En los Servicios de federación de Active Directory (AD FS), una cuenta de recursos es una cuenta de usuario almacenada en un bosque de Active Directory (bosque del asociado de recurso) con el único propósito de suplantar una cuenta de usuario usada activamente por un empleado y almacenada en otro bosque de Active Directory (bosque del asociado de cuenta).

Las cuentas de recursos se deben crear en el bosque del asociado de recurso para que el empleado, cuya cuenta de usuario esté ubicada en el bosque del asociado de cuenta, pueda tener acceso a las aplicaciones basadas en web y basadas en autorización token de Windows NT mediante AD FS. Las cuentas de recursos y los grupos de recursos también son necesarios para las aplicaciones para notificaciones.

El recurso web de los recursos está protegido mediante las listas de control de acceso (ACL) de las cuentas o grupos de usuarios del bosque del asociado de recurso. El administrador debe crear las cuentas de recursos y agregar ACL para las cuentas de recursos al recurso.

Para reducir la carga administrativa, el administrador de recursos puede configurar uno o más grupos de seguridad, los cuales se crean en Servicios de dominio de Active Directory (AD DS) y se usan para asignar notificaciones de grupo entrantes desde los asociados de cuenta. Un grupo de seguridad asignado a una notificación de grupo entrante usada por AD FS se denomina grupo de recursos.

Puede configurar el siguiente procedimiento para configurar grupos de recursos.

Para configurar un grupo de recursos

  1. En el complemento Usuarios y equipos de Active Directory de un controlador de dominio del bosque del asociado de recurso, cree un grupo de seguridad nuevo.

  2. Asigne el acceso correspondiente a este grupo de seguridad desde el recurso web protegido por AD FS.

  3. En el complemento Servicios de federación de Active Directory, cree una notificación de grupo y, en la página de propiedades de la notificación recién creada, haga clic en la ficha Grupo de recursos. Haga clic en el botón para asignar el nuevo grupo de seguridad de AD DS a la notificación de grupo nueva. En este punto, el grupo de seguridad nuevo se denomina "grupo de recursos".

  4. En Servicio de federación\Directiva de confianza\Organizaciones asociadas\Asociados de cuenta\<nombreDeAsociadoDeCuenta>\, cree una asignación de notificación de grupo entrante para asignar la notificación de grupo nueva y el grupo de recursos asociado a cualquier notificación de grupo entrante del bosque del asociado de cuenta.

Al asignar una notificación de grupo entrante a un grupo de recursos, no es necesario que el administrador del bosque del asociado de recurso cree una cuenta de recursos para cada usuario en el bosque del asociado de cuenta que necesita tener acceso a la aplicación basada en autorización token de Windows NT protegida por AD FS.

De manera predeterminada, AD FS configura las propiedades del asociado de cuenta para que el administrador del asociado de recurso pueda asignar las notificaciones de grupo entrantes a uno o más grupos de recursos. No obstante, puede cambiar este comportamiento predeterminado si selecciona una de las siguientes opciones de cuenta de recursos:

  • Existen cuentas de recursos para todos los usuarios: especifica que se ha configurado una cuenta de recursos para cada usuario del asociado de cuenta que necesita tener acceso al recurso. En este caso, las notificaciones de grupo entrantes no se asignan a los grupos de recursos incluso si se han configurado grupos de recursos.

  • Existen cuentas de recursos para algunos usuarios (cuenta de recursos preferida): especifica si se deben utilizar grupos de recursos para determinadas cuentas de usuario. Esto significa que algunos usuarios pueden haber creado cuentas de recursos individuales, mientras que otros pueden haber sido configurados para utilizar grupos de recursos. Si está seleccionada esta opción, AD FS busca primero las cuentas de recursos que coinciden con la notificación de correo electrónico o UPN especificada en el token entrante. AD FS usa estas cuentas de recursos si se pueden encontrar. En caso contrario, si el token tiene una notificación de grupo asignada a un grupo de recursos, utiliza el grupo de recursos.

  • Existen cuentas de recursos para algunos usuarios (se prefiere grupos del token): es la configuración predeterminada. Especifica que AD FS puede usar su lógica para determinar si cada token entrante se debe asignar a un grupo de recursos o si debe buscar una cuenta de recursos. Si se selecciona esta opción, AD FS busca primero en el token las notificaciones de grupo entrantes que se pueden asignar a un grupo de recursos. Si se encuentran, AD FS usa el grupo de recursos. Si no existe ninguna notificación de grupo entrante, AD FS busca una cuenta de recursos para usarla.

  • No existe ninguna cuenta de recursos para este asociado de cuenta: especifica si se van a utilizar uno o más grupos de recursos para todos los usuarios del asociado de cuenta. Esto significa que cada token emitido desde este asociado de cuenta es necesario para contener una o más notificaciones de grupo asignadas a uno o más grupos de recursos del bosque del asociado de recurso.

Tabla de contenido