Esta documentación está archivada y no tiene mantenimiento.

Proveedores de identidad de WS-Federation

Publicada: abril de 2011

Actualizado: junio de 2015

Se aplica a: Azure

Los proveedores de identidades de WS-Federation son proveedores de identidad personalizada que admiten el protocolo WS-Federation y se configuran en Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS) mediante metadatos de WS-Federation. Un proveedor de identidades de WS-Federation también puede admitir otros protocolos de federación, como WS-Trust. Los proveedores de identidades de WS-Federation se usan normalmente en escenarios de aplicaciones web y sitios web, donde el perfil del solicitante pasivo de WS-Federation se usa para facilitar el token necesario que se redirige a y desde ACS mediante un explorador web.

Un ejemplo común de un proveedor de identidades de WS-Federation es . Se puede usar para integrar sus cuentas de Active Directory de empresa con ACS. Para poder agregar y configurar como proveedor de identidades en ACS, debe tener instalado y funcionando con al menos una relación de confianza del proveedor de notificaciones, por ejemplo, los Servicios de dominio de Active Directory (AD DS). Para obtener más información, vea Procedimiento: Configurar AD FS 2.0 como proveedor de identidad.

Cuando se usa el Portal de administración de ACS para configurar un proveedor de identidades de WS-Federation, debe escribir los datos siguientes.

  • Nombre para mostrar: especifica el nombre para mostrar del proveedor de identidades. Este nombre se usa solo en el Portal de administración de ACS.

  • Metadatos de WS-Federation: contiene información de configuración (metadatos de federación) sobre los servicios federados establecidos, como tokens y autorización, y las directivas para tener acceso a ellos. Cuando se agrega un proveedor de identidades de WS-Federation en ACS, debe especificar la dirección URL del documento de metadatos de federación o cargar una copia local del documento de metadatos para el proveedor de identidades de WS-Federation.

    CautionAdvertencia
    Importe metadatos de WS-Federation solo desde un proveedor de identidades de WS-Federation en el que confíe.

    Por motivos de seguridad, se recomienda que el proveedor de identidades de WS-Federation publique su documento de metadatos de federación en una dirección URL HTTPS. También se recomienda que el proveedor de identidades de WS-Federation use solo extremos de emisión de tokens HTTPS.

  • Texto del vínculo de inicio de sesión: especifica el texto que se muestra para el proveedor de identidades en la página de inicio de sesión de la aplicación web. Para obtener más información, vea Páginas de inicio de sesión y detección del dominio de inicio.

  • Dirección URL de imagen (opcional): asocia una dirección URL con un archivo de imagen (por ejemplo, un logotipo de su elección) que podrá mostrar como vínculo de inicio de sesión para este proveedor de identidades. Este logotipo se mostrará automáticamente en la página de inicio de sesión predeterminada de su aplicación web que distingue entre ACS, así como en la fuente JSON de su aplicación web que podrá utilizar para representar una página de inicio de sesión personalizada. Si no especifica ninguna dirección URL de una imagen, se mostrará el texto del vínculo de inicio de sesión en la página de inicio de sesión de la aplicación web. Si especifica la dirección URL de una imagen, se recomienda encarecidamente que apunte a un origen de confianza, por ejemplo, su propio sitio web o aplicación, mediante HTTPS para evitar advertencias de seguridad en los exploradores. Además, el tamaño de las imágenes de más de 240 píxeles de ancho y 40 píxeles de alto se ajusta automáticamente en la página predeterminada de detección del dominio kerberos principal de ACS. Se recomienda obtener permiso de su socio de para mostrar la imagen.

  • Nombres de dominio de correo electrónico (opcional): para solicitar a los usuarios que inicien sesión con su dirección de correo electrónico, puede especificar los sufijos de dominio de correo electrónico hospedados por este proveedor de identidades. De lo contrario, deje este campo en blanco para mostrar un vínculo de inicio de sesión directo. Utilice punto y coma para separar la lista de sufijos. Para obtener más información, vea Páginas de inicio de sesión y detección del dominio de inicio.

  • Aplicaciones del usuario de confianza: especifica todas las aplicaciones del usuario de confianza existentes que puede asociar con este proveedor de identidades. Para obtener más información, vea Aplicaciones de usuario de confianza.

Después de asociar un proveedor de identidades a una aplicación de usuario de confianza, se deben generar reglas para ese proveedor de identidades, o se deben agregar manualmente al grupo de reglas de la aplicación de usuario de confianza a fin de completar la configuración. Para más información sobre la creación de reglas, vea Grupos de reglas y reglas.

Después de que un usuario se autentica en un proveedor de identidades, recibe un token que se completa con notificaciones de identidad. Las notificaciones son fragmentos de información sobre el usuario, como una dirección de correo electrónico o un identificador exclusivo. ACS puede pasar estas notificaciones directamente a la aplicación de usuario de confianza o puede tomar decisiones de autorización según los valores que contienen.

De forma predeterminada, los tipos de notificaciones en ACS se identifican de forma exclusiva mediante un URI para el cumplimiento con la especificación de tokens SAML. Estos URI también se pueden usar para identificar notificaciones en otros formatos de token.

Para los proveedores de identidades de WS-Federation, los tipos de notificación disponibles dependen de los metadatos de WS-Federation para el proveedor de identidades que se importa en ACS. Una vez completada la importación, los tipos de notificación disponibles para el proveedor de identidades son visibles en la página Editar regla de notificación del Portal de administración de ACS. Estos tipos de notificación están también visibles a través de la entidad ClaimType en el Servicio de administración de ACS.

Además de los tipos de notificación disponibles a través de los metadatos de WS-Federation, ACS siempre realiza las siguientes notificaciones para cada proveedor de identidades de WS-Federation.

 

Tipo de notificación URI Descripción

Identificador de nombre

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Un identificador exclusivo para la cuenta de usuario, proporcionado por el proveedor de identidades.

Proveedor de identidades

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Una notificación proporcionada por ACS que le indica a la aplicación de usuario de confianza que el usuario se autenticó mediante el proveedor de identidades predeterminado. El valor de esta notificación se puede ver en el Portal de administración de ACS, en el campo Dominio kerberos en la página Editar proveedor de identidades.

noteNota
Los proveedores de identidades de WS-Federation también pueden emitir tipos de notificaciones a ACS que no se mencionan explícitamente en el documento de metadatos de WS-Federation del proveedor de identidades. En este caso, el URI del tipo de notificación esperado se puede introducir manualmente en una regla en lugar de seleccionarlo. Para obtener más información sobre las reglas, vea Grupos de reglas y reglas.

Los certificados de firma de token X.509 de un proveedor de identidades de WS-Federation se enumeran en la página para el proveedor de identidades en el Portal de administración de ACS. Es importante supervisar los certificados y asegurarse de que son eficaces y se reemplazan antes de que caduquen.

Para ver los certificados de un proveedor de identidades de WS-Federation:

  1. En el Portal de administración de ACS, haga clic en Proveedores de identidades.

  2. Haga clic en el proveedor de identidades de WS-Federation.

  3. Desplácese a la sección Certificados de firma de tokens en la parte inferior de la página.

Para obtener más información acerca de cómo administrar certificados para los proveedores de identidades de WS-Federation, vea WS-Federation identity provider certificate.

Vea también

Mostrar: