Grupos de reglas y reglas
Esta documentación está archivada y no tiene mantenimiento.

Grupos de reglas y reglas

Publicada: abril de 2011

Actualizado: junio de 2015

Se aplica a: Azure

En Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS), un grupo de reglas es un conjunto con nombre de reglas de notificación que definen qué notificaciones se pasan de los proveedores de identidades a la aplicación del usuario de confianza. En ACS, los grupos de reglas se asocian directamente con aplicaciones del usuario de confianza. Un grupo de reglas puede usarse por más de una aplicación del usuario de confianza y una aplicación del usuario de confianza puede hacer referencia a más de un grupo de reglas.

Cuando ACS recibe una solicitud de token o un token de un proveedor de identidad, se ejecuta a través de todos los grupos de reglas asociados con la aplicación del usuario de confianza para procesar las notificaciones del token. Todos los grupos de reglas se ejecutan simultáneamente, igual que todas las reglas de cada grupo de reglas (no importa el orden). Si las reglas hacen que se emitan nuevas notificaciones una vez completada la ejecución, los grupos de reglas asociados con la aplicación del usuario de confianza se ejecutan de nuevo. El proceso de ejecución de reglas y grupos de reglas se detiene cuando no se emite ninguna notificación nueva una vez finalizado el proceso de ejecución o después de que ACS complete diez ejecuciones (lo que ocurra primero).

Puede crear y editar grupos de reglas y reglas ya sea manualmente, mediante el Portal de administración de ACS, o mediante programación, con el Servicio de administración de ACS.

Cuando se agregan y configuran las propiedades de una nueva aplicación de usuario de confianza en el Portal de administración de ACS, también puede crear un grupo de reglas asociado con esta aplicación del usuario de confianza, ya que de forma predeterminada, la opción Crear nuevo grupo de reglas está activada en la página Agregar aplicación de usuario de confianza del Portal de administración de ACS. Se recomienda encarecidamente mantener esta opción seleccionada y crear un grupo de reglas predeterminado para la nueva aplicación del usuario de confianza. (Para obtener más información, vea "Grupos de reglas" en Aplicaciones de usuario de confianza.) También puede agregar grupos de reglas mediante la sección Grupos de reglas del Portal de administración de ACS. A continuación, a medida que agrega aplicaciones del usuario de confianza mediante la página Agregar aplicación de usuario de confianza, puede asociarlas con uno o más grupos de reglas existentes.

Después de crea un grupo de reglas, puede usar la página Editar grupo de reglas del Portal de administración ACS para generar reglas automáticamente. Si decide generar reglas automáticamente, deberá seleccionar los proveedores de identidad para los que desea generar las reglas. Cuando el grupo de reglas está vinculado a una o más aplicaciones de usuarios de confianza, los proveedores de identidad que usan esas aplicaciones de usuarios de confianza se seleccionan de forma predeterminada.

noteNota
Para los proveedores de identidades de WS-Federation, se crea una regla para cada tipo de notificación que se ofrece en los metadatos de WS-Federation del proveedor de identidades y esta regla pasa por el tipo de notificación y el valor. Para otros proveedores de identidades, las reglas de acceso directo se generan basándose en una lista de los tipos de notificaciones predeterminadas.

La página Editar grupo de reglas del Portal de administración de ACS muestra todas las reglas en una tabla, donde las columnas incluyen la Notificación de salida para la regla, el Emisor de notificaciones (puede ser un proveedor de identidad o ACS) y una Descripción.

Si hace clic en una regla determinada en la tabla se le redirigirá a la página Editar regla de notificación, donde se puede editar la regla. Para agregar una nueva regla manualmente, puede hacer clic en Agregar.

Las reglas de notificación describen la lógica de cómo ACS transforma notificaciones de entrada en notificaciones de salida. Las reglas están contenidas en grupos de reglas, que están asociadas con aplicaciones de usuarios de confianza y se ejecutan cada vez que ACS emite un token para una aplicación. Si un grupo de reglas no contiene ninguna regla, no se emite ningún token para la aplicación del usuario de confianza. Normalmente, se requiere una regla para cada tipo de notificación que desea emitir para la aplicación del usuario de confianza. Es posible crear y usar solo una regla para todos los valores y tipos de notificación. Sin embargo, usar una regla por cada tipo de notificación mejora la seguridad y proporciona mayor control sobre los datos que se pasan a la aplicación.

