamente en tres horas. Esta
guía le orienta durante la configuración de una aplicación para notificaciones y una
aplicación basada en autorización token de Windows NT (tanto Microsoft® Windows®
SharePoint® Services como Microsoft® Office SharePoint® Portal Server 2003) en un
servidor Web habilitado para ADFS. También explica cómo configurar dos servidores de
federación que autentiquen y autoricen el acceso federado a ambos tipos de aplicación.
No se requieren descargas adicionales. Puede utilizar el código de esta guía para crear
la aplicación para notificaciones o usar los vínculos proporcionados para descargar las
aplicaciones basadas en autorización token de Windows NT apropiadas.
La información contenida en este documento, incluidas las direcciones URL y otras
referencias a sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos que
se indique lo contrario, los nombres de las compañías, organizaciones, productos,
nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y
acontecimientos utilizados en los ejemplos son ficticios y no representan de ningún
modo a ninguna compañía, organización, producto, nombre de dominio, dirección de
correo electrónico, logotipo, persona, lugar o acontecimiento real. Es responsabilidad del
usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna
parte de este documento puede ser reproducida, almacenada o introducida en un
sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea
electrónico, mecánico, por fotocopia, grabación, etc.) con ningún propósito, sin la previa
autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna
limitación a los derechos de propiedad industrial o intelectual.
Los nombres de compañías y productos reales que se mencionan aquí pueden ser
marcas comerciales de sus respectivos propietarios.
Contenido
Guía paso a paso para los Servicios de federación de Active Directory............................1
Resumen..................................................................................................................... 1
Contenido.......................................................................................................................... 3
Puede utilizar el entorno del laboratorio de pruebas para evaluar la tecnología ADFS y
determinar cómo se puede implementar en la organización. A medida que vaya
completando los pasos de esta guía, podrá:
Configurar cuatro equipos (un cliente, un servidor Web y dos servidores de federación) para
participar en la federación ADFS entre dos empresas ficticias (A. Datum Corporation y
Trey Research).
Crear dos bosques para utilizarlos como almacenes de cuentas designados para los usuarios
federados. Cada bosque representa una empresa ficticia.
Utilizar ADFS para configurar una relación de confianza de federación entre ambas empresas.
Proporcionar acceso federado a los usuarios de una empresa de modo que tengan acceso a
una aplicación para notificaciones y a un sitio de Windows SharePoint Services ubicados en la
otra empresa.
Opcionalmente, puede instalar y configurar SharePoint Portal Server 2003 en el servidor Web
para estudiar su funcionamiento con ADFS. Para obtener más información, vea el Apéndice
A: Usar SharePoint Portal Server 2003 con ADFS. Siga las instrucciones de los pasos 1
a 5 antes de llevar a cabo los pasos del apéndice.
Nota
Es importante seguir los pasos de esta guía por orden.
Guía paso a paso para la implementación de ADFS 8
Problemas conocidos
Antes de empezar a implementar los procedimientos relacionados con
Windows SharePoint Services y SharePoint Portal Server 2003, lea los problemas
conocidos asociados con el uso de estas aplicaciones con ADFS. Para obtener más
información acerca de las cuestiones importantes de soporte técnico de
Windows SharePoint Services y ADFS, vea el artículo 912492 sobre los límites de
soporte de Windows SharePoint Services y SharePoint Portal Server 2003 para
Servicios de Federación de Active Directory en el sitio Web de Microsoft Knowledge
Base (http://go.microsoft.com/fwlink/?LinkId=58576).
Instrucciones para instalar y configurar los Servicios de Microsoft Certificate Server para su
uso con ADFS
Nota
El servidor de federación incluye la función de proxy de servidor de
federación. Por ejemplo, el servidor de federación puede realizar la
autenticación de clientes, el descubrimiento del territorio principal y el cierre
de sesión.
Requisitos
Para completar los pasos de esta guía, debe disponer de lo siguiente:
Microsoft Windows Server™ 2003 R2, Enterprise Edition o Datacenter Edition, para servidores
de federación
Windows Server 2003 R2, Standard Edition, Enterprise Edition o Datacenter Edition para
servidores Web habilitados para ADFS
Herramientas del kit de recursos de los Servicios de Internet Information Server (IIS) 6.0
Instalar y configurar los Servicios de Internet Information Server (IIS) para trabajar con
certificados autofirmados.
Credenciales administrativas
Para realizar todas las tareas de este paso, inicie una sesión en cada uno de los cuatro
equipos con la cuenta de administrador local. Para crear cuentas en Active Directory,
inicie una sesión con la cuenta de administrador del dominio.
Instalar IIS
Importante
Antes de configurar los equipos con las direcciones IP estáticas, se recomienda
realizar la activación de producto para Microsoft® Windows® XP y Windows
Server 2003 R2 con todos los equipos conectados todavía a Internet. Si lo
desea, también puede descargar la aplicación del kit de recursos de IIS 6.0 en
cada equipo (excepto en el equipo cliente) mientras están conectados a Internet.
