Compartir a través de

Proveedores de identidad de WS-Federation

  • Artículo

Actualizado: 19 de junio de 2015

Se aplica a: Azure

WS-Federation proveedores de identidades son proveedores de identidades personalizados que admiten el protocolo WS-Federation y se configuran en Microsoft Azure Active Directory Access Control (también conocido como servicio de Access Control o ACS) mediante metadatos de WS-Federation. Un proveedor de identidades de WS-Federation también puede admitir otros protocolos de federación, como WS-Trust. WS-Federation proveedores de identidades se usan con más frecuencia en escenarios de sitio web y aplicación web, donde se usa el perfil de solicitante pasivo WS-Federation para facilitar las redirecciones de token necesarias hacia ACS y desde acS mediante un explorador web.

Servicios de federación de Microsoft Active Directory 2.0

Un ejemplo común de un proveedor de identidades de WS-Federation es . Puede usarlo para integrar sus cuentas empresariales de Active Directory con ACS. Para poder agregar y configurar como proveedor de identidades en ACS, debe haber instalado y funcionado con al menos una confianza de proveedor de notificaciones, por ejemplo, Servicios de dominio de Active Directory (AD DS). Para obtener más información, vea Cómo: Configurar AD FS 2.0 como proveedor de identidades.

Configuración del Portal de administración de ACS

Cuando use el Portal de administración de ACS para configurar un proveedor de identidades de WS-Federation, debe escribir los datos siguientes.

  • Nombre para mostrar: especifica el nombre para mostrar del proveedor de identidades. Este nombre solo se usa en el Portal de administración de ACS.

  • Metadatos de WS-Federation: contiene información de configuración (metadatos de federación) sobre los servicios federados establecidos, como tokens y autorización, y las directivas para tener acceso a ellos. Al agregar un proveedor de identidades de WS-Federation en ACS, debe escribir la dirección URL del documento de metadatos de federación o cargar una copia local del documento de metadatos para el proveedor de identidades de WS-Federation.

    Advertencia

    Importe metadatos de WS-Federation solo desde un proveedor de identidades de WS-Federation en el que confíe.

    Por motivos de seguridad, se recomienda que el proveedor de identidades de WS-Federation publique su documento de metadatos de federación en una dirección URL HTTPS. También se recomienda que el proveedor de identidades de WS-Federation use solo extremos de emisión de tokens HTTPS.

  • Texto del vínculo de inicio de sesión: especifica el texto que se muestra para el proveedor de identidades en la página de inicio de sesión de la aplicación web. Para obtener más información, vea Páginas de inicio de sesión y detección de dominio de inicio.

  • Dirección URL de imagen (opcional): asocia una dirección URL con un archivo de imagen (por ejemplo, un logotipo de su elección) que podrá mostrar como vínculo de inicio de sesión para este proveedor de identidades. Este logotipo aparece automáticamente en la página de inicio de sesión predeterminada de la aplicación web compatible con ACS, así como en la fuente JSON de la aplicación web que puede usar para representar una página de inicio de sesión personalizada. Si no especifica ninguna dirección URL de una imagen, se mostrará el texto del vínculo de inicio de sesión en la página de inicio de sesión de la aplicación web. Si especifica la dirección URL de una imagen, se recomienda encarecidamente que apunte a un origen de confianza, por ejemplo, su propio sitio web o aplicación, mediante HTTPS para evitar advertencias de seguridad en los exploradores. Además, el tamaño de las imágenes de más de 240 píxeles de ancho y 40 píxeles de alto se ajusta automáticamente en la página predeterminada de detección del dominio kerberos principal de ACS. Se recomienda obtener permiso de su asociado para mostrar esta imagen.

  • Nombres de dominio de correo electrónico (opcional): para solicitar a los usuarios que inicien sesión con su dirección de correo electrónico, puede especificar los sufijos de dominio de correo electrónico hospedados por este proveedor de identidades. De lo contrario, deje este campo en blanco para mostrar un vínculo de inicio de sesión directo. Utilice punto y coma para separar la lista de sufijos. Para obtener más información, vea Páginas de inicio de sesión y detección de dominio de inicio.

  • Aplicaciones del usuario de confianza: especifica todas las aplicaciones del usuario de confianza existentes que puede asociar con este proveedor de identidades. Para obtener más información, consulte Aplicaciones de usuario autenticado.

Después de asociar un proveedor de identidades a una aplicación de usuario de confianza, se deben generar reglas para ese proveedor de identidades, o se deben agregar manualmente al grupo de reglas de la aplicación de usuario de confianza a fin de completar la configuración. Para obtener más información sobre cómo crear reglas, consulte Reglas y grupos de reglas.

Tipos de notificaciones admitidos

Después de que un usuario se autentica en un proveedor de identidades, recibe un token que se completa con notificaciones de identidad. Las notificaciones son fragmentos de información sobre el usuario, como una dirección de correo electrónico o un identificador único. ACS puede pasar estas notificaciones directamente a la aplicación de usuario de confianza o tomar decisiones de autorización basadas en los valores que contienen.

De forma predeterminada, los tipos de notificaciones de ACS se identifican de forma única mediante un URI para cumplir con la especificación del token de SAML. Estos URI también se pueden usar para identificar notificaciones en otros formatos de token.

Para WS-Federation proveedores de identidades, los tipos de notificación disponibles se determinan mediante los metadatos de WS-Federation para el proveedor de identidades que se importa en ACS. Una vez completada la importación, los tipos de notificación disponibles para el proveedor de identidades están visibles en la página Editar regla de notificación del Portal de administración de ACS. Estos tipos de notificación también son visibles a través de la entidad ClaimType en el servicio de administración de ACS.

Además de los tipos de notificación disponibles a través de WS-Federation metadatos, ACS siempre emite las siguientes notificaciones para cada proveedor de identidades de WS-Federation.

Tipo de notificación URI Descripción

Identificador de nombre

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Un identificador exclusivo para la cuenta de usuario, proporcionado por el proveedor de identidades.

Proveedor de identidades

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Notificación proporcionada por ACS que indica a la aplicación de usuario de confianza que el usuario autenticado mediante el proveedor de identidades seleccionado. El valor de esta notificación es visible en el Portal de administración de ACS a través del campo Dominio en la página Editar proveedor de identidades .

Nota

WS-Federation proveedores de identidades también pueden emitir tipos de notificación a ACS que no se enumeran explícitamente en el documento de metadatos de WS-Federation del proveedor de identidades. En este caso, el URI del tipo de notificación esperado se puede introducir manualmente en una regla en lugar de seleccionarlo. Para obtener más información sobre las reglas, consulte Reglas y grupos de reglas.

Administrar certificados

Los certificados de firma de tokens X.509 para un proveedor de identidades de WS-Federation aparecen en la página del proveedor de identidades en el Portal de administración de ACS. Es importante supervisar los certificados y asegurarse de que son eficaces y se reemplazan antes de que caduquen.

Para ver los certificados de un proveedor de identidades de WS-Federation:

  1. En el Portal de administración de ACS, haga clic en Proveedores de identidades.

  2. Haga clic en el proveedor de identidades de WS-Federation.

  3. Desplácese a la sección Certificados de firma de tokens en la parte inferior de la página.

Para obtener más información sobre cómo administrar certificados para WS-Federation proveedores de identidades, consulte Certificado del proveedor de identidades de WS-Federation.

Consulte también

Conceptos

Proveedores de identidades
Directrices de administración de claves y certificados