El papel de las notificaciones
En el modelo de identidades basadas en notificaciones, las notificaciones desempeñan un papel fundamental dentro del proceso de federación, y son un componente clave que determina el resultado de todas las solicitudes de autorización y autenticación web. Con este modelo, las organizaciones pueden presentar identidades digitales y derechos (o notificaciones) en todo el ámbito empresarial sin ningún tipo de riesgo y de manera estándar.
¿Qué son las notificaciones?
En su forma más básica, las notificaciones son, sencillamente, instrucciones (como nombre, identidad, grupo) que se realizan sobre los usuarios y cuyo cometido principal es autorizar el acceso a aplicaciones basadas en notificaciones ubicadas en cualquier parte en Internet. Cada instrucción se corresponde con un valor que se almacena en la notificación.
Cómo se generan notificaciones
El servicio de federación de los Servicios de federación de Active Directory (AD FS) define qué notificaciones se intercambian entre asociados federados. Para hacerlo, sin embargo, antes tiene que rellenar o generar la notificación con un valor recuperado o calculado. Cada valor de notificación representa un valor de un usuario, grupo o entidad, y se puede generar de dos formas:
Cuando el valor de que consta la notificación se recupera de un almacén de atributos, por ejemplo, cuando un valor de atributo del departamento de ventas se obtiene de las propiedades de una cuenta de usuario de Active Directory. Para obtener más información, consulta El papel de los almacenes de atributos.
Cuando el valor de una notificación entrante se transforma en otro valor de acuerdo con la lógica expresada en una regla. Por ejemplo, cuando una notificación entrante con el valor de Admins. del dominio se transforma en un nuevo valor de Administradores antes de enviarse como notificación saliente. Para obtener más información, consulta El papel de las reglas de notificaciones.
Las notificaciones pueden incluir valores como una dirección de correo electrónico, un nombre principal de usuario (UPN), la pertenencia a un grupo y otros atributos de cuenta.
Flujo de las notificaciones
Los otros usuarios se basan en los valores de las notificaciones para realizar tareas de autorización relacionadas con las aplicaciones web que hospedan. A estas entidades se las conoce como usuarios de confianza en el complemento Administración de AD FS. El servicio de federación es responsable de negociar la confianza entre numerosos usuarios separados. Está diseñado para procesar y transmitir el intercambio con confianza de notificaciones desde una organización que genera inicialmente las notificaciones, lo que también se conoce como proveedor de notificaciones en el complemento Administración de AD FS para un usuario de confianza. Luego, ese usuario de confianza emplea esas notificaciones para tomar decisiones de autorización.
El flujo de notificaciones que tiene lugar en este proceso se conoce como la canalización de notificaciones. El flujo de notificaciones a través de la canalización de notificaciones se efectúa en tres pasos:
Las notificaciones que se reciben del proveedor de notificaciones se procesan mediante las reglas de transformación de aceptación en la confianza del proveedor de notificaciones. Estas reglas determinan qué notificaciones del proveedor de notificaciones se van a aceptar.
El resultado de las reglas de transformación de aceptación se usa como entrada en las reglas de autorización de emisión. Estas reglas determinan si el usuario va a poder acceder al usuario de confianza.
La salida de las reglas de transformación de aceptación se usa como entrada en las reglas de transformación. Estas reglas determinan qué notificaciones se van a enviar al usuario de confianza.
Para obtener más información, consulta El papel de la canalización de notificaciones.
Cómo se emiten las notificaciones
Al escribir reglas de notificaciones, el origen de las notificaciones entrantes de dichas reglas varía en función de si las reglas se están escribiendo en una confianza de proveedor de notificaciones o en una confianza para usuario autenticado. Si se escriben para una confianza de proveedor de notificaciones, las notificaciones entrantes son aquellas que se envían desde el proveedor de notificaciones de confianza al Servicio de federación. Si se escriben para una confianza para usuario autenticado, las notificaciones entrantes son aquellas que resultan de las reglas de notificaciones de la confianza de proveedor de notificaciones en cuestión. Para obtener más información sobre las notificaciones entrantes y salientes, consulta El papel de la canalización de notificaciones y El papel del motor de notificaciones.
