Procedimiento para configurar AD FS v 2.0 en SharePoint Server 2010
Se aplica a: SharePoint Foundation 2010, SharePoint Server 2010
Última modificación del tema: 2016-12-08
En los procedimientos de este artículo se describe cómo configurar Servicios de federación de Active Directory (AD FS) versión 2.0 en Microsoft SharePoint Server 2010.
Puede usar AD FS 2.0 con el sistema operativo Windows Server 2008 para crear una solución de administración de identidad federada que extienda los servicios de autorización, autenticación e identificación distribuidos a las aplicaciones web que se encuentran fuera de los límites de la plataforma y de la organización. Mediante la implementación de AD FS 2.0, podrá extender las capacidades de administración de identidades existentes de la organización a Internet.
En este artículo, AD FS v2 es el proveedor de identidades, también conocido como IP-STS (servicio de token de seguridad). AD FS proporcionará autenticación basada en notificaciones. Para comenzar, AD FS debe configurarse con información sobre el usuario de confianza, en este caso, SharePoint Server 2010. Desde la perspectiva de Productos de Microsoft SharePoint 2010, AD FS debe configurarse de modo que confíe en el IP-STS que está enviando una asignación basada en notificaciones. Finalmente, se crean una aplicación web y una colección de sitios que usarán el nivel de autenticación basada en notificaciones.
Nota
Debe instalar y configurar un servidor que ejecute Servicios de federación de Active Directory (AD FS) 2.0 antes de realizar los procedimientos de este artículo. Para obtener información sobre la configuración de un servidor para que ejecute AD FS 2.0, vea la Guía de implementación de AD FS 2.0 (https://go.microsoft.com/fwlink/?linkid=191723&clcid=0xC0A).
En el siguiente vídeo se describe paso a paso el proceso para configurar la versión 2.0 de los Servicios de federación de Active Directory (AD FS) en Microsoft SharePoint Server 2010.
Tiempo de ejecución: 9:43 |
Vea el vídeo " Configuración de SharePoint Server 2010 con notificaciones de confianza de AD FS" Para obtener una experiencia de visualización óptima, descargue el vídeo "Configuración de SharePoint Server 2010 con notificaciones de confianza de AD FS". Haga clic con el botón secundario en el vínculo y, a continuación, haga clic en Guardar destino como para descargar una copia. Al hacer clic en el vínculo, se abrirá un archivo .wmv en el visor de vídeos predeterminado para ver el vídeo en alta resolución. |
En este artículo:
Configuración de un usuario de confianza
Configuración de la regla de notificaciones
Exportación del certificado de firma de tokens
Exportación de varios certificados primarios
Importación de un certificado de firma de tokens mediante Windows PowerShell
Definición de un identificador único para la asignación de notificaciones mediante Windows PowerShell
Creación de un nuevo proveedor de autenticación
Asociación de una aplicación web con un proveedor de identidades de confianza
Creación de una colección de sitios
Nota
Los pasos enumerados en este artículo deben completarse en orden consecutivo.
Configuración de un usuario de confianza
Use el procedimiento de esta sección para configurar un usuario de confianza. El usuario de confianza define el modo en que AD FS reconoce al usuario de confianza y le emite notificaciones.
Para configurar un usuario de confianza
Compruebe que la cuenta de usuario que realiza este procedimiento pertenece al grupo Administradores del equipo local. Para obtener información adicional sobre cuentas y pertenencias a grupos, vea Local and Domain Default Groups
Abra la consola de administración de los Servicios de federación de Active Directory (ADFS) 2.0.
En el panel izquierdo, expanda Relaciones de confianza y, a continuación, haga doble clic en la carpeta Confianzas del usuario de confianza.
En el panel derecho, haga clic en Agregar confianza del usuario de confianza. Se abrirá el asistente para configuración de Servicios de federación de Active Directory (ADFS) 2.0.
En la página Éste es el Asistente para agregar confianzas del usuario de confianza, haga clic en Inicio.