Si tiene previsto configurar SharePoint Portal Server 2003 (vea Apéndice A: Usar
SharePoint Portal Server 2003 con ADFS para obtener más información), puede
resultarle útil descargar la instalación de prueba de 120 días de SharePoint
Portal Server 2003 mientras está conectado a Internet.
Guía paso a paso para la implementación de ADFS 11
255.255.255.0
255.255.255.0
Nota
Asegúrese de configurar tanto el servidor de sistema de nombres de dominio
(DNS) preferido como el alternativo en el cliente. Si no se configuran ambos
tipos de valores según se especifica, el escenario de ADFS no funcionará.
Guía paso a paso para la implementación de ADFS 12
Instalar IIS
Utilice el siguiente procedimiento para instalar IIS en el equipo adfsweb, el equipo
adfsresource y el equipo adfsaccount.
Nota
Si desea instalar Windows SharePoint Services con ADFS y no tiene intención
de probar SharePoint Portal Server 2003 con ADFS, no es necesario que
descargue este software.
Guía paso a paso para la implementación de ADFS 13
Nota
Como práctica recomendada de seguridad, los controladores de dominio no se
pueden ejecutar como servidores de federación y controladores de dominio en
un entorno de producción.
Para crear un bosque nuevo con Dcpromo, utilice el procedimiento para crear un nuevo
bosque en el sitio Web de TechCenter de Windows Server 2003
(http://go.microsoft.com/fwlink/?LinkId=56119, en inglés).
Nota
Es importante que configure primero las direcciones IP según se especifica en la
tabla anterior antes de intentar instalar Active Directory. Esto garantiza la
configuración correcta de los registros DNS.
(nuevo bosque)
adfsclient adatum.com
adfsweb treyresearch.net
Guía paso a paso para la implementación de ADFS 16
Nota
En un entorno de producción, los certificados se obtienen de una entidad
emisora de certificados (CA). Para la implementación del laboratorio de pruebas
descrita en este documento, se utilizan certificados autofirmados.
Nota
Aunque el agente Web de ADFS no requiere la instalación de un certificado SSL
en IIS al instalar el agente Web de ADFS, el certificado SSL es necesario cuando
se habilita un agente Web de ADFS basado en autorización token de
Windows NT.
Adfsresource selfssl /t
/n:cn=adfsresource.treyresearch.net /v:365
Guía paso a paso para la implementación de ADFS 17
Nota
Cuando aparezca el mensaje, seleccione "Y" para reemplazar la configuración
de SSL para el sitio 1.
Nota
Este certificado se debe importar al equipo adfsweb en el siguiente
procedimiento. Por lo tanto, se debe permitir el acceso a este archivo
desde ese equipo a través de la red.
5. Haga clic en Equipo local: (el equipo en el que se está ejecutando esta
consola), luego haga clic en Finalizar, en Cerrar y, a continuación, en Aceptar.
Nota
Guía paso a paso para la implementación de ADFS 19
Credenciales administrativas
Para realizar todos los procedimientos de este paso, inicie una sesión en el equipo
adfsaccount y en el equipo adfsresource con la cuenta de administrador del dominio.
Inicie una sesión en el equipo adfsweb con la cuenta de administrador local.
Nota
Como práctica recomendada de seguridad, los controladores de dominio no se
pueden ejecutar como servidores de federación y controladores de dominio.
Además, IIS no se puede ejecutar con una cuenta de sistema local en un
entorno de producción.
Guía paso a paso para la implementación de ADFS 22
Nota
Guía paso a paso para la implementación de ADFS 23
Credenciales administrativas
Para realizar todas las tareas de este paso, inicie una sesión en adfsweb con la cuenta
de administrador local.
los límites de soporte de Windows SharePoint Services y SharePoint Portal Server 2003
para Servicios de federación de Active Directory en el sitio Web de Microsoft Knowledge
Base (http://go.microsoft.com/fwlink/?LinkId=58576).
2. En el árbol de la consola, haga doble clic en ADFSWEB, haga clic con el botón
secundario en Sitios Web y, a continuación, haga clic en Propiedades.
Nota
Si no aparece la ficha Agente Web de ADFS, cierre el complemento IIS
y, a continuación, reinicie el complemento.
4. Haga doble clic en Sitios Web, haga clic con el botón secundario en Sitio Web
predeterminado y, a continuación, haga clic en Propiedades.
Nota
El valor de Dirección URL de retorno de esta página de propiedades
debe coincidir exactamente con el valor de Dirección URL de la
aplicación especificado al configurar la aplicación en el Servicio de
federación para Trey Research.
2. En el árbol de la consola, haga doble clic en ADFSWEB, haga clic con el botón
secundario en Sitio Web, seleccione Nuevo y, a continuación, haga clic en Sitio
Web.