En ACS, puede configurar una regla para pasar una notificación recibida de un proveedor de identidad o un cliente a la aplicación del usuario de confianza sin cambiar el tipo de la notificación, emisor o valor. Estas reglas se denominan reglas de acceso directo. Por ejemplo, los tokens que emite Windows Live ID (cuenta de Microsoft) contienen un tipo de notificación nameidentifier. Para pasar esta notificación sin cambios a la aplicación del usuario de confianza, tendrá que configurar una regla de acceso directo que procese la notificación de entrada nameidentifier desde el emisor de notificaciones Windows Live ID y cree una notificación de salida idéntica.

En la tabla siguiente se muestran notificaciones que se pasan a través de un proveedor de identidad AD FS 2.0 ficticio denominado Contoso.com.

 

Notificaciones de entrada Notificaciones de salida

Issuer

Tipo

Valor

Issuer

Tipo

Valor

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Servicio Access Control

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

john@contoso.com

Servicio Access Control

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

john@contoso.com

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

John Doe

Servicio Access Control

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

John Doe

El motor de reglas ACS también proporciona la capacidad de transformar las notificaciones de entrada en notificaciones de salida completamente diferentes, según el emisor de notificaciones, el tipo de notificación de entrada y el valor. En otras palabras, el motor de reglas ACS permite transformar los tokens de entrada en tokens de salida diferentes mediante la adición, eliminación o modificación de las notificaciones que contienen los tokens. Esta forma de transformación de notificaciones hace que ACS pueda implementar la autorización básica basada en valores de entrada de notificaciones. En el ejemplo siguiente se muestra un tipo de notificación de "rol" con un valor de "administrador" que se va a emitir si la notificación de entrada "nameidentifier" coincide con un valor específico.

 

Notificaciones de entrada Notificaciones de salida

Issuer

Tipo

Valor

Issuer

Tipo

Valor

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Servicio Access Control

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

administrador

El motor de reglas ACS también proporciona la capacidad de crear notificaciones de salida según una conjunción de dos notificaciones de entrada. En el ejemplo siguiente, la notificación de salida es de tipo "action" con un valor de "escritura" si las notificaciones de entrada "nameidentifier" y "role" de Contoso.com coinciden con valores específicos. Cuando se especifican dos notificaciones de entrada en una regla, ambos valores deben coincidir para generar la notificación de salida.

 

Notificaciones de entrada Notificaciones de salida

Issuer

Tipo

Valor

Issuer

Tipo

Valor

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Servicio Access Control

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/action

write

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role

administrador

Para obtener más información y pasos acerca de cómo implementar la transformación de tokens mediante reglas, vea Procedimiento: Implementar la lógica de transformación de tokens mediante reglas.

Al agregar nuevas reglas de notificación o editar existentes con el Portal de administración de ACS, debe configurar las siguientes opciones:

Esta sección contiene las condiciones que deben cumplirse para poder emitir una notificación de salida. Entre ellas, figuran las siguientes:

  • Emisor de la notificación: hace referencia a la entidad que emitió la notificación de entrada. Esto puede ser un proveedor de identidad configurado (por ejemplo, ) o ACS. ACS es el emisor si la notificación de entrada procede de una identidad de servicio o la notificación de entrada procede de otra regla de notificación. Para obtener más información, vea Identidades de servicio.

  • Tipo de notificación de entrada: hace referencia al tipo de notificación de entrada recibido del emisor de notificaciones. Por ejemplo, el tipo de notificación completa para "nameidentifier" es http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Las opciones de este campo incluyen:

    • Cualquier: devuelve true si se recibe cualquier tipo de notificación del emisor.

    • Seleccionar tipo: devuelve true si el tipo de notificación de entrada coincide con el tipo seleccionado en el menú desplegable. Este menú se rellena con los tipos de notificación disponibles para el emisor de notificación seleccionado.

    • Escribir tipo: devuelve true si el tipo de notificación de entrada coincide con el valor exacto especificado en el campo.

      ImportantImportante
      Este campo distingue mayúsculas de minúsculas.

  • Valor de notificación de entrada: hace referencia al valor de la notificación de entrada recibido. Por ejemplo, el tipo de notificación "nameidentifier" usa una dirección de correo electrónico, ya que su valor y este campo pueden usarse para comprobar una dirección de correo electrónico específica. Las opciones de este campo incluyen:

    • Cualquier: devuelve true si se recibe cualquier valor de notificación del emisor.

    • Escribir valor: devuelve true si el tipo de notificación de entrada coincide con el valor exacto especificado en el campo. Esta opción requiere seleccionar un tipo de notificación de entrada específica o introducida en el campo Tipo de notificación de entrada.

