Las notificaciones son declaraciones (por ejemplo, nombre, identidad, clave, grupo, privilegio o capacidad) realizadas acerca de los usuarios, y comprendidas por los asociados de una federación de Servicios de federación de Active Directory (AD FS)), que se usan para fines de autorización en una aplicación.

El Servicio de federación de AD FS establece una confianza entre entidades muy dispares. Está diseñado para permitir el intercambio de confianza de notificaciones con valores arbitrarios. La parte que recibe (por ejemplo, un asociado de recurso) usa estas notificaciones para tomar decisiones de autorización.

Hay tres maneras de que las notificaciones fluyan por el Servicio de federación:

  • Del almacén de cuentas al Servicio de federación de cuentas al asociado de recurso

  • Del asociado de cuenta al Servicio de federación de recursos a la aplicación de recurso

  • Del almacén de cuentas al Servicio de federación a la aplicación de recurso

El Servicio de federación se puede configurar para que actúe en los tres roles anteriores. Por tanto, un Servicio de federación único puede facilitar los tres flujos de comunicación.

Existen tres tipos de notificaciones admitidos por el Servicio de federación: notificaciones de identidad, notificaciones de grupo y notificaciones personalizadas. En la tabla siguiente se describe cada uno de estos tipos de notificación de manera más detallada.

Tipo de notificación Descripción

Identidad

UPN, correo electrónico y nombre común en AD FS son tipos de notificación de identidad:

  • UPN: indica un nombre principal de usuario (UPN) de estilo Kerberos, por ejemplo: usuario@territorio. Sólo una notificación puede ser del tipo UPN. Incluso si se deben comunicar varios valores UPN, sólo uno puede ser del tipo UPN. Los UPN adicionales se pueden configurar como tipos de notificaciones personalizadas.

  • Dirección de correo electrónico: indica los nombres de correo electrónico de estilo de solicitud de comentarios RFC 2822 en el formato usuario@dominio. Sólo una notificación puede ser del tipo de correo electrónico. Incluso si se deben comunicar varios valores de correo electrónico, sólo uno puede ser del tipo de correo electrónico. Los correos electrónicos adicionales se pueden configurar como tipos de notificaciones personalizadas.

  • Nombre común: indica una cadena arbitraria usada para personalización. Entre los ejemplos se incluyen John Smith o empleado de Tailspin Toys. Sólo una notificación puede tener el tipo de nombre común. Es importante tener en cuenta que no hay ningún mecanismo para garantizar la exclusividad de la notificación de nombre común. Por consiguiente, se debe tener cuidado al usar este tipo de notificación en las decisiones de autorización.

Grupo

Indica pertenencia a un grupo o rol. Los administradores definen notificaciones individuales que tienen el tipo de grupo "Notificaciones de grupo". Por ejemplo, puede definir el siguiente conjunto de notificaciones de grupo: [Programador, Comprobador, Director de programa]. Cada notificación de grupo es una unidad de administración independiente para el llenado y la asignación de notificaciones. Resulta útil considerar el valor de una notificación de grupo como un valor booleano que indica pertenencia.

Personalizada

Indica una notificación que contiene información personalizada acerca de un usuario, por ejemplo, un número de identificador de empleado.

Si hay presente más de uno de los tres tipos de notificaciones en un token, la prioridad de las notificaciones de identidad sigue este orden:

  1. UPN

  2. Correo electrónico

  3. Nombre común

Debe estar presente al menos uno de estos tipos de notificación de identidad para que se emita un token.

Asignación de notificaciones

AD FS usa el protocolo WS-F PRP (WS-Federation Passive Requestor Profile), que transporta notificaciones en los tokens de seguridad emitidos por el Servicio de federación. Las notificaciones se rellenan inicialmente desde almacenes de cuentas, ya sean almacenes de cuentas de Servicios de dominio de Active Directory (AD DS) o de Servicios de directorio ligero de Active Directory (AD LDS).

El Servicio de federación puede asignar las notificaciones cuando salen de un asociado de federación o entran desde un asociado de federación. La asignación de notificaciones consiste en asignar, quitar o filtrar, o pasar notificaciones entrantes en notificaciones salientes. La asignación de notificaciones puede ser distinta para cada asociado de federación. La definición del llenado y la asignación de estas notificaciones es importante para la configuración de la federación. Las asignaciones de notificaciones utilizan comparaciones de cadenas que distinguen mayúsculas de minúsculas. En la siguiente ilustración se muestra el proceso de asignación de notificaciones.

Proceso de asignación de notificaciones

Conjuntos de notificaciones de organización

Todas las notificaciones entrantes se asignan a notificaciones de organización. Las notificaciones de organización son notificaciones con una forma intermedia o normalizada en el espacio de nombres de una organización. Todas las acciones internas del Servicio de federación se realizan en el conjunto de notificaciones de organización. Las aplicaciones de recursos utilizan las notificaciones de organización.

Con las notificaciones de organización, no es necesario administrar las asignaciones de forma individual entre dos organizaciones que necesiten comunicarse. Cada organización define una asignación única hacia sus notificaciones de organización o desde ellas. Esto reduce la complejidad administrativa de AD FS. Por ejemplo, si la federación tiene

x asociados de cuenta

y aplicaciones de recursos

la federación tiene x + y asignaciones de notificaciones.

La cantidad se ha reducido desde un número potencial de x × y asignaciones de notificaciones. A modo de ejemplo concreto, si un Servicio de federación tiene:

3 asociados de cuenta

7 aplicaciones de recursos

La federación sólo necesita 10 asignaciones de notificaciones, en lugar de 21 posibles asignaciones de notificaciones, si se realiza una asignación directamente desde las notificaciones entrantes a las notificaciones salientes.

