Como parte del proceso de diseño de la implementación de los Servicios de federación de Active Directory (AD FS), identifique el tipo de aplicación federada que desea asegurar mediante AD DS. Para que una aplicación se federe, la aplicación debe tener al menos uno de los tipos de aplicación descritos en las siguientes secciones.

Para obtener más información acerca de la compatibilidad de aplicaciones mejorada de esta versión de AD FS, consulte las novedades de AD FS en Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684) (puede estar en inglés).

Aplicación para notificaciones

Las notificaciones son declaraciones (por ejemplo, nombre, identidad, clave, grupo, privilegio o capacidad) realizadas acerca de los usuarios, y comprendidas por los asociados de una federación de AD FS), que se usan para fines de autorización en una aplicación.

Una aplicación para notificaciones es una aplicación Microsoft ASP.NET escrita empleando la biblioteca de clases AD FS. Este tipo de aplicación es completamente capaz de usar notificaciones de AD FS para tomar decisiones de autorización directamente. Una aplicación para notificaciones acepta notificaciones que el Servicio de federación envía en tokens de seguridad de AD FS. Para obtener más información acerca de cómo el Servicio de federación usa tokens de seguridad y notificaciones, vea Descripción del servicio de rol Servicio de federación.

La asignación de notificaciones consiste en asignar, quitar o filtrar, o pasar notificaciones entrantes en notificaciones salientes. La asignación de notificaciones no se produce cuando se envían las notificaciones a una aplicación. En su lugar, sólo se envían a la aplicación las notificaciones de organización especificadas por el administrador del Servicio de federación en el asociado de recurso. (Las notificaciones de organización son notificaciones con una forma normalizada o intermedia en el espacio de nombres de una organización.) Para obtener más información acerca de las notificaciones y su asignación, vea Descripción de las notificaciones.

En la lista siguiente se describen las notificaciones de organización que las aplicaciones para notificaciones pueden usar:

  • Notificaciones de identidad (UPN, correo electrónico, nombre común)

    Cuando configure la aplicación, especifique cuáles de estas notificaciones de identidad se enviarán a la aplicación. No se realiza ninguna asignación ni filtrado.

  • Notificaciones de grupo

    Cuando configure la aplicación, especifique las notificaciones de grupo de organización que se enviarán a la aplicación. Se descartarán las notificaciones de grupo de organización que no estén designadas para enviarse a la aplicación.

  • Notificaciones personalizadas

    Cuando configure la aplicación, especifique las notificaciones personalizadas de organización que se enviarán a la aplicación. Se descartarán las notificaciones personalizadas de organización que no estén designadas para enviarse a la aplicación.

Autorización para notificaciones

La autorización para notificaciones consta de objetos y un módulo Protocolo de transferencia de hipertexto (HTTP) para consultar las notificaciones que se incluyen en el token de seguridad de AD FS. La autorización para notificaciones sólo está admitida para aplicaciones Microsoft ASP.NET.

El módulo HTTP procesa los mensajes del protocolo AD FS en función de los valores de configuración del archivo Web.config de la aplicación web. Las páginas web realizan tareas de autenticación y autorización. El módulo HTTP también autentica cookies y obtiene notificaciones de ellas.

Aplicación basada en autorización token de Windows NT

Una aplicación basada en autorización token de Windows NT es una aplicación de Internet Information Services (IIS) que se ha escrito para utilizar mecanismos de autorización nativos de Windows tradicionales. Este tipo de aplicación no está preparado para consumir notificaciones de AD FS.

Los usuarios de Windows pueden utilizar las aplicaciones basadas en autorización token de Windows NT desde el territorio local o desde cualquier territorio en el que confíe el territorio local; es decir, sólo los usuarios que pueden iniciar una sesión en el equipo con técnicas de autenticación basadas en autorización token de Windows NT.

Nota

En diseños de federación, esto significa que las cuentas de recursos o los grupos de recursos puede ser necesarios para la autenticación basada en autorización token de Windows NT.