Seleccione Escribir los datos del usuario de confianza de forma manual y, a continuación, haga clic en Siguiente.
Escriba el nombre del usuario de confianza y haga clic en Siguiente.
Asegúrese de que Perfil del servidor de Servicios de federación de Active Directory (AD FS) 2.0 esté seleccionado y haga clic en Siguiente.
No use un certificado de cifrado. Haga clic en Siguiente.
Haga clic para activar la casilla de verificación Habilitar compatibilidad con el protocolo pasivo de WS-Federation.
En el campo Dirección URL de protocolo pasivo de WS-Federation, escriba el nombre de la dirección URL de la aplicación web y anexe /_trust/ (por ejemplo, https://nombreDeAplicaciónWeb/_trust/). Haga clic en Siguiente.
Nota
El nombre de la dirección URL debe usar la Capa de sockets seguros (SSL).
Escriba el nombre del identificador de confianza del usuario de confianza (por ejemplo, urn:sharepoint:nombreDeAplicaciónWeb) y haga clic en Agregar. Haga clic en Siguiente.
Seleccione Permitir a todos los usuarios obtener acceso a este usuario de confianza. Haga clic en Siguiente.
En la página Listo para agregar confianza, no se requiere ninguna acción; haga clic en Siguiente.
En la página Finalizar, haga clic en Cerrar. Se abrirá la consola de administración del editor de reglas. Use esta consola para configurar la asignación de notificaciones desde una aplicación web LDAP a SharePoint Server 2010.
Configuración de la regla de notificaciones
Use el procedimiento de este paso para enviar valores de un atributo del protocolo ligero de acceso a directorios (LDAP) como notificaciones y para especificar cómo se asignarán los atributos al tipo de notificación saliente.
Para configurar una regla de notificaciones
Compruebe que la cuenta de usuario que realiza este procedimiento pertenece al grupo Administradores del equipo local. Para obtener información adicional sobre cuentas y pertenencias a grupos, vea Local and Domain Default Groups
En la ficha Reglas de transformación de emisión, haga clic en Agregar regla.
En la página Seleccionar plantilla de regla, seleccione Enviar atributos LDAP como notificaciones. Haga clic en Siguiente.
En la página Configurar regla, escriba el nombre de la regla de notificaciones en el campo Nombre de regla de notificaciones.
En la lista desplegable Almacén de atributos, seleccione Active Directory.
En la sección Asignación de atributos LDAP a tipos de notificaciones salientes, en Atributo LDAP, seleccione Direcciones de correo electrónico.
En Tipo de notificación saliente, seleccione Dirección de correo electrónico.
En Atributo LDAP, seleccione Nombres no completos de grupos de token.
En Tipo de notificación saliente, seleccione Rol.
Haga clic en Finalizar y, a continuación, en Aceptar.
Exportación del certificado de firma de tokens
Use el procedimiento descrito en esta sección para exportar el certificado de firma de tokens del servidor de AD FS con el que desea establecer una relación de confianza y, a continuación, copie el certificado a una ubicación a la que SharePoint Server 2010 tenga acceso.
Para exportar un certificado de firma de tokens
Compruebe que la cuenta de usuario que realiza este procedimiento pertenece al grupo Administradores del equipo local. Para obtener información adicional sobre cuentas y pertenencias a grupos, vea Local and Domain Default Groups
Abra la consola de administración de los Servicios de federación de Active Directory (ADFS) 2.0.
En el panel izquierdo, haga clic para expandir Servicio y, a continuación, haga clic en la carpeta Certificados.
En Firma de tokens, haga clic en el certificado de token principal como se indica en la columna Principal.
En el panel derecho, haga clic en Ver vínculo del certificado. Se mostrarán las propiedades del certificado.
Haga clic en la pestaña Detalles.
Haga clic en Copiar al archivo. Se iniciará el Asistente para exportación de certificados.
En la página Éste es el Asistente para exportación de certificados, haga clic en Siguiente.
En la página Exportar la clave privada, haga clic en No exportar la clave privada y, a continuación, haga clic en Siguiente.