Guía paso a paso para la implementación de ADFS 27
Nota
No utilice letras mayúsculas en el nombre de la carpeta claimapp. Si el
nombre de esta carpeta contiene letras mayúsculas, los usuarios deben
utilizar también letras mayúsculas al escribir la dirección del sitio Web.
10. En la página Permisos de acceso de directorio virtual, active las casillas de
verificación Leer y Ejecutar secuencias de comandos y, a continuación, haga
clic en Siguiente.
12. En el árbol de la consola, haga doble clic en stepbystep, haga clic con el botón
secundario en la carpeta claimapp y, a continuación, haga clic en Propiedades.
Nota
Para ver la nueva carpeta claimapp, puede que necesite actualizar IIS.
default.aspx
web.config
default.aspx.cs
Puede utilizar los siguientes procedimientos para crear esos tres archivos:
<head>
<style>
<!--
.propertyTable th { border: 1px solid; padding: 0px 4px 0px 4px; font-
weight: bold; background-color: #cccccc ; text-align: left }
-->
</style>
</head>
<body>
Guía paso a paso para la implementación de ADFS 31
<div class=banner>
</div>
<asp:TableHeaderRow>
<asp:TableHeaderCell>Name</asp:TableHeaderCell>
<asp:TableHeaderCell>Value</asp:TableHeaderCell>
<asp:TableHeaderCell>Type</asp:TableHeaderCell>
</asp:TableHeaderRow>
</asp:Table>
</div>
<div class=propertyHead>User.Identity</div>
<asp:TableHeaderRow>
<asp:TableHeaderCell>Name</asp:TableHeaderCell>
<asp:TableHeaderCell>Value</asp:TableHeaderCell>
<asp:TableHeaderCell>Type</asp:TableHeaderCell>
</asp:TableHeaderRow>
</asp:Table>
Guía paso a paso para la implementación de ADFS 32
</div>
<div class=propertyHead>(IIdentity)User.Identity</div>
<asp:TableHeaderRow>
<asp:TableHeaderCell>Name</asp:TableHeaderCell>
<asp:TableHeaderCell>Value</asp:TableHeaderCell>
<asp:TableHeaderCell>Type</asp:TableHeaderCell>
</asp:TableHeaderRow>
</asp:Table>
</div>
<div class=propertyHead>(SingleSignOnIdentity)User.Identity</div>
<asp:TableHeaderRow>
<asp:TableHeaderCell>Name</asp:TableHeaderCell>
<asp:TableHeaderCell>Value</asp:TableHeaderCell>
<asp:TableHeaderCell>Type</asp:TableHeaderCell>
</asp:TableHeaderRow>
</asp:Table>
</div>
<div
class=propertyHead>SingleSignOnIdentity.SecurityPropertyCollection</div>
<asp:TableHeaderRow>
Guía paso a paso para la implementación de ADFS 33
<asp:TableHeaderCell>Uri</asp:TableHeaderCell>
<asp:TableHeaderCell>Claim Type</asp:TableHeaderCell>
<asp:TableHeaderCell>Claim Value</asp:TableHeaderCell>
</asp:TableHeaderRow>
</asp:Table>
</div>
<div class=propertyHead>(IPrincipal)User.IsInRole(...)</div>
</asp:Table>
<table>
</table>
</div>
</div>
</form>
</body>
</html>
<configuration>
<configSections>
<sectionGroup name="system.web">
<section name="websso"
type="System.Web.Security.SingleSignOn.WebSsoConfigurationHandler,
System.Web.Security.SingleSignOn, Version=1.0.0.0, Culture=neutral,
PublicKeyToken=31bf3856ad364e35, Custom=null" />
</sectionGroup>
</configSections>
<system.web>
<assemblies>
<add assembly="System.Web.Security.SingleSignOn.ClaimTransforms,
Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35,
Custom=null"/>
</assemblies>
Guía paso a paso para la implementación de ADFS 35
</compilation>
<customErrors mode="Off"/>
<httpModules>
<add
type="System.Web.Security.SingleSignOn.WebSsoAuthenticationModule,
System.Web.Security.SingleSignOn, Version=1.0.0.0, Culture=neutral,
PublicKeyToken=31bf3856ad364e35, Custom=null" />
</httpModules>
<websso>
<authenticationrequired />
<eventloglevel>55</eventloglevel>
<auditsuccess>2</auditsuccess>
<urls>
<returnurl>https://adfsweb.treyresearch.net:8081/claimapp/</returnurl>
</urls>
<cookies writecookies="true">
<path>/claimapp</path>
<lifetime>240</lifetime>
</cookies>
<fs>https://adfsresource.treyresearch.net/adfs/fs/federationserverservice.a
Guía paso a paso para la implementación de ADFS 36
smx</fs>
</websso>
</system.web>
<system.diagnostics>
<switches>
</switches>
<listeners>
<add name="LSLogListener"
type="System.Web.Security.SingleSignOn.BoundedSizeLogFileTraceListener,
System.Web.Security.SingleSignOn, Version=1.0.0.0, Culture=neutral,
PublicKeyToken=31bf3856ad364e35, Custom=null"
initializeData="c:\logdir\claimapp.log" />
