¿Le resultó útil esta página?
Sus comentarios sobre este contenido son muy importantes. Háganos saber su opinión.
¿Tiene comentarios adicionales?
Caracteres restantes: 1500
Aplicaciones de usuario de confianza

Aplicaciones de usuario de confianza

Publicada: abril de 2011

Actualizado: junio de 2015

Se aplica a: Azure

Una aplicación de usuario de confianza (también conocida como una aplicación compatible con notificaciones o una aplicación basada en notificaciones) es una aplicación o servicio que se basa en notificaciones para la autenticación. En Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS), una aplicación de usuario de confianza es un sitio web, una aplicación o un servicio que utiliza ACS para implementar la autenticación federada.

Puede crear y configurar aplicaciones de usuario de confianza de forma manual a través del Portal de administración de ACS, o mediante programación, usando el Servicio de administración de ACS.

En el Portal de administración de ACS, la aplicación de usuario de confianza que agrega y configura es una representación lógica de su sitio web, aplicación o servicio que confía en un determinado Espacio de nombres Access Control. Puede agregar y configurar muchas aplicaciones de usuario de confianza en cada Espacio de nombres Access Control.

Puede utilizar el Portal de administración de ACS para configurar las siguientes propiedades de una aplicación de usuario de confianza:

La propiedad Mode determina si configura los ajustes de aplicación de usuario de confianza manualmente o especifica un documento de metadatos de WS-Federation que define la configuración de la aplicación.

Normalmente, un documento de metadatos de WS-Federation contiene un dominio kerberos de una aplicación y una dirección URL de retorno. También puede incluir un certificado de cifrado opcional que se utiliza para cifrar los tokens que emite ACS para la aplicación. Si se especifica un documento de WS-Federation y los metadatos contienen un certificado de cifrado, la configuración Directiva de cifrado de tokens cambia de forma predeterminada a Requerir cifrado. Si el valor de la configuración de la Directiva de cifrado de tokens es Requerir cifrado, pero el documento de metadatos de WS-Federation no incluye un certificado de cifrado, debe cargar manualmente un certificado de cifrado.

Si la aplicación de usuario de confianza se integra con Windows Identity Foundation (WIF), WIF crea automáticamente un documento de metadatos de WS-Federation para su aplicación.

La propiedadRealm define el URI en el que los tokens que emite ACS son válidos. La URL de retorno (también conocida como la dirección ReplyTo) define la dirección URL a la que se envían los tokens emitidos porACS. Cuando se solicita un token para el acceso a la aplicación de usuario de confianza, ACS emite el token solo cuando el dominio kerberos de la solicitud de token coincide con el dominio kerberos de la aplicación de usuario de confianza.

ImportantImportante
En ACS, los valores de dominio kerberos distinguen mayúsculas de minúsculas.

En el Portal de administración de ACS, solo puede configurar un dominio kerberos y una dirección URL de retorno en cada Espacio de nombres Access Control. En el caso más simple, el dominio kerberos y la URL de retorno son idénticos. Por ejemplo, si el URI raíz de la aplicación es https://contoso.com, el dominio kerberos y la URL de retorno de la aplicación de usuario de confianza son https://contoso.com.

Para configurar más de una dirección URL de retorno (dirección ReplyTo) para una aplicación de usuario de confianza, use la entidad RelyingPartyAddress del Servicio de administración de ACS.

Cuando se solicita un token de ACS o un token se registra en ACS de un proveedor de identidades, ACS compara el valor de dominio kerberos en la solicitud de token con los valores de dominio kerberos para las aplicaciones de usuario de confianza. Si la solicitud de token usa el protocolo WS-Federation, ACS utiliza el valor de dominio kerberos que se encuentra en el parámetro wtrealm. Si el token usa el protocolo WRAP de OAuth, ACS utiliza el valor del dominio kerberos en el parámetro applies_to. Si ACS busca un dominio kerberos coincidente en las opciones de configuración para una aplicación de usuario de confianza, crea un token que autentica al usuario para la aplicación de usuario de confianza y envía el token a la URL de retorno.