En la página Formato de archivo de exportación, seleccione DER binario codificado X.509 (.CER) y, a continuación, haga clic en Siguiente.
En la página Archivo para exportar, escriba el nombre y la ubicación del archivo que desea exportar y, a continuación, haga clic en Siguiente. Por ejemplo, escriba C:\ADFS.cer.
En la página Finalización del Asistente para exportación de certificados, haga clic en Finalizar.
Exportación de varios certificados primarios
Para completar la configuración del servidor de AD FS, copie el archivo .CER en el equipo que ejecuta AD FS.
Es posible que el certificado de firma de tokens tenga uno o varios certificados primarios en su cadena. En este caso, cada certificado de esa cadena debe agregarse a la lista de entidades de certificación raíz de confianza de SharePoint Server.
Para determinar si existen uno o varios certificados primarios, siga los siguientes pasos.
Nota
Estos pasos deben repetirse hasta que se hayan exportado todos los certificados hasta el certificado de entidad de certificación raíz.
Para exportar varios certificados primarios
Compruebe que la cuenta de usuario que realiza este procedimiento pertenece al grupo Administradores del equipo local. Para obtener información adicional sobre cuentas y pertenencias a grupos, vea Local and Domain Default Groups
Abra la consola de administración de los Servicios de federación de Active Directory (ADFS) 2.0.
En el panel izquierdo, haga clic para expandir Servicio y, a continuación, haga clic en la carpeta Certificados.
En Firma de tokens, haga clic en el certificado de token principal como se indica en la columna Principal.
En el panel derecho, haga clic en Ver vínculo del certificado. Se mostrarán las propiedades del certificado.
Haga clic en la pestaña Certificación.
Se mostrarán todos los demás certificados de la cadena.
Haga clic en la pestaña Detalles.
Haga clic en Copiar al archivo. Se iniciará el Asistente para exportación de certificados.
En la página Éste es el Asistente para exportación de certificados, haga clic en Siguiente.
En la página Exportar la clave privada, haga clic en No exportar la clave privada y, a continuación, haga clic en Siguiente.
En la página Formato de archivo de exportación, seleccione DER binario codificado X.509 (.CER) y, a continuación, haga clic en Siguiente.
En la página Archivo para exportar, escriba el nombre y la ubicación del archivo que desea exportar y, a continuación, haga clic en Siguiente. Por ejemplo, escriba C:\ADFS.cer.
En la página Finalización del Asistente para exportación de certificados, haga clic en Finalizar.
Importación de un certificado de firma de tokens mediante Windows PowerShell
Use esta sección para importar los certificados de firma de tokens a la lista de entidades de certificación raíz de confianza que reside en el servidor de SharePoint. Este paso debe repetirse para cada certificado de firma de tokens de la cadena hasta alcanzar el certificado de entidad de certificación raíz.
Para importar un certificado de firma de tokens mediante Windows PowerShell
Compruebe que cumple los siguientes requisitos mínimos: Consulte Add-SPShellAdmin.
En el menú Inicio, haga clic en Todos los programas.
Haga clic en Productos de Microsoft SharePoint 2010.
Haga clic en Consola de administración de SharePoint 2010.
Desde el símbolo del sistema de Windows PowerShell, importe el certificado primario del certificado de firma de tokens (es decir, el certificado de entidad de certificación raíz), como se muestra en la siguiente sintaxis:
$root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfsParent.cer") New-SPTrustedRootAuthority -Name "Token Signing Cert Parent" -Certificate $root
Desde el símbolo del sistema de Windows PowerShell, importe el certificado de firma de tokens que copió del servidor de AD FS, como se muestra en la siguiente sintaxis:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfs.cer ") New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert
Para obtener información adicional acerca del cmdlet New-SPTrustedRootAuthority, vea New-SPTrustedRootAuthority
Definición de un identificador único para la asignación de notificaciones mediante Windows PowerShell
Use el procedimiento de esta sección para definir un identificador único para la asignación de notificaciones. Por lo general, esta información se encuentra en el formato de una dirección de correo electrónico y deberá proporcionarla el administrador del STS de confianza, ya que solo el propietario del STS conoce qué tipo de notificación será siempre única para cada usuario.