</listeners>
</trace>
</system.diagnostics>
</configuration>
using System;
using System.Data;
using System.Collections.Generic;
using System.Configuration;
using System.Reflection;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Security;
using System.Security.Principal;
using System.Web.Security.SingleSignOn;
using System.Web.Security.SingleSignOn.Authorization;
static _Default()
//
Guía paso a paso para la implementación de ADFS 38
//
s_abbreviationMap.Add("System.Web.Security.SingleSignOn.Authorization",
"SSO.Auth");
s_abbreviationMap.Add("System.Web.Security.SingleSignOn", "SSO");
s_abbreviationMap.Add("System", "S");
//
//
PagePropertyLoad();
IdentityLoad();
BaseIdentityLoad();
SSOIdentityLoad(ssoId);
SecurityPropertyTableLoad(ssoId);
//
//
if (!IsPostBack)
Guía paso a paso para la implementación de ADFS 39
else
GoGetRoles(null, null);
//
//
if (ssoId == null)
SignOutUrl.Enabled = false;
else
if (ssoId.IsAuthenticated == false)
SignOutUrl.NavigateUrl = ssoId.SignInUrl;
else
SignOutUrl.NavigateUrl = ssoId.SignOutUrl;
}
Guía paso a paso para la implementación de ADFS 40
Table t = SecurityPropertyTable;
if (ssoId == null)
AddNullValueRow(t);
return;
//
//
t.Rows.Add(CreateRow(securityProperty.Uri,
securityProperty.Name, securityProperty.Value, alternating));
alternating = !alternating;
Table t = RolesTable;
t.Rows.Clear();
Guía paso a paso para la implementación de ADFS 41
t.Rows.Add(CreatePropertyRow(role, User.IsInRole(role),
alternating));
alternating = !alternating;
void IdentityLoad()
if (User.Identity == null)
AddNullValueRow(propertyTable);
else
propertyTable.Rows.Add(CreatePropertyRow("Type name",
User.Identity.GetType().FullName));
if (ssoId != null)
PropertyInfo[] props =
ssoId.GetType().GetProperties(BindingFlags.Instance | BindingFlags.Public |
BindingFlags.DeclaredOnly);
else
AddNullValueRow(propertyTable);
void PagePropertyLoad()
propertyTable.Rows.Add(CreatePropertyRow("Simplified Path",
leftSidePath));
void BaseIdentityLoad()
if (identity != null)
PropertyInfo[] props =
typeof(IIdentity).GetProperties(BindingFlags.Instance | BindingFlags.Public
| BindingFlags.DeclaredOnly);
else
AddNullValueRow(propertyTable);
cell.Text = NullValue;
row.CssClass = "s";
row.Cells.Add(cell);
table.Rows.Clear();
table.Rows.Add(row);
{
Guía paso a paso para la implementación de ADFS 44
propertyTable.Rows.Add(CreatePropertyRow(name, val,
alternating));
alternating = !alternating;
if (value == null)
else
first.CssClass = "l";
first.Text = Abbreviate(s1);
second.Text = Abbreviate(s2);
third.Text = Abbreviate(s3);
if (alternating)
row.CssClass = "s";
row.Cells.Add(first);
row.Cells.Add(second);
row.Cells.Add(third);
return row;
if (s == null)
return NullValue;
string retVal = s;
//
//
if (retVal.IndexOf(pair.Key) != -1)
break;
return retVal;
//
//
UpdateRolesTable(roles);
Configurar cada notificación de grupo de modo que se asignen a un grupo de Active Directory
en el bosque que corresponda.
Las notificaciones de grupo se deben configurar de forma distinta para cada Servicio de
federación, según el tipo de aplicación al que se asignen. En la siguiente ilustración, se
muestra cómo se configuran las notificaciones en este paso para cada Servicio de
federación y tipo de aplicación.
Guía paso a paso para la implementación de ADFS 48
Credenciales administrativas
Para realizar todas las tareas de este paso, inicie una sesión en el equipo adfsaccount y
el equipo adfsresource con la cuenta de administrador del dominio.
Nota
Este valor distingue mayúsculas y minúsculas.
Nota
La referencia a 8081 en la Dirección URL de la aplicación es
necesaria para enrutar el tráfico SSL al puerto 8081 dado que el sitio
Web predeterminado utiliza el puerto SSL predeterminado (443).
Nota
Este valor distingue mayúsculas y minúsculas.
Guía paso a paso para la implementación de ADFS 56
Nota
Puede que necesite asignar la unidad de red para obtener el archivo
adfsaccount_ts.cer. El certificado de verificación de asociado de cuenta
es el certificado de firma de tokens que se exportó desde el equipo
adfsaccount en el Paso 2: Instalar ADFS y configurar el sistema local.