      ImportantImportante
      Este campo distingue mayúsculas de minúsculas.

Para agregar una segunda notificación a la regla, haga clic en Agregar una segunda notificación de entrada. Esto permite especificar las condiciones adicionales que se muestran a continuación. Tenga en cuenta que en una regla con dos notificaciones de entrada, todas las condiciones deben cumplirse para generar una notificación de salida.

  • Emisor de la notificación: hace referencia a la entidad que emitió la segunda notificación de entrada. Esto puede ser el mismo proveedor de identidad seleccionado para la primera notificación, o puede ser ACS. Seleccione ACS para especificar las notificaciones generadas desde otras reglas de notificación durante el procesamiento de reglas.

    ImportantImportante
    No se pueden seleccionar dos proveedores de identidad diferentes para la primera y segunda notificación, ya que el procesamiento de reglas solo se produce para un token emitido desde un proveedor de identidades a la vez.

  • Tipo de notificación de entrada: hace referencia al tipo de notificación de entrada recibido del emisor de notificaciones. Por ejemplo, el tipo de notificación completa para "nameidentifier" es http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Las opciones de este campo incluyen:

    • Seleccionar tipo: devuelve true si el tipo de notificación de entrada coincide con el tipo seleccionado en el menú desplegable. Este menú se rellena con los tipos de notificación disponibles para el emisor de notificación seleccionado.

    • Escribir tipo: devuelve true si el tipo de notificación de entrada coincide con el valor exacto especificado en el campo.

      ImportantImportante
      Este campo distingue mayúsculas de minúsculas.

  • Valor de notificación de entrada: hace referencia al valor de la notificación de entrada recibido. Por ejemplo, el tipo de notificación "nameidentifier" usa una dirección de correo electrónico, ya que su valor y este campo pueden usarse para comprobar una dirección de correo electrónico específica. Devuelve true si el tipo de notificación de entrada coincide con el valor exacto especificado en el campo.

    ImportantImportante
    Este campo distingue mayúsculas de minúsculas.

En esta sección se especifica la notificación de salida emitida por ACS si las condiciones de la sección Si de la regla son true. Las opciones de notificación de salida incluyen las siguientes:

  • Tipo de notificación de salida: el tipo de notificación que emite ACS. Las opciones de este campo incluyen:

    • Tipo de notificación de entrada de acceso directo: emite una notificación de salida del mismo tipo que la solicitud de entrada.

    • Seleccionar tipo: emite una notificación de salida del tipo especificado. El menú desplegable contiene una lista de tipos comunes de notificaciones.

    • Escribir tipo: emite una notificación del tipo especificado. Si la notificación de salida debe estar presente en un token SAML, este valor debe ser un URI (por ejemplo, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier).

      ImportantImportante
      Este campo distingue mayúsculas de minúsculas.

  • Valor de notificación de salida: hace referencia al valor de la notificación de salida emitida por ACS. Las opciones de este campo incluyen:

    • Valor de la notificación de entrada de acceso directo: emite una notificación de salida con el valor idéntico al valor de la notificación de entrada.

    • Escriba valor: emite una notificación que tiene el valor especificado en este campo. Esta opción requiere seleccionar un tipo de notificación de entrada específica o introducida en el campo Tipo de notificación de salida.

      ImportantImportante
      Este campo distingue mayúsculas de minúsculas.

Puede usar esta sección para crear una descripción para una regla.

noteNota
En ACS, las descripciones de reglas no se crean automáticamente para las reglas generadas.

Las reglas en un Espacio de nombres Access Control pueden configurarse mediante programación con Servicio de administración de ACS. Para obtener un ejemplo de cómo configurar las reglas mediante ASP.NET, vea Ejemplo de código: Administración de servicios. A continuación se muestran elementos importantes a tener en cuenta al usar el Servicio de administración de ACS para configurar las reglas:

  • Al editar y eliminar las reglas en un grupo de reglas, se recomienda que primero consulte ACS para todas las reglas dentro de ese grupo de reglas y use los identificadores de regla que devuelva la consulta para realizar la edición o eliminar operaciones. No se recomienda almacenar los identificadores devueltos por el servicio de administración para futuras operaciones, ya que no se garantiza que estos identificadores se conserven.

  • Si está escribiendo lógica de reintento automática para la creación de reglas (como en el caso de un tiempo de espera), se recomienda consultar primero la existencia de una regla idéntica en el grupo de reglas actual antes de intentar agregar otra.

Vea también

Mostrar:
© 2016 Microsoft