Aplicaciones de usuario de confianza
Actualizado: 19 de junio de 2015
Se aplica a: Azure
Una aplicación de usuario de confianza (también conocida como una aplicación compatible con notificaciones o una aplicación basada en notificaciones) es una aplicación o servicio que se basa en notificaciones para la autenticación. En Microsoft Azure Active Directory Access Control (también conocido como servicio de Access Control o ACS), una aplicación de usuario de confianza es un sitio web, una aplicación o un servicio que usa ACS para implementar la autenticación federada.
Puede crear y configurar las aplicaciones de usuario de confianza manualmente, mediante el Portal de administración de ACS o mediante programación, mediante el servicio de administración de ACS.
En el Portal de administración de ACS, la aplicación de usuario de confianza que agrega y configura es una representación lógica del sitio web, la aplicación o el servicio que confía en un espacio de nombres de Access Control específico. Puede agregar y configurar muchas aplicaciones de usuario de confianza en cada Access Control espacio de nombres.
Configuración del Portal de administración de ACS
Puede usar el Portal de administración de ACS para configurar las siguientes propiedades de una aplicación de usuario de confianza:
Modo
Dominio kerberos y dirección URL de retorno
URL del error (opcional)
Formato de tokens
Directiva de cifrado de tokens
Vigencia del token
Proveedores de identidades
Grupos de reglas
Firma de tokens
Cifrado de tokens
Modo
La propiedad Mode determina si configura los ajustes de aplicación de usuario de confianza manualmente o especifica un documento de metadatos de WS-Federation que define la configuración de la aplicación.
Normalmente, un documento de metadatos de WS-Federation contiene un dominio kerberos de una aplicación y una dirección URL de retorno. También puede incluir un certificado de cifrado opcional que se utiliza para cifrar los tokens que emite ACS para la aplicación. Si se especifica un documento de WS-Federation y los metadatos contienen un certificado de cifrado, la configuración de directiva de cifrado de tokens tiene como valor predeterminado Requerir cifrado. Si el valor de la configuración de la Directiva de cifrado de tokens es Requerir cifrado, pero el documento de metadatos de WS-Federation no incluye un certificado de cifrado, debe cargar manualmente un certificado de cifrado.
Si la aplicación de usuario de confianza se integra con Windows Identity Foundation (WIF), WIF crea automáticamente un documento de metadatos de WS-Federation para su aplicación.
Dominio kerberos y dirección URL de retorno
La propiedad Realm define el URI en el que los tokens emitidos por ACS son válidos. La dirección URL de retorno (también conocida como dirección ReplyTo) define la dirección URL a la que se envían los tokens emitidos por ACS. Cuando se solicita un token para el acceso a la aplicación de usuario de confianza, ACS emite el token solo cuando el dominio de la solicitud de token coincide con el dominio de la aplicación de usuario de confianza.
Importante
En ACS, los valores de dominio kerberos distinguen mayúsculas de minúsculas.
En el Portal de administración de ACS, solo puede configurar un dominio kerberos y una dirección URL de devolución en cada espacio de nombres Access Control. En el caso más simple, el dominio kerberos y la URL de retorno son idénticos. Por ejemplo, si el URI raíz de la aplicación es https://contoso.com, la dirección URL de dominio y devolución de la aplicación de usuario de confianza son https://contoso.com.
Para configurar más de una dirección URL de retorno (dirección ReplyTo) para una aplicación de usuario de confianza, use la entidad RelyingPartyAddress en el servicio de administración de ACS.
Cuando se solicita un token desde ACS o un token se publica en ACS desde un proveedor de identidades, ACS compara el valor de dominio de la solicitud de token con los valores de dominio de las aplicaciones de usuario autenticado. Si la solicitud de token usa WS-Federation protocolo, ACS usa el valor realm en el parámetro wtrealm . Si el token usa el protocolo OAuth WRAP, ACS usa el valor de dominio en el parámetro applies_to . Si ACS encuentra un dominio kerberos coincidente en la configuración de una aplicación de usuario de confianza, crea un token que autentica al usuario en la aplicación de usuario de confianza y envía el token a la dirección URL de devolución.