Active Directory.
Nota
Este valor distingue mayúsculas y minúsculas. Debe coincidir
exactamente con el valor especificado en la asignación de notificación
de grupo saliente de la organización del asociado de cuenta.
Nota
Este valor distingue mayúsculas y minúsculas. Debe coincidir
exactamente con el valor especificado en la asignación de notificación
Guía paso a paso para la implementación de ADFS 58
Nota
Este valor distingue mayúsculas y minúsculas.
Nota
Sólo puede tener un almacén de Active Directory asociado a un Servicio
de federación. Si la opción Active Directory no está disponible, se debe a
que ya se ha creado el almacén de Active Directory para este Servicio
de federación.
notificación de grupo.
Nota
Este valor distingue mayúsculas y minúsculas.
10. En la página Seleccionar sufijo UPN, haga clic en Reemplazar todos los
sufijos de dominio UPN con y escriba adatum.com.
Nota
Este valor distingue mayúsculas y minúsculas. Debe coincidir
exactamente con el valor especificado en la asignación de notificación
de grupo entrante de la organización del asociado de recurso.
Nota
Este valor distingue mayúsculas y minúsculas. Debe coincidir
exactamente con el valor especificado en la asignación de notificación
de grupo entrante de la organización del asociado de recurso.
Guía paso a paso para la implementación de ADFS 65
Credenciales administrativas
Para realizar tres primeras tareas de este paso, no es necesario iniciar una sesión con
credenciales administrativas en el equipo cliente. Es decir, si los usuarios Alansh o
Adamcar han iniciado una sesión en el cliente, pueden tener acceso a ambas
aplicaciones basadas en Web sin necesidad de ser agregados a ninguno de los grupos
de administradores locales (por ejemplo, Usuarios avanzados o Administradores) para el
equipo adfsclient.
Nota
Se le solicitará dos veces (en el cuadro de diálogo Alerta de seguridad)
la información de certificados. Para instalar cada certificado, haga clic en
Ver certificado y, a continuación, en Instalar o en Sí cada vez que se le
pida. Cada aviso de Alerta de seguridad muestra el mensaje "El
certificado de seguridad fue emitido por una organización en la que
usted no ha depositado su confianza". Se trata de un comportamiento
previsto dado que en esta guía se utilizan certificados autofirmados.
Nota
Se le pedirá una vez más un certificado.
5. Cierre la sesión iniciada como Alansh e inicie una sesión como Adamcar. Repita
los pasos 2 a 4 de este procedimiento. Compare la diferencia entre las
notificaciones aprobadas de Adam y las notificaciones aprobadas de Alan.
Guía paso a paso para la implementación de ADFS 67
Nota
Si no ha instalado los certificados en los procedimientos anteriores, se le
pedirá dos veces (en el cuadro de diálogo Alerta de seguridad) la
información de certificados. Para instalar cada certificado, haga clic en
Ver certificado y luego en Instalar o en Sí cada vez que se le pida.
Nota
Si no ha instalado el certificado en el procedimiento anterior, se le
volverá a pedir el certificado.
5. Cierre la sesión iniciada como Adamcar e inicie una sesión como Alansh. Repita
los pasos 2 a 4 de este procedimiento. Observe que se muestra la estructura del
sitio de SharePoint, pero Alan no tiene permiso para leer el contenido del sitio
Web.
del sitio de Windows SharePoint Services desde el equipo cliente, puede usar la cuenta
(terrya) del bosque treyresearch.net a la que se le han concedidio credenciales
administrativas para el sitio Web.
Utilice el siguiente procedimiento para eliminiar las cookies del explorador del cliente e
iniciar sesión en el sitio de Windows SharePoint Services con las credenciales
administrativas adecuadas.
2. Desplácese a https://adfsweb.treyresearch.net/default.aspx.
5. Para tener acceso al sitio Web de nuevo utilizando las credenciales de Adam,
vuelva a establecer el territorio principal como A. Datum. Para cambiar el
territorio principal:
Importante
Antes de implementar Windows SharePoint Services o SharePoint Portal
Server 2003 en un entorno de producción, debe saber qué funciones de
SharePoint Services son compatibles con ADFS. Para obtener más información,
vea el artículo 912492 sobre los límites de soporte de Windows SharePoint
Services y SharePoint Portal Server 2003 para Servicios de federación de Active
Directory en el sitio Web de Microsoft Knowledge Base
(http://go.microsoft.com/fwlink/?LinkId=58576). En este artículo se tratan las
funciones de SharePoint compatibles y no compatibles con ADFS. Además,
puede seguir las instrucciones del Apéndice B: Deshabilitar funcionalidad de
SharePoint no compatible de esta guía para familirizarse con la forma de
Guía paso a paso para la implementación de ADFS 69
Cinco equipos adicionales (además de los cuatro equipos utilizados para instalar ADFS en el
paso 1 de esta guía)
Software Microsoft® SQL Server™ 2000 con Service Pack 3 (SP3) o posterior
Para obtener una versión de prueba de este software, vea la página sobre la
versión A de SQL Server 2000 Evaluation Edition en el sitio Web de Microsoft
(http://go.microsoft.com/fwlink/?LinkId=24550, en inglés).
