Administrador de autorización permite proporcionar servicios de autorización a los administradores a los que ofrece asistencia mediante la creación de aplicaciones de Administrador de autorización que tengan acceso a los almacenes de autorización.
En Administrador de autorización, no hay un almacén de autorización predeterminado ni una aplicación predeterminada. Para crear un almacén de autorización, debe trabajar en el modo de programador de Administrador de autorización. Para obtener más información acerca de cómo trabajar en modo de programador, consulte Establecer opciones de Administrador de autorización.
Puede guardar almacenes de autorización en archivos XML, Servicios de dominio de Active Directory (AD DS), Active Directory Lightweight Directory Services (AD LDS) o bases de datos de Microsoft SQL Server.
En la tabla siguiente se comparan los distintos tipos de almacén de autorización.
Tipo de almacén de autorización | Compatibilidad con delegación | El almacén de autorización se especifica mediante | Requisitos | ||||
---|---|---|---|---|---|---|---|
AD DS o AD LDS |
Compatible en los niveles de almacén de autorización, aplicación y ámbito |
Una dirección URL que empieza por el prefijo de protocolo MSLDAP:// o un nombre distintivo LDAP (por ejemplo, CN=myStore,CN=Program Data,DN=nwtraders,DN=com) |
El nivel funcional del dominio debe ser Windows Server 2003 o superior.
| ||||
XML |
No se admite El archivo XML está protegido en su conjunto por sus entradas de control de acceso (ACE) del sistema de archivos NTFS. |
Una dirección URL que empieza por el prefijo de protocolo MSXML:// o una ruta de acceso (por ejemplo, C:\Temp\MyStore.xml or \\ServerName\ShareName\MyStore.xml) |
Cualquier partición NTFS | ||||
SQL Server |
Compatible en los niveles de almacén de autorización, aplicación y ámbito |
Una dirección URL que empieza por el prefijo de protocolo MSSQL:// seguida de una cadena de conexión, un nombre de base de datos y un nombre de almacén de directivas con el formato: MSSQL://<connection string>/<database name>/<policy store name> |
Como mínimo Microsoft SQL Server 2000 |
Una aplicación es específica de un almacén de autorización y siempre se encuentra ubicada directamente en su almacén de autorización primario en Administrador de autorización. Para obtener más información, vea Crear una aplicación de Administrador de autorización.
Los ámbitos, los roles, las tareas y las operaciones son siempre específicos de una aplicación. Para obtener más información, vea Descripción de los ámbitos de Administrador de autorización y Descripción de las definiciones de rol, tarea y operación de Administrador de autorización.
Uso de los grupos de aplicación
Un grupo de aplicación es un grupo de usuarios de una aplicación de Administrador de autorización. Puede crear grupos de aplicación en cualquiera de los tres niveles de la consola de Administrador de autorización. En la siguiente tabla se enumeran los distintos niveles de Administrador de autorización en los que puede crear grupos de aplicación.
Nivel | El grupo de aplicación se puede usar en |
---|---|
Almacén de autorización |
El almacén de autorización y las aplicaciones y ámbitos contenidos en él |
Aplicación |
La aplicación y los ámbitos contenidos en ella |
Ámbito |
El ámbito |
Para obtener más información acerca de los grupos de aplicación, vea Descripción de los grupos de aplicación de Administrador de autorización.
Delegación de las aplicaciones y los almacenes de autorización
Los almacenes de autorización que se guardan en AD DS, AD LDS o SQL Server admiten la delegación. Esto significa que puede autorizar a otros usuarios a administrar estos almacenes de autorización o las aplicaciones que contienen.
Para obtener más información acerca de cómo realizar la delegación, vea Permitir a otros usuarios administrar un almacén de autorización.