El proceso es similar cuando el usuario de confianza tiene más de una dirección URL de retorno. ACS obtiene la dirección URL de redireccionamiento del parámetro wreply . Si la dirección URL de redireccionamiento es una de las direcciones URL de retorno para la aplicación de usuario de confianza, ACS envía la respuesta a esa dirección URL.
Los valores de dominio kerberos distinguen mayúsculas de minúsculas. El token se emite solo si los valores del dominio kerberos son idénticos o el valor del dominio kerberos para la aplicación de usuario de confianza es un prefijo del dominio kerberos de la solicitud de tokens. Por ejemplo, el valor de dominio de la aplicación de usuario de confianza de coincide con un valor de http://www.fabrikam.com dominio de solicitud de token de http://www.fabrikam.com/billing, pero no coincide con un dominio de solicitud de token v de https://fabrikam.com.
URL del error (opcional)
La dirección URL de error especifica una dirección URL a la que ACS redirige a los usuarios si se produce un error durante el proceso de inicio de sesión. Es una propiedad opcional de la aplicación de usuario de confianza.
El valor de dirección URL de error puede ser una página personalizada hospedada por la aplicación de usuario de confianza, como http://www.fabrikam.com/billing/error.aspx. Como parte del redireccionamiento, ACS proporciona detalles sobre el error a la aplicación de usuario de confianza como un parámetro de dirección URL HTTP codificado en JSON. Es posible crear la página de error personalizada para interpretar la información de error con codificación JSON, representar el mensaje de error real recibido o para mostrar texto de ayuda estático.
Para obtener más información sobre el uso de la dirección URL de error, vea Ejemplo de código: ASP.NET Simple MVC 2.
Formato de tokens
La propiedad Formato de token determina el formato de los tokens que emite ACS para la aplicación de usuario de confianza. ACS puede emitir tokens SAML 2.0, SAML 1.1, SWT o JWT. Para obtener más información sobre los formatos de token, consulte Formatos de token admitidos en ACS.
ACS usa protocolos estándar para devolver los tokens a una aplicación o servicio web. Cuando se admite más de un protocolo para un formato de token, ACS usa el mismo protocolo que se usó para la solicitud de token. ACS admite las siguientes combinaciones de formato o protocolo de token:
ACS puede devolver tokens SAML 2.0 mediante WS-Trust y protocolos de WS-Federation.
ACS puede devolver tokens SAML 1.1 mediante WS-Federation y protocolos de WS-Trust relacionados.
ACS puede devolver tokens SWT mediante protocolos WS-Federation, WS-Trust, OAuth-WRAP y OAuth 2.0.
ACS puede emitir y devolver tokens JWT mediante protocolos WS-Federation, WS-Trust y OAuth 2.0.
Para obtener más información sobre los protocolos estándar que usa ACS, consulte Protocolos admitidos en ACS.
Al elegir un formato de token, tenga en cuenta cómo el espacio de nombres de Access Control firma los tokens que emite. Todos los tokens emitidos por ACS deben estar firmados. Para más información, consulte Firma de tokens.
Además, considere si desea cifrar o no los tokens... Para más información, consulte Directiva de cifrado de tokens.
Directiva de cifrado de tokens
La directiva de cifrado de tokens determina si los tokens que emite ACS para la aplicación de usuario de confianza están cifrados. Para requerir el cifrado, seleccione el valor Requerir cifrado.
En ACS, puede configurar una directiva de cifrado solo para tokens SAML 2.0 o SAML 1.1. ACS no admite el cifrado de los tokens SWT o JWT.
ACS cifra los tokens SAML 2.0 y SAML 1.1 mediante un certificado X.509 que contiene una clave pública (archivo .cer). A continuación, estos tokens cifrados se descifran con una clave privada de propiedad de la aplicación de usuario de confianza. Para obtener más información sobre cómo obtener y usar certificados de cifrado, consulte Certificados y claves.
La configuración de una directiva de cifrado en los tokens emitidos por ACS es opcional. Sin embargo, se debe configurar una directiva de cifrado cuando la aplicación de usuario de confianza es un servicio web que usa tokens de prueba de posesión sobre el protocolo WS-Trust. Este escenario en particular no funciona correctamente sin tokens cifrados.