El token de seguridad de AD FS que se envía al agente basado en autorización token de Windows NT puede contener cualquiera de los siguientes tipos de notificaciones:

  • Notificación de nombre principal del usuario (UPN) para el usuario

  • Notificación de correo electrónico para el usuario

  • Notificación de grupo

  • Notificación personalizada para el usuario

  • Notificación de UPN, de correo electrónico, del grupo o personalizada que contenga identificadores de seguridad (SID) de la cuenta de usuario. Esto sólo se aplica cuando la opción Confianza de Windows está habilitada.

El servidor web habilitado para AD FS genera un token de acceso de nivel de suplantación de Windows. El token de acceso de nivel de suplantación captura la información de seguridad para un proceso de cliente, lo que permite a un servicio "suplantar" el proceso del cliente en operaciones de seguridad.

Para aplicaciones basadas en autorización token de Windows NT, el siguiente orden de proceso determina cómo se crea un token de Windows NT:

  1. Si el token de lenguaje de marcado de aserción de seguridad (SAML) contiene SID en el elemento de consejo de SAML, los SID se utilizan para generar el token de Windows NT.

  2. Si el token de SAML no contiene ningún SID y en su lugar contiene una notificación de identidad UPN, se usa la notificación de UPN para generar el token de Windows NT.

  3. Si el token de SAML no contiene SID y la notificación de identidad de UPN de la notificación de identidad de correo electrónico está presente, se interpreta como un UPN y se utiliza para generar el token de Windows NT.

Este comportamiento no depende de si la notificación de identidad de correo electrónico o UPN se especifica como la notificación de identidad usada para generar el token de Windows NT cuando se crea la entrada de la directiva de confianza para la aplicación web en el Servicio de federación.

Autorización basada en Windows tradicional

La compatibilidad para convertir un token de seguridad de AD FS en un token de acceso de Windows NT de nivel de suplantación requiere una serie de componentes:

  • Extensión ISAPI (Interfaz de programación de aplicaciones de servidor Internet): Este componente comprueba las cookies de AD FS y los tokens de seguridad de AD FS del Servicio de federación, realiza las redirecciones de protocolo adecuadas y escribe las cookies necesarias para que AD FS funcione.

  • Paquete de autenticación de AD FS: el paquete de autenticación de AD FS genera un token de acceso de nivel de suplantación, dado un UPN para una cuenta de dominio. El paquete requiere que el usuario que llama tenga el privilegio Trusted Computing Base (TCB).

  • las páginas de propiedades Agente web de AD FS y Dirección URL del Servicio de federación en el complemento Administrador IIS: Puede usar estas páginas de propiedades para administrar directivas y certificados para comprobar las cookies y el token de seguridad de AD FS.

  • Servicio de autenticación del agente web de AD FS: el Servicio de autenticación del agente web de AD FS se ejecuta como Sistema local para generar un token mediante Service-for-User (S4U) o el paquete de autenticación de AD FS. Sin embargo, el grupo de aplicaciones de Internet Information Services (IIS) no es necesario para ejecutarse como Sistema local. El Servicio de autenticación del agente web de AD FS tiene interfaces a las que sólo se puede llamar con una llamada a procedimiento remoto local (LRPC), no una llamada a procedimiento remoto (RPC). El servicio devuelve un token de acceso de Windows NT de nivel de suplantación si se proporciona un token de seguridad de AD FS o una cookie de AD FS.

  • Filtro ISAPI del agente web de AD FS: determinadas aplicaciones web de IIS tradicionales utilizan un filtro ISAPI que puede modificar datos entrantes, como Localizadores uniformes de recursos (URL). Si éste es el caso, se debe habilitar y configurar el filtro ISAPI del agente web de AD FS como el filtro de mayor prioridad. Este filtro no está habilitado de manera predeterminada.

Tabla de contenido