Buen día,
La idea del día de hoy es hacer un laboratorio de prueba para probar la característica Workplace join de Windows Server 2012 R2.
La función de esta característica es poder realizar Single-Sign-On desde dispositivos IOs y Android para consumir datos y servicios en nuestra red corporativa, dado que estos dispositivos no pueden ser incluidos como objetos en nuestro Active Directory.
Para poder realizar este laboratorio vamos a necesitar tener un dominio de Active Directory, también necesitaremos implementar Active Directory Federation Services y Active Directory Certification Services, este ultimo para emitir certificados internamente en nuestra organización.
En mi caso ya tengo un laboratorio con un dominio creado y el controlador de dominio correspondiente, también eh implementado el rol de Active Directory Certificate Services para los certificados. El foco principal que quiero abordar aquí son los pasos correspondientes a la implementación de la característica Workplace join.
No tengo en mi blog una guía para instalar un dominio o el rol de certificados, pero los animo a buscar por Internet alguna guía paso a paso, hay una gran cantidad disponibles en la web.
Luego de tener nuestro dominio, nos vendrá bien crear una cuenta de usuario de prueba con privilegios normales.
Creamos una group Managed Service Account (GMSA) que luego vamos a utilizar durante la instalación y configuración del rol Active Directory Federation Services
New-ADServiceAccount FsGmsa -DNSHostName fed.cds.local -ServicePrincipalNames http/fed.cds.local
Luego de ejecutar el anterior comando debemos habilitar una configuración a nivel de interfaz gráfica.
Abrir la consola de administración de servicios de federación (AD FS Management)
Editar la configuración "Global Primary Authentication"
Habilitar el checkbox "Enable device authentication"
La idea del día de hoy es hacer un laboratorio de prueba para probar la característica Workplace join de Windows Server 2012 R2.
La función de esta característica es poder realizar Single-Sign-On desde dispositivos IOs y Android para consumir datos y servicios en nuestra red corporativa, dado que estos dispositivos no pueden ser incluidos como objetos en nuestro Active Directory.
Para poder realizar este laboratorio vamos a necesitar tener un dominio de Active Directory, también necesitaremos implementar Active Directory Federation Services y Active Directory Certification Services, este ultimo para emitir certificados internamente en nuestra organización.
En mi caso ya tengo un laboratorio con un dominio creado y el controlador de dominio correspondiente, también eh implementado el rol de Active Directory Certificate Services para los certificados. El foco principal que quiero abordar aquí son los pasos correspondientes a la implementación de la característica Workplace join.
No tengo en mi blog una guía para instalar un dominio o el rol de certificados, pero los animo a buscar por Internet alguna guía paso a paso, hay una gran cantidad disponibles en la web.
Luego de tener nuestro dominio, nos vendrá bien crear una cuenta de usuario de prueba con privilegios normales.
Creamos una group Managed Service Account (GMSA) que luego vamos a utilizar durante la instalación y configuración del rol Active Directory Federation Services
Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
En mi caso el nombre del servidor con el rol de Active Directory Federation Services es "FED" y nuestro dominio es "CDS.LOCAL"
Debemos instalar un certificado en la carpeta de certificados Personales a nivel de Computadora en el store local de certificados de nuestro servidor con el rol de Federation Services. El tipo de Certificado que necesitamos es "Web Server" y necesitamos definir los siguientes atributos:
Durante la configuración del rol de Active Directory Federation Services vamos a seleccionar el certificado instalado anteriormente como certificado para autenticación y como nombre del servicio de federación vamos a configurar el mismo que el subject name del certificado.
Luego vamos a correr los siguientes comandos en una consola de powershell en el servidor con el rol de Active Directory Federation Services.
Initialize-ADDeviceRegistration
Cuando nos pida la cuenta de servicio escribiremos la que generamos antes, en nuestro caso "cds\fsgmsa$"
En el paso siguiente habilitaremos el registro de Dispositivos con el siguiente comando:
Enable-ADFSDeviceRegistration
- Subject Name (Common Name): fed.cds.local
- Subject Alternative Name (DNS): fed.cds.local
- Subject Alternative Name (DNS): enterpriseregistration.cds.local
Durante la configuración del rol de Active Directory Federation Services vamos a seleccionar el certificado instalado anteriormente como certificado para autenticación y como nombre del servicio de federación vamos a configurar el mismo que el subject name del certificado.
Luego vamos a correr los siguientes comandos en una consola de powershell en el servidor con el rol de Active Directory Federation Services.
Initialize-ADDeviceRegistration
Cuando nos pida la cuenta de servicio escribiremos la que generamos antes, en nuestro caso "cds\fsgmsa$"
En el paso siguiente habilitaremos el registro de Dispositivos con el siguiente comando:
Enable-ADFSDeviceRegistration
Luego de ejecutar el anterior comando debemos habilitar una configuración a nivel de interfaz gráfica.
Abrir la consola de administración de servicios de federación (AD FS Management)
Editar la configuración "Global Primary Authentication"
Habilitar el checkbox "Enable device authentication"