Para obtener una versión de prueba de este software, vea la página del software de
prueba de SharePoint Portal Server 2003 en el sitio Web de Microsoft
(http://go.microsoft.com/fwlink/?LinkId=22136, en inglés).
Una vez que haya terminado de probar la aplicación para notificaciones de ejemplo y la
aplicación Windows SharePoint Services, documentadas en los pasos 1 a 5 de esta
guía, puede utilizar la información y los procedimientos siguientes para instalar y
configurar SharePoint Portal Server 2003 para su uso con ADFS:
Enviar tokens de seguridad o cookies a una aplicación para la que no se han emitido los
tokens o las cookies (para evitar un ataque de reproducción contra la aplicación correcta).
Proporcionar notificaciones para una aplicación para la que no se han emitido las
notificaciones (para proteger la privacidad y evitar la exposición no autorizada de la
información personal del usuario).
Guía paso a paso para la implementación de ADFS 71
Dado que el agente Web de ADFS no puede admitir esta solicitud y que no hay
ninguna posibilidad de que el usuario intervenga para obtener una cookie
persistente, los siguientes elementos son necesarios para poder utilizar la
funcionalidad de búsqueda con ADFS:
El archivo de host del servidor de índice se debe modificar para hacer referencia al
servidor Web de aplicaciones para usuario no federado. Para obtener instrucciones
acerca de cómo realizar esta operación, vea Modificar el archivo de hosts.
Los archivos indizados o buscados deben estar en el mismo dominio que el equipo de
indización o en un dominio de confianza.
Guía paso a paso para la implementación de ADFS 72
Las modificaciones se deben realizar en el archivo web.config para que SharePoint Portal
Server 2003 exija la autenticación anónima de IIS. Para obtener instrucciones acerca de
cómo realizar esta operación, vea Modificar el archivo web.config en adfsweb para
exigir el acceso anónimo.
Nota
Para consultar los problemas más recientes relacionados con la compatibilidad
de SharePoint para ADFS, vea el artículo 912492 sobre los límites de
compatibilidad de Windows SharePoint Services y SharePoint Portal Server
2003 para los Servicios de federación de Active Directory en el sitio Web de
Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=58576).
Dos servidores Web que ejecutan el servicio Web de SharePoint Portal Server 2003 (más
conocidos como servidores Web de aplicaciones para usuario)
Dos servidores Web que ejecutan el servicio de búsqueda de SharePoint Portal Server 2003
Un servidor Web que ejecuta el servicio de índice de SharePoint Portal Server 2003
Un servidor de base de datos que ejecuta SQL Server 2000 (el cual almacena la base de
datos de contenido de SharePoint Portal Server 2003)
Para que los usuarios federados puedan tener acceso a la funcionalidad de búsqueda,
ADFS requiere que se configure como mínimo uno de los servidores Web de
aplicaciones para usuario dedicados para la federación (mediante la habilitación del
agente Web de ADFS y el acceso anónimo). El segundo servidor Web de aplicaciones
para usuario no es federado y está configurado para la autenticación de Windows
integrada.
De acuerdo con esta guía, el servidor con el nombre adfsweb actúa como el servidor
Web de aplicaciones para usuario federado. A continuación, agregue los cinco equipos
adicionales al laboratorio de pruebas de ADFS existente y configúrelos para alojar el
servicio de SharePoint Portal Server 2003 o de SQL correspondiente. Después, puede
unirlos al dominio treyresearch.net según se muestra en la siguiente ilustración.
Guía paso a paso para la implementación de ADFS 74
Instalar IIS
Importante
Antes de configurar los equipos con las direcciones IP estáticas, se recomienda
realizar la activación de producto para Windows Server 2003 mientras cada uno
de los equipos está conectado a Internet.
Instalar IIS
Utilice el siguiente procedimiento para instalar IIS en los equipos spsweb, spssearch1,
spssearch2 y spsindex.
Nota
Cuando aparezca el mensaje, seleccione "Y" para reemplazar la configuración
de SSL para el sitio 1.
en Sitios Web, haga clic con el botón secundario en Sitio Web predeterminado
y, a continuación, haga clic en Propiedades.
Nota
Puede descargar una versión de prueba de este software en la página de la
versión A de SQL Server 2000 Evaluation Edition en el sitio Web de Microsoft
(http://go.microsoft.com/fwlink/?LinkId=24550, en inglés).
