Las notificaciones son declaraciones (por ejemplo, nombre, identidad, clave, grupo, privilegio o capacidad) realizadas acerca de los usuarios, y comprendidas por los asociados de una federación de Servicios de federación de Active Directory (ADFS), que se utilizan para fines de autorización en una aplicación.
El Servicio de federación establece una confianza entre entidades muy dispares. Está diseñado para permitir el intercambio de confianza de notificaciones arbitrarias con valores arbitrarios. La parte receptora utiliza entonces estas notificaciones para tomar decisiones de autorización.
Hay tres maneras de que las notificaciones fluyan por el Servicio de federación:
-
Del almacén de cuentas al Servicio de federación de cuentas al asociado de recurso
-
Del asociado de cuenta al Servicio de federación de recursos al recurso de aplicación
-
Del almacén de cuentas a un Servicio de federación al recurso de aplicación
El Servicio de federación se puede configurar para que actúe en las tres funciones anteriores. Por tanto, un Servicio de federación único puede facilitar los tres flujos de comunicación.
Existen tres tipos de notificaciones admitidos por el Servicio de federación: notificaciones de identidad, notificaciones de grupo y notificaciones personalizadas. En la tabla siguiente se describe cada uno de estos tipos de notificación de manera más detallada.
|
Tipo de notificación
|
Descripción
|
|---|
Identidad | UPN, correo electrónico y nombre común en ADFS son tipos de notificación de identidad. -
UPN: indica un nombre principal de usuario (UPN) de estilo Kerberos, por ejemplo: usuario@territorio. Sólo una notificación puede ser del tipo UPN. Incluso si se deben comunicar varios valores UPN, sólo uno puede ser del tipo UPN. Los UPN adicionales se pueden configurar como tipos de notificaciones personalizadas.
-
Correo electrónico: indica los nombres de correo electrónico de estilo RFC 2822 en el formato usuario@dominio. Sólo una notificación puede ser del tipo de correo electrónico. Incluso si se deben comunicar varios valores de correo electrónico, sólo uno puede ser del tipo de correo electrónico. Los correos electrónicos adicionales se pueden configurar como tipos de notificaciones personalizadas.
-
Nombre común: indica una cadena arbitraria utilizada para personalización. Entre los ejemplos se incluyen John Smith o empleado de Tailspin Toys. Sólo una notificación puede tener el tipo de nombre común. Es importante tener en cuenta que no hay ningún mecanismo para garantizar la exclusividad de la notificación de nombre común. Por consiguiente, se debe tener cuidado al utilizar este tipo de notificación en las decisiones de autorización.
|
Grupo | Indica pertenencia a un grupo o una función. Los administradores definen notificaciones individuales que tienen el tipo de grupo "Notificaciones de grupo". Por ejemplo, puede definir el siguiente conjunto de notificaciones de grupo: [Programador, Comprobador, Director de programa]. Cada notificación de grupo es una unidad de administración independiente para el llenado y la asignación de notificaciones. Resulta útil considerar el valor de una notificación de grupo como un valor booleano que indica pertenencia. |
Personalizada | Indica una notificación que contiene información personalizada acerca de un usuario, por ejemplo, un número de Id. de empleado. |
Si hay presente más de uno de los tres tipos de notificaciones en un token, la prioridad de las notificaciones de identidad sigue este orden:
-
UPN
-
Correo electrónico
-
Nombre común
Debe estar presente al menos uno de estos tipos de notificación de identidad para que se emita un token.
Auditoría de notificaciones
Se pueden designar algunas notificaciones de grupo y notificaciones personalizadas como auditables. Cuando se habilita la auditoría, ésta permite exponer el nombre de la notificación en el registro de sucesos de seguridad, pero se omite el valor de la notificación. Un ejemplo de notificación auditable es el Número de seguridad social. Se expone el Número de seguridad social pero no se expone el valor del número real que se almacena en dicha notificación. No se audita el valor de la notificación cuando se produce o se asigna la notificación.
.gif) Nota |
|---|
|
Los tipos de notificación de identidad son siempre auditables. |
Productores y consumidores de notificaciones
La manera en que se utilizan las notificaciones depende del consumidor o productor de notificaciones. Las notificaciones son entrantes o salientes. ADFS admite los siguientes consumidores y productores de notificaciones:
-
Almacenes de cuentas de Active Directory
-
Almacenes de cuentas de ADAM
-
Asociados de cuenta
-
Asociados de recurso
-
Aplicaciones para notificaciones
-
Aplicaciones basadas en autorización token de Windows NT
Almacén de cuentas de Active Directory
El almacén de cuentas de Active Directory es un productor de notificaciones que representa la autenticación para el Servicio de federación. En concreto, el Servicio de federación puede iniciar la sesión de los usuarios desde su dominio, desde los dominios que son directamente de confianza para su dominio, desde dominios del mismo bosque que su dominio, y desde dominios de bosques que tengan confianzas de bosques con el bosque del dominio.
El almacén de cuentas de Active Directory sólo está disponible si el Servicio de federación está unido a un dominio.
Almacén de cuentas de ADAM
El almacén de cuentas de ADAM es un productor de notificaciones que representa la autenticación para el Servicio de federación.
-
Notificación UPN: cuando configure el almacén de cuentas de ADAM, puede especificar el atributo de usuario LDAP, si existe, que contiene el UPN del usuario.
-
Notificación de correo electrónico: cuando configure el almacén de cuentas de ADAM, puede especificar el atributo de usuario LDAP, si existe, que contiene la dirección de correo electrónico del usuario.
-
Notificación de nombre común: cuando configure el almacén de cuentas de ADAM, puede especificar el atributo de usuario LDAP, si existe, que contiene el nombre común del usuario.
Debe asignar al menos un tipo de notificación de identidad al almacén de cuentas de ADAM para que el Servicio de federación permita que se habilite dicho almacén.
-
Notificaciones de grupo: cuando configure el almacén de cuentas de ADAM, puede especificar el atributo de usuario LDAP que contiene los grupos LDAP del usuario o cualquier otro atributo que podría funcionar como un grupo, como Puesto (si los grupos se basan en la función de trabajo) y, a continuación, asignar cada grupo LDAP posible a un grupo de organización.
-
Notificaciones personalizadas: cuando configure el almacén de cuentas de ADAM, puede especificar los atributos de usuario LDAP que contienen valores de notificaciones. A continuación, puede asignar cada nombre de atributo a una notificación personalizada de organización.