Exportar (0) Imprimir
Expandir todo

Proveedores de identidades de WS-Federation

Publicada: abril de 2011

Actualizado: mayo de 2011

Se aplica a: Windows Azure

Los proveedores de identidades de WS-Federation son proveedores de identidades personalizados que admiten el protocolo WS-Federation y se configuran en Windows Azure AppFabric Access Control Service (ACS) usando los metadatos de WS-Federation. Un proveedor de identidades WS-Federation también puede admitir otros protocolos de federación, como WS-Trust. Los protocolos de identidad WS-Federation se usan con mayor frecuencia en escenarios de aplicación y sitio web, donde se usa el WS-Federation Passive Requester Profile para facilitar las redirecciones de token necesarias a y desde ACS mediante un explorador web.

Microsoft Active Directory Federation Services 2.0

Un ejemplo habitual de un proveedor de identidades de WS-Federation es Servicios de federación de Active Directory (AD FS) 2.0. Puede usarlo para integrar sus cuentas de Active Directory de empresa con ACS. Para poder agregar y configurar AD FS 2.0 como un proveedor de identidades en ACS, debe tener AD FS 2.0 instalado y trabajando con al menos una confianza de proveedor de notificaciones, por ejemplo, Servicios de dominio de Active Directory (AD DS). Para obtener más información, vea Procedimiento: Configurar AD FS 2.0 como proveedor de identidades

Configurar con el portal de administración de ACS

Al configurar un proveedor de identidades de WS-Federation mediante el portal de administración de ACS, debe especificar lo siguiente:

  • Nombre para mostrar: especifica el nombre para mostrar del proveedor de identidades. Este nombre solo se usa en el portal de administración de ACS.

  • Metadatos de WS-Federation: contiene información de configuración (es decir, metadatos de federación) en los servicios federados establecidos (como tokens y autorizaciones) y las directivas para obtener acceso a los mismos. Al agregar un proveedor de identidades de WS-Federation en ACS, debe escribir la dirección URL o cargar una copia local en el documento de metadatos para su proveedor de identidades de WS-Federation.

    CautionPrecaución
    Solo importe los metadatos de WS-Federation desde un proveedor de identidades de WS-Federation en el que confíe.

    Si desea agregar un proveedor de identidades de WS-Federation, por razones de seguridad, se recomienda que este proveedor de identidades de WS-Federation publique este documento en una dirección URL HTTPS para que ACS importe desde ella. También se recomienda que solo los extremos de emisión de token HTTPS se usen por el proveedor de identidades de WS-Federation.

  • Texto de vínculo de inicio de sesión: especifica el texto que se muestra para este proveedor de identidades en la página de inicio de sesión de la aplicación web. Para obtener más información, vea Páginas de inicio de sesión y detección del dominio kerberos principal.

  • Dirección URL de imagen (opcional): asocia una dirección URL con un archivo de imagen (por ejemplo, el logotipo que elija) que puede visualizar como el vínculo de inicio de sesión para este proveedor de identidades. Este logotipo aparece automáticamente en la página de inicio de sesión predeterminada para su aplicación web para ACS, así como en la fuente JSON de su aplicación web que puede usar para representar una página de inicio de sesión personalizada. Si no especifica una dirección URL de imagen, se muestra un vínculo de inicio de sesión de texto para este proveedor de identidades en la página de inicio de sesión de la aplicación web. Si especifica una dirección URL de imagen, se recomienda que señale a un origen de confianza, por ejemplo, su propio sitio web o aplicación, usando HTTPS para evitar las advertencias de seguridad del explorador. Además, a cualquier imagen mayor de 240 píxeles de ancho y 40 píxeles de alto se le cambia el tamaño automáticamente en la página de detección de dominio kerberos principal de ACS predeterminada. Se recomienda que obtenga permiso de su partner de AD FS 2.0 para mostrar esta imagen.

  • Nombres de dominio de correo electrónico (opcional): para solicitar a los usuarios que inicien sesión con su dirección de correo electrónico, puede especificar los sufijos de dominio de correo electrónico hospedados por este proveedor de identidades. De lo contrario, deje este campo en blanco para visualizar un vínculo de inicio de sesión directo. Use el punto y coma para separar la lista de sufijos. Para obtener más información, vea Páginas de inicio de sesión y detección del dominio kerberos principal.

  • Aplicaciones de usuario de confianza: especifica todas las aplicaciones de usuario de confianza existentes que desea asociar con este proveedor de identidades. Para obtener más información, vea Aplicaciones de usuario de confianza.

Una vez que se ha asociado un proveedor de identidades con una aplicación de usuario de confianza, las reglas para dicho proveedor de identidades se deben generar o agregar manualmente en el grupo de reglas de un usuario de confianza para completar la configuración. Para obtener más información acerca de la creación de reglas, vea Grupos de reglas y reglas.

Tipos de notificaciones admitidas

Cuando un usuario se autentica con un proveedor de identidades, recibe un token rellenado con notificaciones de identidad. Las notificaciones son fragmentos de información acerca del usuario, como una dirección de correo electrónico o un id. exclusivo. ACS puede pasar estas notificaciones directamente a través de la aplicación de usuario de confianza o crear decisiones de autorización basadas en los valores que contienen.

De manera predeterminada, los tipos de notificaciones en ACS se identifican de manera única mediante un URI para el cumplimiento con la especificación de token SAML. Estos URI también se usan para identificar notificaciones en otros formatos de token.

Para los proveedores de identidades de WS-Federation, los tipos de notificación disponibles están determinados por los metadatos de WS-Federation para el proveedor de identidades importado en ACS. Una vez se ha completado la importación, los tipos de notificaciones disponibles para el proveedor de identidades están visibles en la página Editar regla de reclamación del portal de administración de ACS. Estos tipos de notificación también están visibles por la entidad ClaimType del servicio de administración de ACS.

Además de los tipos de notificación disponibles a través de los metadatos de WS-Federation, ACS siempre emite las siguientes notificaciones para cada proveedor de identidades de WS-Federation.

 

Tipo de notificación URI Descripción

Identificador de nombre

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Identificador exclusivo para la cuenta de usuario, proporcionada por el proveedor de identidades.

Proveedor de identidades

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Notificación proporcionada por ACS que indica la aplicación de usuario de confianza que el usuario ha autenticado usando el proveedor de identidades seleccionado. El valor de esta notificación está visible en el portal de administración de ACS mediante el campo Dominio kerberos de la página Editar proveedor de identidades.

noteNota
Los proveedores de identidades de WS-Federation también pueden emitir tipos de notificación a ACS que no se enumeran explícitamente en el documento de metadatos de WS-Federation del proveedor de identidades. En este caso, se debe escribir manualmente el URI de tipo de notificación previsto en una regla en lugar de seleccionarlo. Para obtener más información acerca de las reglas, vea Grupos de reglas y reglas.

Vea también

Mostrar:
© 2014 Microsoft