En Administrador de autorización, los destinatarios de la directiva de autorización están representados por los siguientes tipos de grupos distintos:

  • Usuarios y grupos de Windows. Estos grupos incluyen usuarios, equipos y grupos integrados de entidades de seguridad. Los usuarios y grupos de Windows se utilizan en todo el sistema, no sólo en Administrador de autorización.

  • Grupos de aplicación. Estos grupos incluyen grupos de aplicación básicos y grupos de consulta del protocolo ligero de acceso a directorios (LDAP). Los grupos de aplicación son específicos de la administración basada en roles de Administrador de autorización.

Importante

Un grupo de aplicación es un grupo de usuarios, equipos u otras entidades de seguridad. Un grupo de aplicación no es un conjunto de aplicaciones.

  • Grupos de consulta LDAP. La pertenencia a estos grupos se calcula dinámicamente según sea necesario para las consultas LDAP. Un grupo de consulta LDAP es un tipo de grupo de aplicación.

  • Grupos de aplicación básicos. Estos grupos se definen en términos de grupos de consulta LDAP, usuarios y grupos de Windows, y otros grupos de aplicación básicos. Un grupo de aplicación básico es un tipo de grupo de aplicación.

  • Grupo de aplicación de reglas de negocio. Estos grupos se definen mediante un script programado en VBScript o en JScript y hacen que la pertenencia al grupo se determine dinámicamente en tiempo de ejecución según los criterios definidos.

Usuarios y grupos de Windows

Para obtener más información acerca de los grupos en los Servicios de dominio de Active Directory (AD DS), vea la página sobre el control de acceso basado en roles para aplicaciones multinivel mediante el Administrador de autorización (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=64287). Para obtener más información acerca de las entidades de seguridad no almacenadas en AD DS, vea la página de referencia técnica de entidades de seguridad (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=129213).

Grupos de aplicación

Al crear un nuevo grupo de aplicación, debe determinar si desea que sea un grupo de consulta LDAP o un grupo de aplicación básico. En las aplicaciones basadas en roles de Administrador de autorización, cualquier autorización que se pueda realizar con usuarios y grupos de Windows también se puede realizar con grupos de aplicación.

Las definiciones de pertenencia circulares no están permitidas y dan lugar al mensaje de error "No se puede agregar <Nombre de grupo>. Se produjo el siguiente problema: Se ha detectado un bucle."

Grupos de consulta LDAP

En el Administrador de autorización, puede usar consultas LDAP para buscar objetos en AD DS, en Active Directory Lightweight Directory Services (AD LDS) y en otros directorios compatibles con LDAP.

Para usar una consulta LDAP a fin de especificar un grupo de consulta LDAP, escriba la consulta LDAP deseada en el espacio proporcionado en la ficha Consulta del cuadro de diálogo Propiedades del grupo de aplicación.

El Administrador de autorización admite dos tipos de consultas LDAP que se pueden usar para definir un grupo de consulta LDAP: consultas del Administrador de autorización versión 1 y consultas de URL LDAP.

  • Consultas LDAP del Administrador de autorización versión 1

    Las consultas LDAP de la versión 1 proporcionan una compatibilidad limitada con la sintaxis de consultas de URL LDAP descrita en RFC 2255. Estas consultas se limitan a consultar la lista de atributos del objeto de usuario especificado en el contexto del cliente actual.

    Por ejemplo, la siguiente consulta busca a todo el mundo excepto a Andy:

    (&(objectCategory=person)(objectClass=user)(!cn=andy)).

    Esta consulta evalúa si el cliente es miembro del alias StatusReports en northwindtraders.com:

    (memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)

    El Administrador de autorización sigue siendo compatible con las consultas de la versión 1, por lo que las soluciones desarrolladas con las versiones anteriores del Administrador de autorización pueden actualizarse más fácilmente.

  • Consultas de URL LDAP

    Para eliminar las limitaciones de búsqueda en objetos y atributos, Administrador de autorización admite una sintaxis de consulta de URL LDAP basada en RFC 2255. Esto permite crear grupos de consulta LDAP que utilizan objetos de directorio distintos del objeto de usuario actual como raíz de la búsqueda.

    Una dirección URL LDAP empieza con el prefijo de protocolo "ldap" y tiene este formato:

Nota

El nombre distintivo también se denomina DN.

ldap://<server:port>/<baseObjectDN>?<attributes>?<queryScope>?<Filter>

En concreto, se admite la siguiente gramática:

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName 
       hostport   = hostport 
       attrdesc   = AttributeDescription 
       filter     = filter

Por ejemplo, la consulta siguiente devuelve los usuarios cuyo atributo company está establecido en "FabCo" en el servidor LDAP que se ejecuta en el puerto 389 de un host denominado "fabserver":

ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))

Con las consultas de URL LDAP se puede usar el valor de marcador de posición especial %AZ_CLIENT_DN%.. Este marcador de posición se reemplaza por el nombre distintivo (DN) del cliente que realiza la comprobación de acceso. De esta manera, puede crear consultas que devuelven objetos del directorio en función de su relación con el nombre distintivo del cliente que realiza la solicitud.

En este ejemplo, la consulta LDAP prueba si el usuario es miembro de la unidad organizativa "Customers":

ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

En este ejemplo, la consulta LDAP prueba si el usuario es un informe directo del administrador "SomeManager" y si el valor "searchattribute" de SomeManager es igual al valor específico "searchvalue":

ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))

Para obtener más información acerca de la sintaxis de una consulta de URL LDAP, vea el texto de RFC 2255 (puede estar en inglés) (https://go.microsoft.com/fwlink/?linkid=65973).

Importante

Si la consulta LDAP empieza por "ldap", se tratará como una consulta de URL LDAP. Si empieza por otro prefijo, se tratará como una consulta de la versión 1.

Grupos de aplicación básicos

Los grupos de aplicación básicos son específicos de Administrador de autorización.

Para definir la pertenencia a un grupo de aplicación básico, debe:

  1. Definir quién es miembro.

  2. Definir quién no es miembro.

Estos dos pasos se realizan de la misma manera:

  • En primer lugar, se especifican cero o más usuarios y grupos de Windows, grupos de aplicación básicos definidos previamente o grupos de consulta LDAP.

  • En segundo lugar, se calcula la pertenencia del grupo de aplicación básico eliminando del grupo a cualquiera que no sea miembro. El Administrador de autorización realiza esta operación de forma automática en tiempo de ejecución.

Importante

La no pertenencia a un grupo de aplicación básico tiene preferencia con respecto a la pertenencia.

Grupos de aplicación de reglas de negocio

Los grupos de aplicación de reglas de negocio son específicos de Administrador de autorización.

Para definir la pertenencia a grupos de aplicación de reglas de negocio, debe escribir un script en VBScript o en JScript. El código fuente del script se carga desde un archivo de texto en la página Propiedades del grupo de aplicación de reglas de negocio.

Tabla de contenido