Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Un identificador uniforme de recursos (URI) es una cadena de caracteres que se usa como identificador único. En AD FS, los URI se usan para identificar direcciones de red de asociados y objetos de configuración. Cuando se usa para identificar direcciones de red de asociados, el URI siempre es una dirección URL. Cuando se usa para identificar objetos de configuración, el URI puede ser un URN o una dirección URL. Para obtener más información general sobre los URI, consulte RFC 2396 y RFC 3986.
URI como direcciones de red de asociados
A continuación se muestran las direcciones URL de dirección de red que los administradores de AD FS controlan con más frecuencia.
Las direcciones URL del servicio de federación, incluidas WS-Federation, SAML, WS-Trust, metadatos de federación, WS-MetadataExchange, direcciones URL de privacidad y organización
Las direcciones URL de una relación de confianza para usuario autenticado, como las direcciones URL de WS-Federation, de SAML y de metadatos de federación.
Las direcciones URL de una relación de confianza para proveedor de notificaciones, como las direcciones URL de WS-Federation, de SAML y de metadatos de federación.
URI como identificadores de objeto
En la tabla siguiente se describen los identificadores que los administradores de AD FS controlan con más frecuencia.
| Nombre del identificador | Descripción | Comparaciones |
|---|---|---|
| Identificador del Servicio de federación | Este identificador se usa para identificar el servicio de federación. Lo usan los usuarios de confianza que utilizan notificaciones del Servicio de federación y los proveedores de notificaciones que emiten notificaciones al Servicio de federación. | Cuando un usuario solicita notificaciones de un proveedor de notificaciones para este servicio de federación, el identificador del servicio de federación se usará para identificar el destino de las notificaciones. Cuando este Servicio de Federación recibe las reclamaciones de un proveedor de reclamaciones, comprobará que las reclamaciones correspondan a él verificando su identificador de Servicio de Federación. Cuando un usuario de confianza recibe notificaciones de este servicio de federación, el usuario de confianza comprobará que el emisor de las notificaciones coincide con el identificador del servicio de federación. |
| Identificador de parte confiable | Este identificador se usa para identificar al usuario de confianza en este servicio de federación. Se usa al emitir reclamaciones a la parte que confía. | Cuando un usuario solicita notificaciones de este servicio de federación para el usuario de confianza, el identificador del usuario de confianza se usará para identificar el usuario de confianza para el que se deben destinar las notificaciones. Esta comparación se realiza mediante la coincidencia de prefijos (consulte a continuación). Cuando el usuario de confianza recibe las notificaciones, comprobará su identificador en el token de seguridad para asegurarse de que las notificaciones están destinadas a ella. |
| Identificador del proveedor de reclamaciones | Este identificador se usa para identificar al proveedor de reclamaciones de este servicio de federación. Se usa al recibir reclamaciones del proveedor de reclamaciones. | Cuando este servicio de federación recibe notificaciones del proveedor de notificaciones, este servicio de federación comprobará que el emisor de las notificaciones coincide con el identificador del proveedor de notificaciones. |
| Tipo de reclamación | Este identificador se usa para definir el tipo de demanda. Se utiliza por este servicio de federación, proveedores de reclamaciones y partes confiables al enviar y recibir reclamaciones. | Cuando el servicio de federación recibe notificaciones de un proveedor de notificaciones, las reglas de notificación asociadas a la confianza del proveedor de notificaciones correspondiente permiten al administrador comparar los tipos de notificaciones y procesar las notificaciones. Las reglas de reclamos asociadas a una relación de confianza de una parte dependiente también permiten al administrador comparar los tipos de reclamos de los reclamos que provienen de las reglas de confianza del proveedor de reclamos y decidir cuáles emitir. |
Coincidencia de prefijos URI para los identificadores de usuario de confianza
La sintaxis de ruta de acceso de un URI se organiza jerárquicamente y se delimita por todos los caracteres "/" o todos los caracteres ":". Por lo tanto, puede que la ruta de acceso se divida en secciones de ruta de acceso según el carácter delimitador. Al realizar la coincidencia de prefijos, cada sección debe ser una coincidencia total según las reglas de coincidencia (estas normas rigen el uso de mayúsculas y minúsculas de las coincidencias). Para obtener más información sobre las reglas de coincidencia, consulte la RFC mencionada anteriormente.
Cuando un usuario de confianza se identifica en una solicitud al Servicio de federación, AD FS usa la lógica de coincidencia de prefijos para determinar si hay una relación de confianza para usuario autenticado coincidente en la base de datos de configuración de AD FS.
Por ejemplo, si el identificador de la parte de confianza en la base de datos de configuración de AD FS (URI1) es un prefijo del identificador de la parte de confianza en la solicitud entrante (URI2), entonces, lo siguiente debe ser cierto:
Se deben ignorar los delimitadores finales (barras diagonales y dos puntos) de las secciones de la ruta de acceso o de las autoridades.
Los partes del esquema y de la autoridad de URI1 y URI2 deben ser una coincidencia exacta sin distinción entre mayúsculas y minúsculas.
Cada sección de la ruta de URI1 debe coincidir exactamente (según la sensibilidad a mayúsculas y minúsculas elegida) con la sección correspondiente de URI2.
URI2 puede tener más secciones de ruta de acceso que URI1, pero URI1 no debe tener más secciones de ruta de acceso que URI2
URI1 no puede tener más secciones de ruta de acceso que URI2
Si el URI1 tiene un fragmento, debe coincidir exactamente con un fragmento URI2.
Nota:
Los parámetros de cadena de consulta no se admiten y se omitirán en los identificadores de partes confiables.
En la tabla siguiente se proporcionan ejemplos adicionales.
| Identificador de usuario de confianza en la base de datos de configuración de AD FS | Identificador de usuario de confianza en el mensaje de las solicitudes | ¿El identificador de solicitud coincide con el identificador de configuración? | Motivo |
|---|---|---|---|
| http://contoso.com | http://contoso.com | TRUE | Coincidencia exacta |
| http://contoso.com/ | http://contoso.com | TRUE | Se ignoran las barras diagonales finales |
| http://contoso.com | http://contoso.com/ | TRUE | Se ignoran las barras diagonales finales |
| http://contoso.com | http://contoso.com/hr | TRUE | URI1 no tiene ninguna ruta y coincide en el esquema y la autoridad con URI2 |
| http://contoso.com/hr | http://contoso.com/hr/web | TRUE | Las primeras secciones de ruta coinciden, URI1 no tiene una segunda sección de ruta. |
| http://contoso.com/hr/ | http://contoso.com/hrw/main | FALSE | La sección 1 de la ruta URI1 no coincide con la sección 1 de la ruta URI2 |
| http://contoso.com/hr | http://contoso.com | FALSE | URI1 tiene más secciones de ruta de acceso que URI2 |
| http://contoso.com/hr | http://contoso.com/hrweb | FALSE | Las primeras secciones de la ruta de acceso no coinciden. |
| https://contoso.com | http://contoso.com | FALSE | Los elementos de esquema no coinciden |
| http://sts.contoso.com | http://contoso.com | FALSE | Las partes de la autoridad no coinciden. |
| http://contoso.com | http://sts.contoso.com | FALSE | Las partes de la autoridad no coinciden. |