Establecer qué tipo de plantilla de regla de notificación usar
Una parte importante del diseño de una infraestructura de los Servicios de federación de Active Directory (AD FS) es determinar el conjunto completo de reglas de notificación y qué plantillas de reglas de notificación correspondientes se deben usar para crearlas, para cada socio que participe en la federación con la organización. Se crean las reglas mediante las plantillas de reglas de notificación del complemento de administración de los Servicios de federación de Active Directory (AD FS).
Cada conjunto de reglas de notificación que configures solo se puede asociar con una confianza federada. Esto significa que no puedes crear un conjunto de reglas en una relación de confianza y usarlas para otras relaciones de confianza de tu Servicio de federación. En su lugar, puedes crear reglas fácilmente a partir de plantillas de reglas de notificación para ayudar a producir rápidamente un conjunto deseado de notificaciones acordadas entre cada socio federado y tu empresa.
Para obtener más información sobre las reglas y las plantillas de reglas, consulta The Role of Claim Rules.
Antes de empezar a determinar los tipos de plantillas de regla de notificación que debes usar, ten en cuenta las preguntas siguientes:
¿Qué notificaciones proporcionarán tus proveedores de notificaciones de confianza?
¿En qué notificaciones de cada proveedor de notificaciones confías?
¿Qué notificaciones requieren los usuarios de confianza que confían en este Servicio de federación?
¿Qué notificaciones estás dispuesto a divulgar a cada usuario de confianza?
¿Qué usuarios deben tener acceso a cada usuario de confianza?
Responder a estas preguntas te ayudará a planificar un diseño de reglas de notificación sólido. También te ayudará a crear una estrategia de autorización y de control de acceso suavizada y a hacer que el equipo de implementación sea más eficaz durante la implementación.
En la sección siguiente se da información sobre qué tipo de plantillas de regla seleccionar para tu entorno en función de las necesidades de tu empresa.
Tipos de plantilla de regla de notificación
En la tabla siguiente se describen todos los tipos de plantillas de regla de notificación que se pueden usar para crear reglas mediante el complemento de administración de los Servicios de federación de Active Directory (AD FS) y las ventajas de usar un tipo de plantilla frente a otro.
| Tipo de plantilla de notificación | Descripción | Ventajas | Inconvenientes |
|---|---|---|---|
| Pasar o filtrar una notificación entrante | Se usa para crear una regla que pasará a través todos los valores de notificación para un tipo de notificación determinado o notificaciones de filtros basadas en los valores de notificación para que solo ciertos valores de notificación para un tipo de notificación determinado pasen a través. Para obtener más información, consulte When to Use a Pass Through or Filter Claim Rule. |
- Se pueden usar para seleccionar notificaciones determinadas para que se acepten o se emitan sin cambios | - No se puede cambiar el tipo y el valor de notificación |
| Transformar una notificación entrante | Se usa para crear una regla que pueda seleccionar una notificación entrante y asignarla a un tipo de notificación diferente o asignar su valor de notificación a un nuevo valor de notificación. Para obtener más información, consulte When to Use a Transform Claim Rule. |
- Se puede usar para normalizar los valores o tipos de notificación - Puede reemplazar un sufijo de correo electrónico de una notificación entrante |
- Las sustituciones de cadenas más complejas requieren una regla personalizada |
| Enviar atributos LDAP como notificaciones | Se usa para crear una regla que seleccionará los atributos de un almacén de atributos LDAP para enviarlos como notificaciones al usuario de confianza. Para obtener más información, consulte When to Use a Send LDAP Attributes as Claims Rule. |
- Puede obtener notificaciones de cualquier almacén de atributos de AD DS o AD LDS - Se pueden emitir varias notificaciones mediante una sola regla |
- Rendimiento: lento, como resultado de la búsqueda de la cuenta - No puede usar un filtro personalizado de LDAP para realizar consultas |
| Enviar la pertenencia a grupo como una notificación | Se usar para crear una regla que pueda enviar un tipo y un valor de notificación determinados cuando un usuario es miembro de un grupo de seguridad de Active Directory. Con esta regla solo se enviará una única notificación, según el grupo que selecciones. Para obtener más información, consulte When to Use a Send Group Membership as a Claim Rule. |
- Rendimiento rápido para emitir notificaciones de grupo: ninguna búsqueda de cuenta | - El usuario tiene que ser miembro de un grupo local de Active Directory |
| Enviar notificaciones mediante una regla personalizada | Se usa para crear una regla personalizada que proporcionará más opciones avanzadas de una plantilla de regla estándar. Las reglas personalizadas se escriben con el lenguaje de reglas de notificación de AD FS. Para obtener más información, consulte When to Use a Custom Claim Rule. |
- Se puede usar para obtener notificaciones desde un almacén de atributos SQL - Se puede usar para especificar un filtro personalizado de LDAP - Se puede usar para emitir un PPID - Se puede usar con un almacén de atributos personalizado - Se puede usar para agregar notificaciones solo al conjunto de notificaciones de entrada - Se puede usar para enviar notificaciones basadas en más de una notificación entrante |
- Más difícil de configurar: se puede necesitar algún tiempo de despegue para conocer el lenguaje de reglas de notificación al principio |
| Permitir o denegar a los usuarios en función una notificación entrante | Se usa para crear una regla que permitirá o denegará a los usuarios el acceso al usuario de confianza, según el tipo y el valor de una notificación entrante. Para obtener más información, consulte When to Use an Authorization Claim Rule. |
- Simplifica el proceso de autorización | - Requiere que solo se especifiquen un tipo y un valor de notificación - No es compatible con la coincidencia de patrones para los valores de notificación |
| Permitir a todos los usuarios | Se usa para crear una regla que permitirá a todos los usuarios tener acceso al usuario de confianza. Para obtener más información, consulte When to Use an Authorization Claim Rule. |
- Fácil de configurar. | - Menos seguro que el uso del permiso o denegación a los usuarios en función de una plantilla de notificación entrante |