Guía paso a paso para la implementación de ADFS 81
Nota
Si aparece un mensaje de SQL Server 2000 sobre Service Pack, haga
clic en Continuar.
14. En la página Elegir modo de licencia, haga clic en Por puesto, especifique el
número de dispositivos compatibles según el contrato de licencia y, a
continuación, haga clic en Siguiente.
Nota
Si va a instalar SQL Server 2000 Evaluation Edition, no verá esta
página. Realice el paso siguiente para completar la instalación.
Nota
Puede descargar una versión de prueba de SharePoint Portal Server 2003
desde la página del software de prueba de SharePoint Portal Server 2003 en el
sitio Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=22136, en inglés) o
puede utilizar la versión completa de SharePoint Portal Server 2003 si dispone
de los CD de instalación.
Nota
Procure escribir correctamente la cuenta o la contraseña en esta página.
Estas entradas no se pueden corregir tras la instalación a menos que
desinstale y vuelva a instalar SharePoint Portal Server 2003.
Nota
Si no ve la página Especificar las opciones de la base de datos de
configuración para <NOMBRESERVIDOR>, vaya al menú
Herramientas administrativas y haga clic en Administración central
de SharePoint.
Nota
Si esta opción no se puede ver de inmediato, haga clic en SharePoint
Portal Server y, a continuación, haga clic en Configurar topología de
servidores.
Crear el sitio del portal de Trey Research y configurar extensiones del servidor virtual
Nota
En un entorno de producción con varios servidores Web de aplicaciones para
usuario, debe extender el servidor virtual para cada servidor Web de
aplicaciones para usuario del conjunto.
Para crear el sitio del portal de Trey Research y configurar extensiones del
servidor virtual
1. Inicie una sesión en adfsweb como Terrya.
12. Inicie Administrador de Internet Information Services (IIS), haga doble clic en
SPSWEB, Sitios Web, haga clic con el botón secundario en Sitio Web
predeterminado y, a continuación, haga clic en Propiedades.
Importante
Una vez creado el sitio del portal, se debe comprobar para confirmar que
funciona correctamente. Para ello, abra Internet Explorer. En la barra de
direcciones, escriba http://adfsweb. Si aparece el sitio del portal de Trey
Research, realice el procedimiento siguiente.
Si aparece el mensaje de error "No está autorizado a ver esta página", abra
las propiedades del sitio Web predeterminado de IIS. Asegúrese de que se ha
seleccionado Autenticación de Windows integrada en el cuadro de diálogo
Seguridad de directorios\Autenticación y control de acceso\Editar\Métodos
de autenticación.
Nota
Las credenciales administrativas ya se han asignado a la cuenta terrya. Ya ha
identificado esta cuenta en el procedimiento anterior al crear el portal.
Nota
Al activar la casilla de verificación Miembro se habilitan los usuarios
federados señalados en el bosque adatum.com para crear su propia
área personal en el portal de Trey Research con la funcionalidad Mi sitio
de SharePoint Portal Server.
Finalizar.
5. Haga clic en Equipo local: (el equipo en el que se está ejecutando esta
Guía paso a paso para la implementación de ADFS 90
Nota
Puede que necesite asignar la unidad de red para obtener el archivo
adfsweb.cer. También puede copiar el archivo adfsweb.cer directamente
desde el equipo adfsweb a spsindex y, a continuación, apuntar el
asistente a dicha ubicación.
Utilice el siguiente procedimiento para agregar una entrada al archivo de hosts local del
equipo spsindex de modo que la dirección IP de spsweb se resuelva para las consultas
realizadas para el nombre adfsweb.
c:\winnt\system32\drivers\etc.
192.168.1.5 adfsweb
Nota
En un entorno de producción, debe modificar el archivo web.config, según se
muestra en este procedimiento, en cada servidor Web de aplicaciones para
usuario en que se haya habilitado el agente Web de ADFS.
<appSettings>
</appSettings>
2. En el árbol de la consola, haga doble clic en ADFSWEB, haga clic con el botón
secundario en Sitio Web predeterminado y, a continuación, haga clic en
Propiedades.
Nota
Para realizar los siguientes procedimientos de prueba, compruebe si la
Dirección URL de la aplicación especificada en la sección de
aplicaciones basadas en autorización token para el Servicio de
federación de Trey Research se ha configurado para https://adfsweb/ y
no para https://adfsweb.treyresearch.net/.
Obtener acceso al sitio del portal de Trey Research como Terrya y configurar la
búsqueda e indización
4. En este punto, debe poder ver el sitio del portal de Trey Research. Debe tener
acceso de lectura y poder agregar listas, crear sitios de grupo, cargar
documentos y crear un sitio personal para Adamcar. Para crear un sitio personal
para Adamcar, haga clic en el vínculo Mi sitio en la parte superior derecha de la
página del portal.