Vigencia del token
La propiedad Duración del token especifica el intervalo de tiempo (en segundos) durante el cual el token de seguridad que ACS emite a la aplicación de usuario de confianza es válido. El valor predeterminado es 600 (10 minutos). En ACS, el valor de duración del token debe estar comprendido entre cero (0) y 86400 (24 horas).
Proveedores de identidades
La propiedad Identity providers especifica los proveedores de identidad que pueden enviar notificaciones a la aplicación de usuario de confianza. Estos proveedores de identidades aparecen en la página de inicio de sesión de ACS para la aplicación web o el servicio. Todos los proveedores de identidades configurados en la sección Proveedores de identidades del portal de ACS aparecen en la lista del proveedor de identidades. Para agregar un proveedor de identificación a la lista, haga clic en Proveedores de identidad.
Cada aplicación de usuario de confianza puede asociarse a varios proveedores de identidad o a ninguno. Las aplicaciones de usuario de confianza de un espacio de nombres de Access Control se pueden asociar con el mismo proveedor de identidades o con distintos proveedores de identidades. Si no selecciona ningún proveedor de identidades para una aplicación de usuario de confianza, debe configurar una autenticación directa con ACS para la aplicación de usuario de confianza. Por ejemplo, puede utilizar las identidades de servicio para configurar la autenticación directa. Para más información, consulte Identidades de servicio.
Grupos de reglas
La propiedad Rule groups determina las reglas que utiliza la aplicación de usuario de confianza al procesar de notificaciones.
Cada aplicación de usuario de confianza de ACS debe estar asociada con al menos un grupo de reglas. Si una solicitud de token coincide con una aplicación de usuario de confianza que no tiene grupos de reglas, ACS no emite un token a la aplicación web ni al servicio.
Todos los grupos de reglas configurados en la sección Grupos de reglas del portal de ACS aparecen en la lista de grupos de reglas. Para agregar un grupo de reglas a la lista, haga clic en Grupos de reglas.
Al agregar una nueva aplicación de usuario de confianza en el Portal de administración de ACS, la opción Crear nuevo grupo de reglas está seleccionada de forma predeterminada. Se recomienda crear un nuevo grupo de reglas para la nueva aplicación de usuario de confianza. Sin embargo, puede asociar la aplicación de usuario de confianza con un grupo de reglas existente. Para ello, desactive la opción Crear nuevo grupo de reglas y seleccione el grupo de reglas que desee.
Puede asociar una aplicación de usuario de confianza a más de un grupo de reglas (y asociar un grupo de reglas a más de una aplicación de usuario de confianza). Si una aplicación de usuario de confianza está asociada a más de un grupo de reglas, ACS evalúa de forma recursiva las reglas de todos los grupos de reglas como si fueran reglas en un único grupo de reglas.
Para obtener más información sobre las reglas y los grupos de reglas, vea Reglas y grupos de reglas.
Firma de tokens
La propiedad configuración de firma de tokens especifica cómo se firman los tokens de seguridad que tienen problemas de ACS. Todos los tokens emitidos por ACS deben estar firmados.
Las opciones de firma de tokens que están disponibles dependen del formato del tokens de la aplicación de usuario de confianza. (Para obtener más información sobre los formatos de token, consulte Formato de token).
Tokens SAML: use un certificado X.509 para firmar tokens.
Tokens SWT: use una clave simétrica para firmar tokens.
Tokens JWT: use un certificado X.509 o una clave simétrica para firmar tokens.
Opciones de certificado X.509. Las siguientes opciones están disponibles para los tokens firmados con un certificado X.509.
Usar certificado de espacio de nombres de servicio (estándar): si selecciona esta opción, ACS usa el certificado para el espacio de nombres de Access Control para firmar tokens SAML 1.1 y SAML 2.0 para la aplicación de usuario de confianza. Use esta opción si planea automatizar la configuración de la aplicación web o el servicio mediante metadatos de WS-Federation, ya que la clave pública del espacio de nombres se publica en los metadatos de WS-Federation para el espacio de nombres de Access Control. La dirección URL del documento metadatos de WS-Federation aparece en la página Integración de aplicaciones del Portal de administración de ACS.
