Los Servicios de federación de Active Directory (AD FS) usan terminología de varias tecnologías diferentes, incluidos los Servicios de servidor de certificados, Internet Information Services (IIS), Servicios de dominio de Active Directory (AD DS), Servicios de directorio ligero de Active Directory (AD LDS) y servicios web (WS-*). En la tabla siguiente se describen los siguientes términos.

Término Descripción

servidor de federación de cuentas

Servidor de federación que está situado en la red corporativa de la organización del asociado de cuenta. El servidor de federación de cuentas emite tokens de seguridad para los usuarios basados en la autenticación del usuario. El servidor autentica un usuario, extrae los atributos relevantes y la información de pertenencia al grupo del almacén de cuentas, y genera y firma un token de seguridad que se devolverá al usuario, ya sea para usarse en su propia organización o para enviarse a una organización del asociado.

proxy de servidor de federación de cuentas

Proxy de servidor de federación que está situado en la red perimetral de la organización del asociado de cuenta. El proxy de servidor de federación de cuentas recopila las credenciales de autenticación para un cliente que inicia una sesión a través de Internet (o desde la red perimetral) y pasa estas credenciales al servidor de federación de cuentas.

asociado de cuenta

Asociado de federación en el que el Servicio de federación confía para proporcionar tokens a sus usuarios (es decir, los usuarios de la organización del asociado de cuenta) para que tengan acceso a las aplicaciones web del asociado de recurso.

Servicios de federación de Active Directory (ADFS)

Componente de Windows Server 2003 R2, Windows Server 2008 y Windows Server 2008 R2 que proporciona tecnologías de inicio de sesión único (SSO) web para autenticar a un usuario en varias aplicaciones web durante una única sesión en línea. AD FS cumple este objetivo mediante el uso compartido seguro de identidades digitales y derechos de uso a través de límites de seguridad y empresariales. AD FS permite el uso del protocolo WS-Federation Passive Requestor Profile (WS-F PRP).

agente web de AD FS

Servicio de rol instalable de AD FS que se usa para crear un servidor web habilitado para AD FS. Un agente web de AD FS consume tokens de seguridad entrantes y cookies de autenticación que están firmados por un servidor de federación válido, para permitir o denegar el acceso del usuario a la aplicación protegida, al tiempo que tiene en cuenta la configuración de control de acceso específica de la aplicación.

servidor web habilitado para AD FS

Servidor web en el que se ejecuta Windows Server 2003 R2, Windows Server 2008 o Windows Server 2008 R2, el cual se configura con el software del agente web de AD FS correspondiente (el agente para notificaciones o el agente basado en tokens de Windows), lo que es necesario para autenticar y autorizar el acceso federado a aplicaciones basadas en web y hospedadas localmente.

notificación

Declaración que un servidor realiza (por ejemplo, nombre, identidad, clave, grupo, privilegio o capacidad) acerca de un cliente.

aplicación para notificaciones

Aplicación Microsoft ASP.NET que lleva a cabo la autorización basándose en las notificaciones presentes en un token de seguridad de AD FS.

asignación de notificaciones

Acción de asignar, quitar o filtrar, o pasar notificaciones entre distintos conjuntos de notificaciones.

página web de detección de asociado de cuenta de cliente

Página web que interactúa con el usuario con el fin de determinar a qué asociado de cuenta pertenece el usuario cuando AD FS no puede determinar automáticamente qué asociados de cuenta debería autenticar el usuario.

certificado de autenticación de cliente

En AD FS, un certificado que los proxies de servidor de federación usan para autenticar un cliente para el Servicio de federación.

página web de cierre de sesión de cliente

Cuando AD FS realiza una operación de cierre de sesión, página web que se inicia para proporcionar información visual al usuario indicando que se ha cerrado la sesión.

página web de inicio de sesión de cliente

Cuando AD FS recopila credenciales de cliente, página web que se inicia para llevar a cabo la interacción con el usuario. La página web de inicio de sesión de cliente puede utilizar cualquier lógica empresarial necesaria para determinar el tipo de credenciales que se va a recopilar.

aplicación federada

Aplicación basada en web que está habilitada para AD FS, lo que significa que los usuarios federados tienen acceso a ella.

usuario federado

Usuario cuya cuenta reside en una organización del asociado de cuenta; tiene acceso a aplicaciones federadas que residen en la organización del asociado de cuenta.