5. Cierre la sesión iniciada como Adamcar e inicie una sesión como Alansh. Repita
los pasos 2 a 4 de este procedimiento. Tenga en cuenta que la estructura del
Guía paso a paso para la implementación de ADFS 94
sitio de SharePoint Portal Server 2003 se muestra, pero Alan no tiene permiso
para leer el contenido del sitio Web.
Para obtener acceso al sitio del portal de Trey Research como Terrya y
configurar la búsqueda e indización
1. Abra una ventana del explorador y elimine las cookies.
Nota
El proceso de rastreo se utiliza para generar el índice. Por lo tanto, al
agregar el contenido al sitio del portal, debe realizar como mínimo un
rastreo incremental para ver el contenido nuevo que aparece en los
resultados de la búsqueda.
7. Para volver a tener acceso al sitio Web con las credenciales de Adam, vuelva a
cambiar el territorio principal a A. Datum. Para cambiar el territorio principal:
6. Vuelva a obtener acceso a este sitio con los permisos de acceso de Terrya y
vuelva a iniciar la actualización del contenido del portal según se indica en el
último procedimiento. Una vez completado el rastreo correctamente, vuelva a
obtener acceso al sitio con los permisos de acceso de Adamcar y, a
continuación, busque ADFS.
Importante
Para implementar Windows SharePoint Services o SharePoint Portal
Server 2003 en un entorno de producción, debe saber primero qué funcionalidad
de SharePoint es compatible con ADFS. Primero, lea el artículo 912492 sobre
los límites de compatibilidad de Windows SharePoint Services y SharePoint
Portal Server 2003 para los Servicios de federación de Active Directory en el sitio
Web de Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?
LinkId=58576, en inglés), donde se analizan las características de SharePoint
compatibles y no compatibles con ADFS. Además, consulte las instrucciones del
Apéndice B: Deshabilitar funcionalidad de SharePoint no compatible de esta
Guía paso a paso para la implementación de ADFS 96
Debido a las limitaciones por lo que respecta al modo en que ADFS procesa las
solicitudes realizadas a las aplicaciones de Microsoft Office, puede que desee ocultar o
quitar la funcionalidad de SharePoint no compatible de la vista de los usuarios en un
entorno de producción. El hecho de quitar una característica de la interfaz de usuario
expuesta de SharePoint impide a los usuarios utilizar las características que no
funcionan y ayuda a evitar las llamadas al soporte técnico no deseadas.
Nota
En este apéndice se incluyen los pasos necesarios para quitar algunas de las
características de Microsoft Office integradas de un sitio Web de SharePoint
federado. Para obtener más información acerca de otras características no
compatibles de Microsoft Office que se pueden quitar de Windows SharePoint
Services y SharePoint Portal Server, vea el artículo 912492 sobre los límites de
compatibilidad de Windows SharePoint Services y SharePoint Portal
Server 2003 para los Servicios de federación de Active Directory, en el sitio Web
de Microsoft Knowledge (http://go.microsoft.com/fwlink/?LinkId=58576).
Guía paso a paso para la implementación de ADFS 97
Para solucionar este problema, se puede dirigir al usuario para que guarde el documento
localmente y lo vuelva a cargar a continuación en el servidor mediante el explorador.
Para evitar problemas al usuario en el entorno de producción, se recomienda deshabilitar
la funcionalidad de edición en la aplicación de Office en SharePoint Portal Server 2003.
f. Cuando se le pida que cambie la extensión del nombre de archivo, haga clic
en Sí.
1. Guarde el archivo.
2. Para repetir los mismos pasos con otras aplicaciones de Microsoft Office,
busque la extensión de la aplicación de Office correspondiente (por ejemplo,
Mapping Key="xls") en la sección <ByExtension> y quite el texto no deseado
de la línea de código.
Nota
Al modificar htmltransinfo.xml con este cambio se impide que los
usuarios federados reciban mensajes de error al abrir un documento de
Microsoft Word almacenado en una biblioteca de documentos de
SharePoint.
Guía paso a paso para la implementación de ADFS 100
5. Para repetir el paso anterior con otras aplicaciones de Microsoft Office, busque
la extensión de la aplicación de Office correspondiente (por ejemplo, Mapping
Extension="doc") y quite el texto no deseado de la línea de código
(SharePoint.OpenDocuments.2).
6. Guarde el archivo.
Nota
Los procedimientos de este apéndice son opcionales.
2. En el árbol de la consola, haga doble clic en adfsweb y en Sitios Web, haga clic
con el botón secundario en Sitio Web predeterminado y, a continuación, haga
clic en Propiedades.
Nota
También puede copiar el archivo adfsresource.cer directamente desde el
equipo adfsresource a adfsweb y, a continuación, apuntar el asistente a
dicha ubicación.
Para ver o quitar estos certificados del cliente, abra una ventana del explorador. En el
menú Herramientas, haga clic en Opciones de Internet. En la ficha Contenido, haga
clic en Certificados y, a continuación, en la ficha Entidades emisoras de certificados
raíz de confianza.