Usar certificado dedicado: si selecciona esta opción, ACS usa un certificado específico de la aplicación para firmar tokens SAML 1.1 y SAML 2.0 para la aplicación de usuario de confianza. El certificado no se utiliza para otras aplicaciones de usuario de confianza. Después de seleccionar esta opción, busque un certificado X.509 con una clave privada (archivo .pfx) y, a continuación, escriba la contraseña para el archivo .pfx.
Nota
Tokens JWT. Al configurar una aplicación de usuario de confianza para usar el certificado X.509 para el espacio de nombres Access Control para firmar tokens JWT para una aplicación de usuario de confianza, los vínculos al certificado de espacio de nombres Access Control y la clave de espacio de nombres Access Control aparecen en la página de la aplicación de usuario de confianza en el Portal de administración de ACS. Sin embargo, ACS usa solo el certificado de espacio de nombres para firmar tokens para la aplicación de usuario de confianza.
Espacios de nombres administrados. Al agregar una aplicación de usuario de confianza a un espacio de nombres administrado como, por ejemplo, un espacio de nombres de Service Bus, no especifique claves o certificados (dedicados) específicos de la aplicación. En su lugar, seleccione las opciones que indican a ACS que debe usar los certificados y las claves configurados para todas las aplicaciones del espacio de nombres administrado. Para más información, consulte Espacios de nombres administrados.Para obtener más información sobre los certificados y claves compartidos y dedicados, consulte Certificados y claves.
Opciones de clave simétrica
Como procedimiento recomendado de seguridad, al usar claves simétricas, cree una clave dedicada para cada aplicación de usuario de confianza, en lugar de usar la clave simétrica compartida para el espacio de nombres Access Control. Si escribe o genera una clave dedicada, ACS usa la clave dedicada para firmar tokens para la aplicación de usuario de confianza siempre que la clave dedicada sea válida. Sin embargo, si la clave dedicada expira y no se reemplaza, ACS usa la clave de espacio de nombres compartido para firmar tokens para la aplicación de usuario de confianza.
Si opta por usar la clave simétrica compartida, copie los valores de la clave del Espacio de nombres de servicio desde la página Certificados y claves y péguelos en los campos de la sección Firma de tokens de la página Aplicaciones de usuario de confianza.
Las siguientes opciones están disponibles para los tokens firmados con las claves simétricas.
Clave de firma de tokens: especifique una clave simétrica de 256 bits o haga clic en Generar para generar una clave simétrica de 256 bits.
Fecha de vigencia: especifica la fecha inicial del intervalo de fechas durante el cual es válida la clave simétrica. A partir de esta fecha, ACS usa la clave simétrica para firmar tokens para la aplicación de usuario de confianza. El valor predeterminado de ACS es la fecha actual.
Fecha de caducidad: especifica la fecha final del intervalo de fechas durante el cual es válida la clave simétrica. A partir de esta fecha, ACS no usa la clave simétrica para firmar tokens para la aplicación de usuario de confianza. No existe ningún valor predeterminado. Como práctica recomendada de seguridad, las claves simétricas deben reemplazarse cada año o cada dos años, según los requisitos de la aplicación.
Cifrado de tokens
La opción de certificado de cifrado de tokens especifica el certificado X.509 (archivo .cer) que se utiliza para cifrar los tokens para la aplicación de usuario de confianza. En ACS, solo puede cifrar tokens SAML 2.0 o SAML 1.1. ACS no admite el cifrado de tokens SWT o JWT.
Los certificados para el cifrado de tokens se especifican en la sección Certificados y claves del portal de ACS. Al hacer clic en el vínculo Haga clic aquí de la sección Directiva de cifrado de tokens de la página de aplicación de usuario de confianza, se abre la página Agregar certificado de cifrado de tokens de Certificados y claves. Utilice esta página para especificar un archivo de certificado.
Para obtener más información, consulte Directiva de cifrado de tokens. Para obtener más información sobre cómo obtener y agregar certificados de cifrado, consulte Certificados y claves.