federación

Par de territorios o dominios que han establecido una confianza de federación.

servidor de federación

Equipo en el que se ejecuta Windows Server 2003 R2, Windows Server 2008 o Windows Server 2008 R2 y que se ha configurado para hospedar el componente Servicio de federación de AD FS. Los servidores de federación pueden autenticar o enrutar solicitudes de las cuentas de usuario de otras organizaciones y de los clientes que pueden encontrarse en cualquier lugar de Internet.

proxy de servidor de federación

Equipo en el que se ejecuta Windows Server 2003 R2, Windows Server 2008 o Windows Server 2008 R2 y que se ha configurado para hospedar el componente Proxy de Servicio de federación de AD FS. Los proxies del servidor de federación proporcionan servicios de proxy intermediario entre un cliente de Internet y el servidor de federación situado detrás de un firewall en una red corporativa.

Servicio de federación

Servicio de rol instalable de AD FS que se usa para crear un servidor de federación. Cuando está instalado, el Servicio de federación proporciona tokens en respuesta a solicitudes de tokens de seguridad. Se pueden configurar varios servidores de federación para proporcionar tolerancia a errores y un equilibrio de la carga para un solo Servicio de federación.

Proxy de Servicio de federación

Servicio de rol instalable de AD FS que se usa para crear un proxy de servidor de federación. Cuando está instalado, el servicio de rol proxy de Servicio de federación usa protocolos WS-F PRP para recopilar información de credenciales de usuario de los clientes del explorador y aplicaciones web, así como enviar la información al Servicio de federación en su nombre.

notificaciones de organización

Notificaciones en forma normalizada o intermedia en el espacio de nombres de una organización.

cliente pasivo

Explorador del Protocolo de transferencia de hipertexto (HTTP), con capacidad para HTTP ampliamente admitido, que puede usar cookies. En Windows Server 2003 R2, Windows Server 2008 y Windows Server 2008 R2, AD FS sólo admite clientes pasivos y se adhiere a la especificación WS-F PRP.

cuenta de recursos

Una sola entidad de seguridad, normalmente una cuenta de usuario, que se crea en AD DS y se usa para la asignación a un solo usuario federado. Es necesaria una cuenta de recursos al federar aplicaciones basadas en autorización token de Windows NT porque el agente basado en tokens de Windows debe hacer referencia a una entidad de seguridad de Active Directory en el bosque del asociado de recurso para generar el token de acceso de Windows NT y por tanto aplicar los permisos de control de acceso a la aplicación.

servidor de federación de recursos

Servidor de federación de la organización del asociado de recurso. Normalmente, el servidor de federación de recursos emite tokens de seguridad para los usuarios en función de un token de seguridad emitido por un servidor de federación de cuentas. El servidor:

  • Recibe el token de seguridad.

  • Comprueba la firma.

  • Transforma las notificaciones de organización en función de su directiva de confianza.

  • Genera un nuevo token de seguridad basado en la información del token de seguridad entrante.

  • Firma el nuevo token que se devolverá al usuario y, en última instancia, a la aplicación web.

proxy de servidor de federación de recursos

Proxy de servidor de federación que está situado en la red perimetral de la organización del asociado de recurso. El proxy de servidor de federación realiza la detección del asociado de cuentas para los clientes de Internet y redirige los tokens de seguridad entrantes al servidor de federación de recursos.

grupo de recursos

Un único grupo de seguridad, que se crea en AD DS, al que se asignan esas notificaciones de grupo entrantes (notificaciones de grupo de AD FS desde el asociado de cuenta). Una vez que los usuarios federados se han asignado a un grupo de recursos, los servidores web habilitados para AD FS pueden tomar decisiones de autorización para aplicaciones basadas en autorización token de Windows NT en función de los permisos de acceso que están asignados al identificador de seguridad (SID) para el grupo de recursos.

asociado de recurso

Asociado de federación en el que el Servicio de federación confía para emitir tokens de seguridad basados en notificaciones para aplicaciones basadas en web (es decir, las aplicaciones de la organización del asociado de recurso) a las que tienen acceso los usuarios del asociado de recurso.

token de seguridad

Unidad de datos firmada mediante cifrado que expresa una o más notificaciones. En AD FS, un token de seguridad firmado indica que el servidor de federación que emite el token de seguridad ha comprobado correctamente la autenticidad del usuario federado.

servicio de emisión de tokens de seguridad (STS)