El proceso es similar cuando el usuario de confianza tiene más de una URL de retorno. ACS obtiene la dirección URL de redireccionamiento del parámetro wreply. Si la dirección URL de redireccionamiento es una de las direcciones URL de retorno para la aplicación de usuario de confianza, ACS envía la respuesta a esa dirección URL.

Los valores de dominio kerberos distinguen mayúsculas de minúsculas. El token se emite solo si los valores del dominio kerberos son idénticos o el valor del dominio kerberos para la aplicación de usuario de confianza es un prefijo del dominio kerberos de la solicitud de tokens. Por ejemplo, el usuario autenticado entidad aplicación valor de dominio de http://www.fabrikam.com coincide con un valor de territorio de la solicitud de token de http://www.fabrikam.com/billing, pero no coincide con un dominio kerberos de solicitud de token v de http://fabrikam.com.

La URL del error especifica una dirección URL a la que ACS redirige a los usuarios si se produce un error durante el proceso de inicio de sesión. Es una propiedad opcional de la aplicación de usuario de confianza.

El valor URL del error puede ser una página personalizada hospedada en la aplicación de usuario de confianza como, por ejemplo, http://www.fabrikam.com/billing/error.aspx. Como parte del redireccionamiento, ACS proporciona detalles sobre el error a la aplicación de usuario de confianza como un parámetro de dirección URL HTTP codificado mediante JSON. Es posible crear la página de error personalizada para interpretar la información de error con codificación JSON, representar el mensaje de error real recibido o para mostrar texto de ayuda estático.

Para obtener más información acerca del uso de la dirección URL del error, consulte Ejemplo de código: MVC 2 sencillo de ASP.NET.

La propiedad Token format determina el formato de los tokens que ACS emite para la aplicación de usuario de confianza. ACS puede emitir tokens SAML 2.0, SAML 1.1, SWT o JWT. Para obtener más información acerca de los formatos de tokens, consulte Formatos de token admitidos en ACS.

ACSusa protocolos estándar para devolver los tokens a una aplicación web o servicio. Cuando se admite más de un protocolo para el formato de un token, ACS utiliza el mismo protocolo que se usó para la solicitud de token. ACS admite las siguientes combinaciones de protocolos o formato de token:

  • ACSpuede devolver tokens SAML 2.0 mediante los protocolos WS-Trust y WS-Federation.

  • ACSpuede devolver tokens SAML 1.1 mediante el protocolo WS-Federation y protocolos relacionados con WS-Trust.

  • ACSpuede devolver tokens SWT mediante los protocolos WS-Federation, WS-Trust, WRAP de OAuth y OAuth 2.0.

  • ACSpuede emitir y devolver los tokens JWT con los protocolos WS-Federation, WS-Trust y OAuth 2.0.

Para obtener más información acerca de los protocolos estándar que ACS utiliza, consulte Protocolos compatibles con ACS.

Al elegir un formato de token, tenga en cuenta la manera en que Espacio de nombres Access Control firma los tokens que emite. Todos los tokens que emite ACS deben estar firmados. Para obtener más información, vea Firma de tokens.

Además, considere si desea cifrar o no los tokens... Para obtener más información, vea Directiva de cifrado de tokens.

La Directiva de cifrado de tokens determina si los tokens que ACS emite para la aplicación de usuario de confianza se cifran. Para requerir el cifrado, seleccione el valor Requerir cifrado.

En ACS, puede configurar una directiva de cifrado solo para los tokens SAML 2.0 o SAML 1.1. ACS no admite el cifrado de los tokens SWT o JWT.

ACS cifra los tokens SAML 2.0 y SAML 1.1 utilizando un certificado X.509 que contiene una clave pública (archivo .cer). A continuación, estos tokens cifrados se descifran con una clave privada de propiedad de la aplicación de usuario de confianza. Para obtener más información acerca de cómo obtener y usar certificados de cifrado, consulte Certificados y claves.

Configurar una directiva de cifrado en los tokens que emite ACS es opcional. Sin embargo, se debe configurar una directiva de cifrado cuando la aplicación de usuario de confianza es un servicio web que usa tokens de prueba de posesión sobre el protocolo WS-Trust. Este escenario en particular no funciona correctamente sin tokens cifrados.

