Share via

Autenticación basada en notificaciones con Microsoft UAG 2010 (SharePoint Server 2010)

  • Artículo

 

Se aplica a: SharePoint Foundation 2010, SharePoint Server 2010

Última modificación del tema: 2016-11-30

Microsoft Unified Access Gateway (UAG) 2010 con Service Pack 1 (SP1) incorpora la compatibilidad con Servicios de federación de Active Directory versión 2.0 (ADFS 2.0). UAG es un usuario de confianza compatible con notificaciones que ahora admite la publicación de aplicaciones de Microsoft SharePoint Server 2010 con la autenticación basada en notificaciones. (Aún se admite el acceso de socio mediante inicio de sesión único en las aplicaciones o los servidores que ejecutan SharePoint Server 2010 y no son compatibles con notificaciones).

En los siguientes pasos, se detalla el flujo del proceso de autenticación de usuarios de una organización asociada a través de un servidor que ejecuta UAG en un servidor que ejecuta SharePoint Server 2010:

  1. Los usuarios asociados intentan obtener acceso a la aplicación de SharePoint Server publicada mediante la autenticación basada en notificaciones de uno de los siguientes modos: obtienen acceso al portal de Forefront UAG y, a continuación, hacen clic en la aplicación de SharePoint Server publicada u obtienen acceso a la aplicación de SharePoint Server publicada directamente con el nombre de asignación alternativa de acceso de SharePoint Server.

  2. Forefront UAG redirige la solicitud del explorador web al servidor de federación de recursos para autenticar al usuario.

  3. El servidor de federación de recursos muestra a los usuarios la página de detección de dominio de inicio en la que deben elegir la organización a la que pertenecen; en este caso, la organización asociada.

  4. El servidor de federación de recursos redirige el explorador web al servidor de federación de cuenta donde los usuarios se autentican con sus propias credenciales, después de lo cual reciben un token de seguridad. Algunos esquemas de autenticación piden las credenciales.

  5. En segundo plano, se redirige a los usuarios varias veces y se los autentica, con el token de seguridad creado por el servidor de federación de cuenta, en el servidor de federación de recursos y, posteriormente, en Forefront UAG. Si intentan obtener acceso directamente a la aplicación de SharePoint Server publicada, se los redirige al sitio de SharePoint Server, después de lo cual aparece el sitio de SharePoint Server. Si, en primer lugar, obtienen acceso al portal de Forefront UAG, deben hacer clic en la aplicación de SharePoint Server para ver el sitio de SharePoint Server.

  6. Una vez realizada correctamente la primera conexión al sitio de SharePoint Server, el servidor de federación de recursos almacena una cookie en el equipo del usuario. La cookie se almacena por 30 días de forma predeterminada; la duración puede configurarse en el archivo web.config del servidor de federación de recursos. Durante este período, no se solicita a los usuarios que respondan a preguntas de identificación en la página de detección de dominio de inicio; es decir, no se les solicita que elijan la organización a la que pertenecen.

dibujo

Advertencia

En este escenario, se producirá un error en la integración de Office si la sesión de un cliente remoto expira en el servidor de UAG.

Nota

Para obtener más información acerca del acceso de usuarios remotos mediante notificaciones y Microsoft UAG, vea Plan employee access using claims.

UAG con SP1 también incorpora la autorización basada en notificaciones. Por ejemplo, si un usuario tiene una notificación de rol, UAG puede permitir o denegar el acceso del usuario según el valor de la notificación. Estas reglas se establecen mediante directivas en UAG y se asignan a roles en ADFS.

Nota

Estas reglas de autorización basada en notificaciones solo pueden usarse cuando UAG es un usuario de confianza de ADFS.

UAG con SP1 también incorpora la funcionalidad de cierre de sesión único; cuando los usuarios cierran sesión, se cierran sus sesiones en todas las aplicaciones basadas en el servidor de federación de autenticación. Existen algunas maneras en que un cliente puede cerrar sesión (o que sus sesiones se cierren automáticamente):

  • Un usuario puede cerrar sesión desde el portal de UAG.

  • Un intervalo de inactividad agotado puede hacer que se cierre la sesión de un usuario.

  • Los tiempos de cierre de sesión programados de UAG pueden hacer que se cierre la sesión de un usuario.

Para obtener más información acerca del cierre de sesión único, vea el tema Introducción a AD FS 2.0 con Forefront UAG (https://go.microsoft.com/fwlink/?linkid=207207&clcid=0xC0A).

UAG aún puede proporcionar acceso de inicio de sesión único (SSO) si una aplicación usa la autenticación Kerberos o NTLM y, además, lleva a cabo una traducción automática de Kerberos para los clientes. Para obtener más información, vea el tema Configuración del inicio de sesión único con la delegación limitada de kerberos en aplicaciones no compatibles con notificaciones (https://go.microsoft.com/fwlink/?linkid=207208&clcid=0xC0A).

See Also

Other Resources

Plan employee access using claims
Introducción a AD FS 2.0 con Forefront UAG (https://go.microsoft.com/fwlink/?linkid=207207&clcid=0xC0A)
Configuración del inicio de sesión único con la delegación limitada de kerberos en aplicaciones no compatibles con notificaciones (https://go.microsoft.com/fwlink/?linkid=207208&clcid=0xC0A)