Descripción de las cookies usadas por AD FS

El Servicio de federación y el agente web de AD FS pueden emitir cookies de autenticación. El agente web de AD FS toma el token de seguridad de AD FS que recibe y lo usa como valor de la cookie. La ventaja del servidor web habilitado para AD FS es que no es necesario configurarlo con un par de claves pública/privada que pueden firmar y comprobar sus propias cookies. El Servicio de federación publica toda la información necesaria para validar sus tokens.

En el Servicio de federación, el token de seguridad de una cookie mantiene las notificaciones de la organización para el cliente. Las notificaciones de la organización se pueden asignar a notificaciones salientes de un recurso concreto. El agente web de AD FS también puede autenticar y usar cookies emitidas por el Servicio de federación. El servidor web habilitado para AD FS recibe una cookie cuando el cliente llega al servidor web habilitado para AD FS. A continuación, el agente web de AD FS puede autenticar esta cookie y usar las notificaciones que contiene. Para obtener más información acerca de cómo el Servicio de federación usa tokens, notificaciones y cookies de autenticación, vea Descripción del servicio de rol Servicio de federación.

La cookie de autenticación facilita el inicio de sesión único (SSO). Después de que el Servicio de federación valide el cliente una vez, la cookie de autenticación se escribe en el cliente. El Servicio de federación produce y consume el contenido de la cookie de autenticación; los proxies del servidor de federación no leen este contenido. A partir de ese momento, la autenticación se realiza a través de la cookie en lugar de continuando la recopilación de las credenciales del cliente. Para obtener más información acerca de los proxies de servidor de federación, vea Descripción del servicio de función proxy de Servicio de federación.

En la siguiente ilustración se muestra el contenido de una cookie de autenticación y los servicios de rol de AD FS que usan la cookie de autenticación. El agente web de AD FS incluye el Servicio de autenticación del agente web de AD FS y la Extensión del agente basado en tokens de Windows de AD FS.

La cookie de autenticación siempre es una cookie de sesión. La cookie de autenticación se firma pero no se cifra, lo que es un motivo para que sea obligatorio usar Seguridad de la capa de transporte y Capa de sockets seguros (TLS/SSL) en AD FS.

La cookie del asociado de cuenta facilita SSO. Después de que se produzca el descubrimiento interactivo de la pertenencia de un asociado de cuenta, si la cookie de asociado de cuenta tiene un token válido, se escribe en el cliente. A partir de este momento, las interacciones utilizan la información de esta cookie en lugar de solicitar al cliente información de pertenencia del asociado de cuenta de nuevo. La cookie de asociado de cuenta se establece como resultado del proceso de descubrimiento del asociado de cuenta. Para obtener más información acerca de la detección del asociado de cuenta, vea Descripción del servicio de rol Servicio de federación.

La cookie de asociado de cuenta es una cookie persistente de larga duración. No se firma ni se cifra.

La cookie de cierre de sesión facilita el cierre de la sesión. Siempre que el Servicio de federación emita un token, el asociado de recurso o servidor de destino del token se agrega a la cookie de cierre de sesión. Cuando recibe una solicitud de cierre de sesión, el Servicio de federación o el proxy de Servicio de federación envía solicitudes a cada uno de los servidores de destino de tokens pidiéndoles que limpien cualquier artefacto de autenticación, como cookies almacenadas en caché, que el asociado de recurso o el servidor web habilitado para AD FS puedan haber escrito en el cliente. Si se trata de un asociado de recurso, envía una solicitud de limpieza a cualquier servidor web habilitado para AD FS que el cliente haya usado.

La cookie de cierre de sesión siempre es una cookie de sesión. No se firma ni se cifra.