La propiedad Token lifetime especifica el intervalo de tiempo (en segundos) durante el cual el token de seguridad que ACS emite para la aplicación de usuario de confianza es válido. El valor predeterminado es 600 (10 minutos). En ACS, el valor de duración del token debe estar entre cero (0) y 86400 (24 horas).

La propiedad Identity providers especifica los proveedores de identidad que pueden enviar notificaciones a la aplicación de usuario de confianza. Estos proveedores de identidad aparecen en la página de inicio de sesión de ACS para la aplicación o servicio web. Todos los proveedores de identidad configurados en la sección Proveedores de identidad del portal de ACS aparecen en la lista de proveedores de identidad. Para agregar un proveedor de identificación a la lista, haga clic en Proveedores de identidad.

Cada aplicación de usuario de confianza puede asociarse a varios proveedores de identidad o a ninguno. Las aplicaciones de usuario de confianza en Espacio de nombres Access Control pueden asociarse al mismo proveedor de identidad o a distintos proveedores de identidades. Si no selecciona todos los proveedores de identidad para una aplicación de usuario de confianza, debe configurar una autenticación directa con ACS para la aplicación de usuario de confianza. Por ejemplo, puede utilizar las identidades de servicio para configurar la autenticación directa. Para obtener más información, vea Identidades de servicio.

La propiedad Rule groups determina las reglas que utiliza la aplicación de usuario de confianza al procesar de notificaciones.

Cada aplicación de usuario de confianza de ACS debe estar asociada como mínimo a un grupo de reglas. Si una solicitud de token coincide con una aplicación de usuario de confianza que no tiene ningún grupo de reglas, ACS no emite un token para la aplicación o servicio web.

Todos los grupos configurados en la sección de Grupos de reglas del portal de ACS aparecen en la lista de grupos de reglas. Para agregar un grupo de reglas a la lista, haga clic en Grupos de reglas.

Cuando se agrega una nueva aplicación de usuario de confianza en el Portal de administración de ACS, la opción Crear nuevo grupo de reglas está seleccionada de forma predeterminada. Se recomienda crear un nuevo grupo de reglas para la nueva aplicación de usuario de confianza. Sin embargo, puede asociar la aplicación de usuario de confianza con un grupo de reglas existente. Para ello, desactive la opción Crear nuevo grupo de reglas y seleccione el grupo de reglas que desee.

Puede asociar una aplicación de usuario de confianza a más de un grupo de reglas (y asociar un grupo de reglas a más de una aplicación de usuario de confianza). Si una aplicación de usuario de confianza está asociada a más de un grupo de reglas, ACS evalúa recursivamente las reglas de todos los grupos de reglas como si fueran reglas de un único grupo de reglas.

Para obtener más información acerca de las reglas y los grupos de reglas, vea Grupos de reglas y reglas.

La propiedad Token signing settings especifica cómo se firman los tokens de seguridad que ACS emite. Todos los tokens que emite ACS deben estar firmados.

Las opciones de firma de tokens que están disponibles dependen del formato del tokens de la aplicación de usuario de confianza. (Para obtener más información acerca de los formatos de tokens, consulte Formato de tokens.)

  • Tokens SAML: Utilice un certificado X.509 para firmar los tokens.

  • Tokens SWT: Utilice una clave simétrica para firmar los tokens.

  • Tokens JWT: Utilizar un certificado X.509 o una clave simétrica para firmar los tokens.

Opciones de certificado X.509. Las siguientes opciones están disponibles para los tokens firmados con un certificado X.509.

  • Usar certificado de espacio de nombres del servicio (estándar): si selecciona esta opción, ACS utiliza el certificado para que el Espacio de nombres Access Control firme los tokens SAML 1.1 y SAML 2.0 para la aplicación de usuario de confianza. Utilice esta opción si va a automatizar la configuración de la aplicación web o el servicio que utiliza metadatos de WS-Federation, porque la clave pública del espacio de nombres está publicada en los metadatos de WS-Federation para su Espacio de nombres Access Control. La dirección URL del documento de metadatos de WS-Federation aparece en la página Integración de aplicaciones del Portal de administración de ACS.

