Si tiene prevista la colaboración entre organizaciones (basada en la federación) con los Servicios de federación de Active Directory (AD FS), primero debe determinar si la organización va a hospedar un recurso web al que pueden tener acceso otras organizaciones de Internet o a la inversa. Esta determinación influye en el modo en que se implementa AD FS y es fundamental en el planeamiento de la infraestructura de AD FS.
En el caso de los Diseños de federación como inicio de sesión único (SSO) web federado y SSO web federado con confianza de bosque (pero no el diseño SSO web), AD FS usa términos como "asociado de cuenta" y "asociado de recurso" para ayudar a diferenciar la organización que hospeda las cuentas (el asociado de cuenta) de la organización que hospeda los recursos basados en Web (el asociado de recurso). El término "confianza de federación" se usa en AD FS para caracterizar la relación no transitiva unidireccional que se establece entre el asociado de cuenta y el asociado de recurso.
Para obtener más información acerca de los diseños AD FS, vea Descripción de los diseños de federación.
En las siguientes secciones se explican algunos de los conceptos relacionados con los asociados de cuenta y los asociados de recurso.
Asociado de cuenta
Un asociado de cuenta representa la organización de la relación de confianza de federación que almacena físicamente las cuentas de usuario en un almacén de Servicios de dominio de Active Directory (AD DS) o de Servicios de directorio ligero de Active Directory (AD LDS). El asociado de cuenta es responsable de recopilar y autenticar las credenciales de un usuario, generar notificaciones para dicho usuario y empaquetar las notificaciones en tokens de seguridad. Estos tokens se pueden presentar en una confianza de federación para tener acceso a los recursos basados en Web ubicados en la organización del asociado de recurso.
Dicho de otro modo, un asociado de cuenta representa la organización para cuyos usuarios el Servicio de federación de cuentas emite tokens de seguridad. El Servicio de federación de la organización del asociado de cuenta autentica a los usuarios locales y crea tokens de seguridad utilizados por el asociado de recurso para tomar decisiones de autorización.
Por lo que respecta a AD DS, el asociado de cuenta de AD DS es conceptualmente equivalente a un único bosque de AD DS cuyas cuentas necesitan tener acceso a los recursos ubicados físicamente en otro bosque. Las cuentas de este bosque de ejemplo pueden tener acceso a los recursos del bosque de recursos sólo si existe una relación de confianza externa o de confianza de bosque entre ambos bosques y los recursos a los que los usuarios intentan tener acceso se han establecido con los permisos de autorización correspondientes.
 | Nota |
|
El objetivo estricto de esta analogía es poner de relieve cómo la relación entre las organizaciones de cuentas y asociadas de AD DS es similar conceptualmente a la relación entre un bosque de cuentas y un bosque de recursos en AD DS. Las confianzas externas y las confianzas de bosque no son necesarias para que AD FS funcione. |
Generar notificaciones para el asociado de recurso
Una notificación es una declaración que un servidor realiza (por ejemplo, nombre, identidad, clave, grupo, privilegio o capacidad) sobre un cliente. El asociado de cuenta genera notificaciones que utiliza el Servicio de federación del asociado de recurso. En la siguiente lista se describen los distintos tipos de notificaciones que se pueden configurar en el asociado de cuenta en el servidor de federación de recursos:
-
Notificación de UPN
Al configurar el asociado de cuenta, puede especificar una lista de dominios y sufijos de nombre principal de usuario (UPN) que se pueden aceptar desde el asociado de cuenta. Si se recibe una identidad de UPN cuya parte de dominio no está en la lista, la solicitud se rechaza.
-
Notificación de correo electrónico
Al configurar el asociado de cuenta, puede especificar una lista de dominios y sufijos de correo electrónico que se pueden aceptar desde el asociado de cuenta. Al igual que ocurre con la notificación de UPN, si se recibe una identidad de correo electrónico cuya parte de dominio no está en la lista, la solicitud se rechaza.
-
Notificación de nombre común
Al configurar el asociado de cuenta, puede especificar si las notificaciones de nombre común se pueden recibir desde el asociado de cuenta. Puede que este tipo de notificación no se asigne, sino que simplemente se pase si está habilitada.
-
Notificaciones de grupo
Al configurar el asociado de cuenta, puede especificar un conjunto de notificaciones de grupo entrantes que se pueden aceptar desde el asociado. A continuación, puede asociar cada posible grupo entrante a una notificación de grupo de la organización. Tenga en cuenta que de este modo se crea una asignación de grupos. Si se detecta un grupo entrante sin ninguna asignación, se descarta.
-
Notificaciones personalizadas
Al configurar el asociado de cuenta, puede especificar un conjunto de nombres entrantes de notificaciones personalizadas que se aceptan desde el asociado. A continuación, puede asignar cada posible nombre entrante a una notificación personalizada de la organización. Tenga en cuenta que de este modo se crea una asignación de nombres. Si se detecta una notificación personalizada entrante sin ninguna asignación, se descarta.