Para definir un identificador único para la asignación de notificaciones mediante Windows PowerShell
Compruebe que cumple los siguientes requisitos mínimos: Consulte Add-SPShellAdmin.
En el menú Inicio, haga clic en Todos los programas.
Haga clic en Productos de Microsoft SharePoint 2010.
Haga clic en Consola de administración de SharePoint 2010.
Desde el símbolo del sistema de Windows PowerShell, cree una asignación de notificación de identidad, como se muestra en la siguiente sintaxis:
$map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Desde el símbolo del sistema de Windows PowerShell, cree la asignación de notificación de rol, como se muestra en la siguiente sintaxis:
$map2 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming
Para obtener información adicional acerca del cmdlet New-SPClaimTypeMapping, vea New-SPClaimTypeMapping
Creación de un nuevo proveedor de autenticación
Use el procedimiento de esta sección para crear un nuevo SPTrustedIdentityTokenIssuer.
Para crear un nuevo proveedor de autenticación mediante Windows PowerShell
Compruebe que cumple los siguientes requisitos mínimos: Consulte Add-SPShellAdmin.
En el menú Inicio, haga clic en Todos los programas.
Haga clic en Productos de Microsoft SharePoint 2010.
Haga clic en Consola de administración de SharePoint 2010.
Desde el símbolo del sistema de Windows PowerShell, cree un nuevo proveedor de autenticación, como se muestra en la siguiente sintaxis.
Nota
La variable
$realm
define el STS de confianza que identifica una granja de servidores de SharePoint específica y la variable$cert
es la que se usó en la sección Importación de un certificado de firma de tokens mediante Windows PowerShell. El parámetro SignInUrl corresponde al servidor de AD FS.$realm = "urn:sharepoint:WebAppName" $ap = New-SPTrustedIdentityTokenIssuer -Name "SAML Provider" -Description "SharePoint secured by SAML" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://congen1.contoso.local/adfs/ls" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
Para obtener información adicional acerca del cmdlet New-SPTrustedIdentityTokenIssuer, vea New-SPTrustedIdentityTokenIssuer
Asociación de una aplicación web con un proveedor de identidades de confianza
Para configurar una aplicación web existente de modo que use el inicio de sesión de SAML, debe modificarse el proveedor de identidades de confianza en la sección del tipo de autenticación de notificaciones.
Para configurar una aplicación web existente de modo que use el proveedor de SAML
Compruebe que la cuenta de usuario que está realizando este procedimiento pertenece al grupo de administradores del conjunto o granja de servidores de SharePoint.
En Administración central, en la página principal, haga clic en Administración de aplicaciones.
En la página Administración de aplicaciones, en la sección Aplicaciones web, haga clic en Administrar aplicaciones web.
Haga clic para seleccionar la aplicación web apropiada.
En la cinta de opciones, haga clic en Proveedores de autenticación.
En Zona, haga clic en el nombre de la zona. Por ejemplo, Predeterminada.
En la página Editar autenticación de la sección Tipos de autenticación de notificaciones, haga clic para activar la casilla de verificación del nuevo proveedor de identidades de confianza.
Si necesita crear una aplicación web y configurarla de modo que use el inicio de sesión de SAML, vea la sección Creación y configuración de una nueva aplicación web de SharePoint para que use el inicio de sesión basado en SAML.
Creación de una colección de sitios
El paso final consiste en crear una colección de sitios de SharePoint y asignarle un propietario. Recuerde que al agregar un administrador de la colección de sitios, debe escribir el nombre en el formato de su notificación de identidad. Por ejemplo, en este artículo, la notificación de identidad es una dirección de correo electrónico. Para obtener más información, vea Creación de una colección de sitios (SharePoint Server 2010).