Los Servicios de federación de Active Directory (AD FS) usan almacenes de cuentas para iniciar sesiones de usuarios y extraer notificaciones de seguridad para dichos usuarios. Puede configurar varios almacenes de cuentas para un solo Servicio de federación. También puede definir su prioridad. El Servicio de federación utiliza Protocolo ligero de acceso a directorios (LDAP) para comunicarse con los almacenes de cuentas. AD FS admite dos almacenes de cuentas:

  • Servicios de dominio de Active Directory (AD DS)

  • Active Directory Lightweight Directory Services (AD LDS)

AD FS funciona con implementaciones de toda la empresa de AD DS o instancias de AD LDS. Cuando funciona con AD DS, AD FS puede beneficiarse de las tecnologías de autenticación sólida en AD DS, lo que incluye Kerberos, certificados digitales X.509 y tarjetas inteligentes. Cuando funciona con AD LDS, AD FS usa el enlace LDAP como medio para autenticar usuarios.

Almacenes de cuentas de AD DS

AD FS está totalmente integrado en AD DS. AD FS recupera los atributos de usuario y autentica los usuarios en AD DS. AD FS también usa la Autenticación integrada de Windows y los tokens de seguridad que AD DS crea.

Para que un usuario inicie una sesión en AD DS, el nombre de usuario debe tener el formato de nombre principal de usuario (UPN) (usuario@adatum.com) o el formato de cuenta de Administrador de cuentas de seguridad (SAM) (adatum\usuario).

Los tokens de acceso se generan cuando un usuario inicia una sesión. Contienen los identificadores de seguridad (SID) para el usuario y cualquier grupo al que pertenezca el usuario. Se asigna una copia del token de acceso a cada proceso que inicie el usuario.

Después de que el usuario inicie la sesión y se suplante, los SID del usuario se enumeran desde el token de acceso. A continuación, los SID se asignan a notificaciones de grupo de organización.

Precaución

Al habilitar la opción de confianza de Windows en el Servicio de federación de la cuenta, está enviando los SID reales a la organización del asociado de recurso a través de Internet, lo que puede constituir un riesgo para la seguridad. Estos SID se empaquetan en el token de lenguaje de marcado de aserción de seguridad (SAML) de AD FS. Por tanto, habilite esta opción sólo si está usando el diseño SSO web federado con confianza de bosque. El objetivo de este diseño es establecer una comunicación segura con la misma organización.

Las notificaciones de correo electrónico, de nombre común y personalizadas se pueden extraer de los atributos de objeto de usuario definidos en AD DS cuando la cuenta del Servicio de federación se usa para realizar una búsqueda LDAP de un objeto.

La cuenta del Servicio de federación debe tener acceso al objeto de usuario. Si el objeto de usuario se encuentra en un dominio diferente del dominio donde se encuentra la cuenta del Servicio de federación, el primero debe tener una confianza de dominio de AD DS con el último.

No existe manera directa de determinar si existe un nombre de usuario concreto en AD DS y en todos los directorios en los que confíe (ya sea directamente o de manera transitiva). AD DS sólo devuelve un error de autorización si se produce un error al intentar iniciar una sesión como resultado de restricciones de directivas. Entre los ejemplos de errores de restricciones de directivas se incluyen los siguientes:

  • La cuenta está deshabilitada.

  • La contraseña de la cuenta ha caducado.

  • La cuenta no tiene permiso para iniciar sesión en este equipo.

  • La cuenta tiene restricciones de tiempo de inicio de sesión y no se le permite iniciar la sesión en este momento.

De lo contrario, los errores de inicio de sesión de almacenes de cuentas de AD DS no son nunca autoritativos y se intenta con el almacén de cuentas siguiente en el orden de prioridad. Para obtener más información acerca de los errores de inicio de sesión de almacenes de cuentas, consulte Solución de problemas de AD FS.

Almacenes de cuentas de AD LDS

AD LDS ofrece almacenamiento y recuperación de datos para las aplicaciones habilitadas para el uso de directorios, sin las dependencias necesarias para AD DS. AD LDS ofrece la mayoría de las funciones de AD DS, aunque no exige la implementación de dominios ni de controladores de dominio. De forma similar al modo en que AD FS usa la información del almacén de cuentas de AD DS, AD FS también puede recuperar atributos de usuario y autenticar usuarios con AD LDS.

Nota

AD FS no puede autenticar cuentas de AD LDS que usen paréntesis como parte del nombre de la cuenta. Las cuentas que tienen un paréntesis de apertura en el nombre de usuario producen un error en la búsqueda LDAP dado que el nombre de usuario forma un filtro LDAP no válido.

La cuenta del Servicio de federación obtiene las notificaciones que se usan para realizar una búsqueda LDAP del objeto. Para obtener más información, consulte Descripción de las notificaciones. Este proceso consta de dos pasos:

  • En primer lugar, la cuenta del Servicio de federación encuentra el objeto de usuario por medio de una búsqueda del objeto cuyo atributo configurado es igual al nombre de usuario proporcionado. La cuenta del Servicio de federación usa la autenticación Kerberos o el cifrado NTLM para proteger esta comunicación.

    Nota

    Este proceso requiere que el servidor de AD LDS se una a un dominio que confíe en el dominio al que pertenece el Servicio de federación.

  • A continuación, las credenciales del usuario se validan mediante el enlace LDAP al objeto de usuario encontrado con la contraseña proporcionada. Si se configura Seguridad de la capa de transporte y Capa de sockets seguros (TLS/SSL) para las propiedades del almacén de cuentas de AD LDS en la directiva de confianza, las credenciales del usuario están protegidas.

    Importante

    Se recomienda proteger el tráfico entre el servidor AD LDS y el servidor de federación mediante TLS/SSL u otros medios como, por ejemplo, la seguridad del protocolo Internet (IPsec).

Si la consulta LDAP devuelve más de un objeto con el nombre de usuario proporcionado, esto se considera un error de autenticación.

La cuenta de usuario se busca primero en el almacén de cuentas de AD LDS si está configurado y, a continuación, los otros almacenes de LDAP se configuran en ese orden. Si cualquiera de los almacenes localiza la cuenta de usuario, realiza un inicio de sesión autoritativo del usuario, y no se llama a ningún otro almacén de cuentas para procesar la solicitud de inicio de sesión del usuario.

Determinar el orden de prioridad de las solicitudes de inicio de sesión de usuario

Cuando un usuario realiza una solicitud de inicio de sesión a AD DS o AD LDS a través un cliente de AD FS, la solicitud pasa inmediatamente al almacén de cuentas especificado. Sin embargo, si no se especifica el Identificador uniforme de recursos (URI) del almacén de cuentas, el Servicio de federación intenta cada uno de los almacenes por orden de prioridad para iniciar la sesión del usuario. El resultado de la autenticación se devuelve si:

  • Sólo hay un almacén configurado y se devuelve la información de comprobación de credenciales.

  • Se especificó el URI del almacén en la solicitud de inicio de sesión y se devuelve la información de comprobación de credenciales.

  • El resultado de la autenticación realizada por uno de los almacenes es autoritativo.

  • La autenticación realizada por uno de los almacenes es correcta.

Deshabilitar almacenes de cuentas

Puede marcar cada almacén de cuentas como habilitado o deshabilitado. Si un almacén de cuentas está deshabilitado, no participa en ninguna de las operaciones relacionadas con almacenes de cuentas. Se descartan o se eliminan las cookies con notificaciones que proceden de un almacén de cuentas que está actualmente deshabilitado y el cliente se dirige a la página de inicio de sesión.

Tabla de contenido