Correo electrónico

Los tipos de notificación de correo electrónico siempre se asignan a tipos de notificación de correo electrónico. Como parte de esta asignación, en el Servicio de federación de cuentas, el sufijo de dominio se puede asignar a un valor constante. La asignación del sufijo de dominio a un valor constante protege a una organización asociada contra proporcionar información de forma inadvertida acerca de la estructura de bosque interna a otra organización. En el Servicio de federación de recursos, el sufijo de dominio se puede filtrar mediante una lista de valores constantes.

En el siguiente ejemplo se describe una federación de AD FS entre dos organizaciones, Tailspin Toys y Adventure Works. En este ejemplo, Tailspin Toys es el asociado de cuenta y Adventure Works es el asociado de recurso.

  • Tailspin Toys, como Servicio de federación de cuentas, asigna la notificación de organización de correo electrónico a la notificación de correo electrónico saliente para Adventure Works. Como parte de dicha asignación, se asignan todos los sufijos de correo electrónico a tailspintoys.com. Según la notificación de correo electrónico de la organización (e-mail=jsmith@sales.tailspintoys.com), la notificación de correo electrónico saliente es (e-mail=jsmith@tailspintoys.com).

  • Adventure Works, como Servicio de federación de recursos, asigna la notificación de correo electrónico Tailspin Toys entrante a la notificación de organización de correo electrónico y, como parte de dicha asignación, se filtra la lista de sufijos para tailspintoys.com. Por consiguiente, se acepta una notificación de correo electrónico Tailspin Toys entrante (e-mail=jsmith@adventure-works.com), pero se rechaza otra notificación de correo electrónico Tailspin Toys entrante (e-mail=jsmith@adventure-works.com).

UPN

Los tipos de notificación de UPN siempre se asignan a otros tipos de notificaciones de UPN. Están sujetos a asignaciones y filtrado de sufijos del mismo modo que las notificaciones de correo electrónico. No obstante, dado que AD DS permite UPN sin el símbolo @, el Servicio de federación de cuentas adjunta el símbolo @, seguido del sufijo si hay una asignación de sufijos UPN definida. En caso contrario, si se pasan sufijos, el Servicio de federación pasa el UPN tal cual, sin el símbolo @. Por lo que respecta a los recursos, si se permiten sufijos UPN, se acepta el UPN sin el símbolo @. En caso contrario, si se permite un sufijo UPN específico, se rechaza el UPN sin el símbolo @.

Nombre común

Los tipos de notificación de nombre común siempre se asignan a tipos de notificación de nombre común. No están sujetos a ninguna otra regla.

Personalizada

Los tipos de notificación personalizada siempre se asignan a otros tipos de notificaciones personalizadas. Por ejemplo, en un conjunto de notificaciones entrantes (UPN, Custom=[EmployeeNumber, TaxPayerID]) y un conjunto de notificaciones de organización (UPN, Custom=[Employee, SSN]), puede crear asignaciones de EmployeeNumber a Employee y de TaxPayerID a SSN.

Grupo

Los tipos de notificación de grupo siempre se asignan a otros tipos de notificaciones de grupo. Por ejemplo, en un conjunto de notificaciones entrantes (UPN, Group=[One, Two, Three]) y un conjunto de notificaciones de organización (UPN, Group=[X,Y,Z]), puede crear asignaciones de One a Y, de Two a X y de Three a Z.

Asignación de grupo a UPN

Además de las asignaciones estándar descritas en las secciones anteriores, también puede utilizar una asignación de notificaciones de grupo a UPN especial. La asignación de notificaciones de grupo a UPN se admite sólo en el Servicio de federación de recursos si se trata de notificaciones entrantes desde un asociado de cuenta. En este caso, los tipos de notificaciones de UPN no se asignan a los tipos de notificaciones de UPN. En su lugar, debe proporcionar una lista ordenada de asignaciones de notificaciones de grupo a UPN.

Por ejemplo, la lista de grupo a UPN puede ser:

  1. Dev a developers@internal.tailspintoys.com

  2. Test a testers@internal.tailspintoys.com

  3. PM a progmgrs@internal.tailspintoys.com

En un conjunto de notificaciones entrantes de (Common name=John Smith, Group=[Dev]), el conjunto de notificaciones de organización contiene (Common name=John Smith, UPN=developers@internal.tailspintoys.com). Recuerde que la lista está ordenada. Por lo tanto, un conjunto de notificaciones de (Common name=John Smith, Group=[Dev,PM]) ofrece como resultado (Common name=John Smith, UPN=developers@internal.tailspintoys.com). Además, si la notificación entrante tiene un UPN, dicho UPN se sobrescribe. Esta regla de asignación especial admite en concreto cuentas de recursos basadas en grupos que tienen acceso a los recursos heredados. El orden de las asignaciones de grupo a UPN se especifica en la directiva de confianza del Servicio de federación.

Auditoría de notificaciones

Se pueden designar algunas notificaciones de grupo y notificaciones personalizadas como auditables. Cuando se habilita la auditoría, ésta permite exponer el nombre de la notificación en el registro de eventos de seguridad, pero se omite el valor de la notificación. Un ejemplo de notificación auditable es el Número de seguridad social. Se expone el Número de seguridad social pero no se expone el valor del número real que se almacena en dicha notificación. No se audita el valor de la notificación cuando se produce o se asigna la notificación.

Nota

Los tipos de notificación de identidad son siempre auditables.

Vea también


Tabla de contenido