Servicio web que emite tokens de seguridad. Un STS realiza aserciones basándose en las pruebas en que confía, a quienquiera que confíe en él (o a destinatarios específicos). Para comunicar confianza, un servicio requiere una prueba, como una firma para probar el conocimiento de un token de seguridad o un conjunto de tokens de seguridad. El propio servicio puede generar tokens o puede depender de un STS independiente para emitir un token de seguridad con su propia declaración de confianza. Esto forma la base del establecimiento de confianza. En AD FS, el Servicio de federación es un STS.

certificado de autenticación de servidor

Los servidores web habilitados para AD FS, los servidores de federación y los proxies de servidor de federación usan certificados de autenticación de servidor para proteger el tráfico de los servicios web para la comunicación entre ellos y con los clientes web.

conjunto de servidores

En AD FS, colección de servidores de federación con equilibrio de carga, proxies de servidores de federación o servidores web que hospedan el agente web de AD FS.

inicio de sesión único (SSO)

Optimización de la secuencia de autenticación para quitar la carga de acciones de inicio de sesión repetidas por un usuario final.

certificado de firma de tokens

Certificado X.509 cuyo par de claves pública/privada asociado usan los servidores de federación para firmar digitalmente todos los tokens de seguridad que generan los servidores de federación.

Identificador uniforme de recursos (URI)

Cadena compacta de caracteres que identifica un recurso abstracto o físico. Los URI se explican en la solicitud de comentarios (RFC) 2396 (https://go.microsoft.com/fwlink/?LinkId=48289) (puede estar en ingles). En AD FS, los URI se usan para identificar de manera única asociados y almacenes de cuentas.

certificado de comprobación

Certificado que representa la parte de la clave pública de un certificado de firma de tokens. Un certificado de comprobación se almacena en la directiva de confianza y lo usa el servidor de federación de una organización para comprobar que los tokens de seguridad entrantes han sido emitidos por servidores de federación válidos en el conjunto de servidores de la organización y en otras organizaciones.

servicios web

(WS-*)

Especificaciones para una arquitectura de servicios web que se basa en los estándares del sector como Protocolo simple de acceso a objetos (SOAP); XML; Lenguaje de descripción de servicios web (WSDL); y Universal Description, Discovery, and Integration (UDDI). WS-* proporciona una base para entregar soluciones empresariales completas e interoperables para la empresa ampliada, incluyendo la capacidad de administrar seguridad e identidades federadas.

El modelo de servicios web se basa en la idea de que los sistemas empresariales están escritos en diferentes lenguajes, con diferentes modelos de programación, que se ejecutan y a los que tiene acceso desde muchos tipos de dispositivos diferentes. Los servicios web son un medio para crear sistemas distribuidos que pueden conectarse e interactuar entre sí de manera sencilla y eficaz por Internet, independientemente de en qué lenguaje se escriban o en qué plataforma se ejecuten.

Seguridad de servicios web (WS-Security)

Serie de especificaciones que describe cómo adjuntar encabezados de firma y cifrado a mensajes SOAP. Además, WS-Security describe cómo adjuntar los tokens de seguridad, incluidos tokens de seguridad binarios como certificados X.509 y vales Kerberos, a mensajes. En AD FS, se usa WS-Security cuando Kerberos firma tokens de seguridad.

Aplicación basada en autorización token de Windows NT

Aplicación de Windows que depende de un token de Windows NT para realizar la autorización de los usuarios.

WS-Federation

Especificación que define un modelo y un conjunto de mensajes para establecer la confianza y la federación de información de autenticación e identidad en diferentes territorios de confianza.

La especificación de WS-Federation identifica dos orígenes de solicitudes de autenticación e identidad en territorios de confianza:

  • solicitantes activos, como aplicaciones habilitadas para SOAP

  • solicitantes pasivos, que se definen como exploradores HTTP capaces de admitir versiones de HTTP ampliamente admitidas, por ejemplo, HTTP 1.1

Protocolo WS-F PRP (WS-Federation Passive Requestor Profile)

Implementación de la especificación de WS-Federation que propone un protocolo estándar para la manera en la que los clientes pasivos (como los exploradores web) aplican el marco de federación. Dentro de este protocolo, se espera que los solicitantes del servicio web acepten los nuevos mecanismos de seguridad y sean capaces de interactuar con proveedores de servicios web.

Vea también


Tabla de contenido