  • Usar certificado dedicado: si selecciona esta opción, ACS utiliza un certificado específico de la aplicación para firmar tokens SAML 1.1 y SAML 2.0 para la aplicación de usuario de confianza. El certificado no se utiliza para otras aplicaciones de usuario de confianza. Después de seleccionar esta opción, busque un certificado X.509 con una clave privada (archivo .pfx) y, a continuación, escriba la contraseña para el archivo .pfx.

noteNota
Tokens JWT. Cuando se configura una aplicación de usuario de confianza para usar el certificado X.509 para el espacio de nombres del control de acceso para firmar los tokens JWT para una aplicación de usuario de confianza, los vínculos para el certificado del espacio de nombres del control de acceso y la clave del espacio de nombres del control de acceso aparecen en la página de la aplicación de usuario de confianza del Portal de administración de ACS. Sin embargo, ACS utiliza solo el certificado de espacio de nombres para firmar los tokens de la aplicación de usuario de confianza.

Espacios de nombres administrados. Al agregar una aplicación de usuario de confianza a un espacio de nombres administrado como, por ejemplo, un espacio de nombres de bus de servicio, no especifique claves o certificados (dedicados) específicos de la aplicación. En su lugar, seleccione las opciones que indican a ACS que debe usar los certificados y las claves configurados para todas las aplicaciones del espacio de nombres administrado. Para obtener más información, vea Espacios de nombres administrados.

Para obtener más información acerca de certificados y claves compartidas y dedicadas, consulte Certificados y claves.

Opciones de clave simétrica

Como práctica recomendada de seguridad, al utilizar las claves simétricas, cree una clave dedicada para cada aplicación de usuario de confianza, en lugar de utilizar la clave simétrica compartida para el Espacio de nombres Access Control. Si escribe o genera una clave dedicada, ACS utiliza una clave dedicada para firmar los tokens para la aplicación de usuario de confianza siempre que la clave dedicada sea válida. Sin embargo, si la clave dedicada caduca y no se reemplaza, ACS utiliza la clave de espacio de nombres compartido para firmar los tokens para la aplicación del usuario autenticado.

Si opta por usar la clave simétrica compartida, copie los valores de la clave del Espacio de nombres de servicio desde la página Certificados y claves y péguelos en los campos de la sección Firma de tokens de la página Aplicaciones de usuario de confianza.

Las siguientes opciones están disponibles para los tokens firmados con las claves simétricas.

  • Clave de firma de tokens: especifique una clave simétrica de 256 bits o haga clic en Generar para generar una clave simétrica de 256 bits.

  • Fecha de vigencia: especifica la fecha inicial del intervalo de fechas durante el cual es válida la clave simétrica. A partir de esta fecha, ACS utiliza la clave simétrica para firmar los tokens para la aplicación del usuario autenticado. El valor predeterminado ACS es la fecha actual.

  • Fecha de caducidad: especifica la fecha final del intervalo de fechas durante el cual es válida la clave simétrica. A partir de esta fecha, ACS no se utiliza la clave simétrica para firmar los tokens para la aplicación del usuario autenticado. No existe ningún valor predeterminado. Como práctica recomendada de seguridad, las claves simétricas deben reemplazarse cada año o cada dos años, según los requisitos de la aplicación.

La opción de certificado de cifrado de tokens especifica el certificado X.509 (archivo .cer) que se utiliza para cifrar los tokens para la aplicación de usuario de confianza. En ACS, puede cifrar solo los tokens SAML 2.0 o SAML 1.1. ACS no admite el cifrado de tokens SWT o JWT.

Especifique certificados para el cifrado de tokens en la sección Certificados y claves del portal de ACS. Al hacer clic en el vínculo Haga clic aquí de la sección Directiva de cifrado de tokens de la página de aplicación de usuario de confianza, se abre la página Agregar certificado de cifrado de tokens de Certificados y claves. Utilice esta página para especificar un archivo de certificado.

Para obtener más información, vea Directiva de cifrado de tokens. Para obtener más información sobre cómo obtener y agregar certificados de cifrado, consulte Certificados y claves.

Vea también

Adiciones de comunidad

AGREGAR
Mostrar:
© 2015 Microsoft