Active Directory Federation Services (AD FS) 2.0 proporciona asistencia para soluciones de identidad con notificaciones que engloban la tecnología de Windows Server y Active Directory. AD FS 2.0 es compatible con los protocolos de WS-Trust, WS-Federation y lenguaje de marcado de aserción de seguridad (SAML).

Esta sección describe cómo configurar AD FS 2.0 como un servidor de SAML para trabajar con Hosted Email Security. Cerciórese de haber instalado AD FS 2.0 correctamente.

  1. Vaya a Inicio > Todos los programas > Herramientas administrativas > Administración de ADFS 2.0.
  2. En la consola de administración de AD FS, vaya a AD FS 2.0 > Relaciones de confianza, haga clic con el botón derecho en Veracidades de usuarios de confianza y, a continuación, seleccione Agregar veracidad del usuario de confianza.
  3. Complete los ajustes de cada pantalla del asistente Agregar veracidad del usuario de confianza.
    1. En la pantalla de bienvenida, haga clic en Inicio.
    2. En la pantalla Seleccionar origen de datos, seleccione Escribir manualmente los datos sobre el usuario de confianza y haga clic en Siguiente.
    3. En la pantalla Especificar nombre para mostrar, especifique un nombre para mostrar como, por ejemplo, prueba, y haga clic en Siguiente.
    4. En la pantalla Elegir perfil, seleccione Perfil de AD FS 2.0 y haga clic en Siguiente.
    5. En la pantalla Configurar certificado haga clic en Siguiente.
      Nota:

      No se precisa ningún certificado de encriptación y HTTPS se usará para la comunicación entre Hosted Email Security y los servidores de federación.

    6. En la pantalla Configurar URL, seleccione Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO, escriba la URL de servicio de SSO de SAML 2.0 del usuario de confianza y, a continuación, haga clic en Siguiente.
      Nota:

      Especifique la URL de servicio de SSO de SAML 2.0 para su región como se indica a continuación:

      • Europa, Oriente Próximo y África: https://euq.hes.trendmicro.eu/uiserver/euq/ssoAssert

      • Otras regiones: https://euq.hes.trendmicro.com/uiserver/euq/ssoAssert

    7. En la pantalla Configurar identificadores, escriba el identificador de la veracidad del usuario de confianza, haga clic en Agregar y, a continuación, haga clic en Siguiente.
      Nota:

      Especifique el identificador de la veracidad del usuario de confianza para su región como se indica a continuación:

      • Europa, Oriente Próximo y África: https://euq.hes.trendmicro.eu/uiserver/euq/ssoLogin

      • Otras regiones: https://euq.hes.trendmicro.com/uiserver/euq/ssoLogin

    8. A continuación, haga clic en Siguiente en el asistente y, por último, haga clic en Cerrar.
  4. En el cuadro de diálogo Editar regla de notificaciones para la prueba, haga clic en Agregar regla en la pestaña Reglas de transformación de emisión.
  5. Complete los ajustes de cada pantalla del asistente para agregar regla de notificación de transformación.
    1. En la pantalla Seleccionar plantillas de regla, seleccione Enviar atributos LDAP como notificaciones para Plantilla de regla de notificación y haga clic en Siguiente.
    2. Especifique un nombre de regla de notificación y seleccione Active Directory para Almacén de atributos.
    3. Seleccione los atributos LDAP y especifique un tipo de notificación saliente para cada atributo, por ejemplo, seleccione E-Mail-Addresses y especifique correo electrónico.
      Nota:

      Al configurar los ajustes del servidor de federación en Hosted Email Security, cerciórese de usar los mismos tipos de notificaciones especificados en la columna Tipo de notificación saliente.

    4. Haga clic en Finalizar.
    5. Haga clic en Aceptar para cerrar el asistente.
  6. Desde AD FS 2.0 > Relaciones de confianza > Veracidad de usuarios de confianza, haga doble clic en el archivo de veracidad de usuarios de confianza que ha creado previamente.
    1. En el cuadro de diálogo Propiedades de la prueba, haga clic en la pestaña Avanzado.
    2. Seleccione SHA1 en la lista desplegable Algoritmo de hash seguro y haga clic en Finalizar.
  7. Verifique sus configuraciones.
    1. Abra un navegador web (preferiblemente Internet Explorer), escriba https://AD_FS_host_name/adfs/ls/IdpInitiatedSignon.aspx en la barra de direcciones y, a continuación, pulse Intro.
      Nota:

      Al escribir la URL, sustituya nombre_de_host_de_ADFS por el nombre de host o la dirección IP del servidor en el que haya configurado AD FS.

    2. En la pantalla Página de inicio de sesión, haga clic en Inicie sesión en este sitio y haga clic en Continuar iniciando sesión.

      Si se muestra un mensaje que indica que ha iniciado sesión, su configuración es correcta; se le redirigirá al servidor de ADFS.

      Si el inicio de sesión no se realiza correctamente, compruebe las configuraciones que ha realizado anteriormente.

  8. Recopile la URL de inicio de sesión único y un certificado para la validación de la firma en AD FS.
    1. En la consola de administración de AD FS, vaya a AD FS 2.0 > Servicio > Extremos.
    2. Busque SAML 2.0/WS-Federation, escriba el extremo y recopile la URL desde sus propiedades.
    3. Vaya a AD FS 2.0 > Servicio > Certificados.
    4. Busque el certificado de firma de tokens, haga clic en el botón derecho y, a continuación, seleccione Ver certificado.
    5. Haga clic en la pestaña Detalles y haga clic en Copiar a archivo.
    6. Mediante el asistente para exportación de certificados, seleccione X.509 codificado base 64 (.CER).
    7. Asigne un nombre al archivo para completar la exportación del certificado en un archivo.
Tema principal: Acerca de los métodos de inicio de sesión