Asociado de recurso
Un asociado de recurso es el segundo asociado de la organización en la relación de confianza de federación. Un asociado de recurso es la organización en que residen los servidores web habilitados para AD FS que hospedan una o más aplicaciones basadas en web (los recursos). El asociado de recurso confía en el asociado de cuenta para autenticar a los usuarios. Por consiguiente, para tomar decisiones de autorización, el asociado de recurso utiliza las notificaciones empaquetadas en tokens de seguridad procedentes de usuarios del asociado de cuenta.
Dicho de otro modo, un asociado de recurso representa la organización cuyos servidores web habilitados para AD FS están protegidos por el Servicio de federación de recursos. El Servicio de federación del asociado de recurso usa los tokens de seguridad generados por el asociado de cuenta para tomar decisiones de autorización para los servidores web habilitados para AD FS ubicados en el asociado de recurso.
Para funcionar como recurso de AD FS, los servidores web habilitados para AD FS de la organización del asociado de recurso deben tener instalado el componente agente web de AD FS. Los servidores web que funcionan como recurso de AD FS pueden hospedar aplicaciones para notificaciones o aplicaciones basadas en autorización token de Windows NT.
| Nota |
|
Si la aplicación hospedada en el servidor web habilitado para AD FS es una aplicación basada en autorización token de Windows NT, puede que sea necesaria una cuenta de recursos para el bosque de AD FS de la organización del asociado de recurso. |
Por lo que respecta a AD FS, el asociado de recurso es conceptualmente equivalente a un único bosque cuyos recursos están disponibles a través de una relación de confianza externa o de confianza de bosque para cuentas ubicadas físicamente en otro bosque.
| Nota |
|
El objetivo estricto de esta analogía es poner de relieve cómo la relación entre las organizaciones de cuentas y asociadas de AD DS es similar conceptualmente a la relación entre un bosque de cuentas y un bosque de recursos en AD DS. Las confianzas externas y las confianzas de bosque no son necesarias para que AD FS funcione. |
Utilizar notificaciones procedentes del asociado de cuenta
Un asociado de recurso utiliza las notificaciones que el Servicio de federación del asociado de cuenta genera y empaqueta en tokens de seguridad. En la siguiente lista se describe cómo se pueden enviar notificaciones al asociado de recurso:
-
Notificación de UPN
Al configurar el asociado de recurso, puede especificar si se va a enviar una notificación de UPN al asociado de recurso. Además, puede especificar una asignación de sufijo de modo que se asigne cualquier sufijo a un sufijo saliente especificado. Por ejemplo, julianp@sales.tailspintoys.com se puede asignar a julianp@tailspintoys.com. Tenga en cuenta que tan sólo se puede especificar un sufijo saliente.
-
Notificación de correo electrónico
Al configurar el asociado de recurso, puede especificar si se va a enviar una notificación de correo electrónico al asociado de recurso. Además, puede especificar una asignación de sufijo de modo que se asigne cualquier sufijo a un sufijo especificado. Por ejemplo, vernettep@sales.tailspintoys.com se puede asignar a vernettep@tailspintoys.com. Tenga en cuenta que tan sólo se puede especificar un sufijo saliente.
-
Notificación de nombre común
Al configurar el asociado de recurso, puede especificar si las notificaciones de nombre común se pueden enviar al asociado de recurso. Puede que este tipo de notificación no se asigne, sino que simplemente se pase al asociado de recurso si está habilitada.
-
Notificaciones de grupo
Al configurar el asociado de recurso, puede especificar un conjunto de notificaciones de grupo salientes que puede aceptar el asociado de recurso. A continuación, puede asociar cada notificación de grupo saliente posible a notificaciones de grupo de la organización. Tenga en cuenta que de este modo se crea un conjunto de asignaciones de grupos. No se crean notificaciones de grupo de organización que no coincidan con una notificación de grupo saliente.
-
Notificaciones personalizadas
Al configurar el asociado de recurso, puede especificar un conjunto de notificaciones personalizadas salientes que acepta el asociado de recurso. Puede asignar cada notificación personalizada saliente posible a una notificación personalizada de organización. Tenga en cuenta que de este modo se crea un conjunto de asignaciones de nombres. No se crean notificaciones personalizadas de organización que no coincidan con una notificación personalizada saliente.
Privacidad de identidad mejorada
Habilitar la privacidad de identidad mejorada es una configuración opcional que se puede establecer en un asociado de recurso de la directiva de confianza. Si la opción Habilitar la privacidad de identidad mejorada está habilitada, dicha configuración genera un valor hash para la parte de nombre de usuario de las notificaciones de UPN salientes y las notificaciones de correo electrónico. Sustituye el nombre común por un valor aleatorio.
La finalidad de esta característica es impedir:
-
La correlación por parte del asociado de recurso entre las notificaciones de identidad y la información de identificación personal del usuario.
-
La connivencia entre asociados para correlacionar las notificaciones de identidad y la información de identificación personal del usuario. Esta opción crea un hash único para cada asociado de modo que los valores de las notificaciones de identidad sean diferentes en los distintos asociados de territorio de confianza, pero coherentes en las sesiones para un solo asociado.
-
Ataques de diccionarios sencillos contra el hash mediante la creación de un valor salt para el valor del usuario con los datos de la directiva de confianza (datos no conocidos por los asociados de recurso).