¿Qué son los tipos de notificaciones?
Un tipo de notificación ofrece contexto para el valor de la notificación y suelen expresarse como un URI (Identificador uniforme de recursos). AD FS admite cualquier tipo de notificación y viene configurado de forma predeterminada con los tipos de notificaciones recogidos en la siguiente tabla.
| Nombre | Descripción | Identificador URI |
|---|---|---|
| Dirección de correo electrónico | Dirección de correo electrónico del usuario | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Nombre propio | Nombre propio del usuario | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Nombre | Nombre único del usuario | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN (Nombre principal de usuario) | El nombre principal de usuario (UPN) del usuario. | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Nombre común | Nombre común del usuario | http://schemas.xmlsoap.org/claims/CommonName |
| Dirección de correo electrónico para AD FS 1.x | Dirección de correo electrónico del usuario al interoperar con AD FS 1.1 o AD FS 1.0 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Grupo | Grupo al que pertenece el usuario | http://schemas.xmlsoap.org/claims/Group |
| UPN para AD FS 1.x | UPN del usuario al interoperar con AD FS 1.1 o AD FS 1.0 | http://schemas.xmlsoap.org/claims/UPN |
| Role | Rol que tiene el usuario | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Surname | Apellido del usuario | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | Identificador privado del usuario | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Identificador de nombre | Identificador de nombre SAML del usuario | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Método de autenticación | Método usado para autenticar al usuario | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| SID de grupo de solo denegación | SID de grupo usado solo para denegar del usuario | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| SID principal de solo denegación | SID principal usado solo para denegar del usuario | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| SID de grupo principal de solo denegación | SID de grupo principal usado solo para denegar del usuario | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| SID de grupo | SID de grupo del usuario | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| SID de grupo principal | SID de grupo principal del usuario | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| SID principal | SID principal del usuario | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Nombre de cuenta de Windows | Nombre de la cuenta de dominio del usuario con el formato <dominio>\<usuario> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
¿Qué son las descripciones de notificaciones?
Las descripciones de notificaciones representan una lista de tipos de notificaciones que admite AD FS y que se puede publicar en metadatos de federación. Los tipos de notificaciones de la tabla anterior se configuran como descripciones de notificaciones en el complemento Administración de AD FS.
La colección de descripciones de notificaciones que se va a publicar en los metadatos de federación se almacena en la base de datos de configuración de AD FS. Estas descripciones están disponibles para su uso por parte de varios componentes del Servicio de federación.
De igual modo, cada descripción incluye un URI, un nombre, un estado de publicación y una descripción del tipo de notificación en cuestión. Puede administrar la colección de descripciones de notificaciones mediante el nodo Descripciones de notificaciones del complemento Administración de AD FS. Puede modificar el estado de publicación de una descripción de notificación mediante el complemento. Las siguientes configuraciones están disponibles:
Publicar esta notificación en los metadatos de federación como un tipo de notificación que este Servicio de federación puede aceptar (Publicar como aceptado): señala los tipos de notificaciones que este Servicio de federación va a aceptar de otros proveedores de notificaciones.
Publicar esta notificación en los metadatos de federación como un tipo de notificación que este Servicio de federación puede enviar (Publicar como enviado): señala los tipos de notificaciones que este Servicio de federación ofrece. Se trata de los tipos de notificaciones que el Servicio de federación publica ante los demás como los tipos que quiere enviar. Los tipos de notificaciones reales que el proveedor de notificaciones envía son con frecuencia un subconjunto de esta lista.
Para más información sobre cómo definir el estado de publicación de un tipo de notificación, consulte Agregar una descripción de notificación en la Guía de implementación de AD FS.
Cuándo generar metadatos de federación
Los metadatos de federación incluyen todas las descripciones de notificaciones que se han marcado para publicarse.
Cuándo procesar reglas de notificaciones
Si conservas información de configuración relativa a las descripciones de notificaciones, será más fácil configurar reglas sobre notificaciones. Para obtener más información sobre las reglas de notificaciones que se pueden usar en la organización del proveedor de notificaciones, consulta El papel de las reglas de notificaciones.