Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La función general del Servicio de federación en los Servicios de federación de Active Directory (AD FS) es emitir un token que contiene un conjunto de notificaciones. La decisión sobre qué declaraciones acepta AD FS y luego emite se rige por las reglas de declaraciones.
¿Qué son las reglas de declaración?
Una regla de notificación representa una instancia de lógica de negocios que tomará una o varias notificaciones entrantes, les aplicará condiciones (si es x y) y generará una o varias notificaciones salientes basadas en los parámetros de condición. Para obtener más información sobre las reclamaciones entrantes y salientes, vea El rol de las reclamaciones.
Usará reglas de notificación cuando necesite implementar lógica de negocios que controle el flujo de notificaciones a través de la canalización de notificaciones. Aunque el canal de reclamaciones es más un concepto lógico del proceso de extremo a extremo para las reclamaciones que fluyen, las reglas de reclamación son un elemento administrativo real que puede utilizar para personalizar el flujo de reclamaciones a través del proceso de emisión de estas.
Para obtener más información sobre la canalización de notificaciones, consulte El rol del motor de notificaciones.
Las reglas de declaración proporcionan las siguientes ventajas:
Proporcionan un mecanismo para que los administradores apliquen lógica de negocios de tiempo de ejecución para las notificaciones de confianza de los proveedores de notificaciones.
Proporcionar un mecanismo para que los administradores definan qué declaraciones se liberan a las partes confiables
Proporcionar funcionalidades de autorización enriquecidas y detalladas basadas en notificaciones a los administradores que quieran permitir o denegar el acceso a usuarios específicos
Cómo se procesan las reglas de notificación
Las reglas de notificación se procesan a través de la canalización de notificaciones con el motor de notificaciones. El motor de notificaciones es un componente lógico del Servicio de federación que examina el conjunto de notificaciones entrantes que presenta un usuario y, después, según la lógica de cada regla, generará un conjunto de resultados de notificaciones.
Juntos, el motor de reglas de reclamaciones y el conjunto de reglas de reclamaciones asociadas a una confianza federada determinada determinan si las reclamaciones entrantes deben pasarse tal como están, filtrarse para cumplir los criterios de una condición específica o transformarse en un conjunto completamente nuevo de reclamaciones antes de que se emitan como reclamaciones salientes por el servicio de federación.
Para obtener más información sobre este proceso, vea El rol del motor de notificaciones.
¿Qué son las plantillas de reglas de notificación?
AD FS incluye un conjunto predefinido de plantillas de reglas de notificación diseñadas para ayudarle a seleccionar y crear fácilmente las reglas de notificación más adecuadas para su necesidad empresarial concreta. Las plantillas de reglas de notificación solo se usan durante el proceso de creación de reglas de notificación.
En el complemento de administración de AD FS, solo se pueden crear reglas mediante plantillas de regla de notificación. Después de usar el complemento para seleccionar una plantilla de regla de reclamación, escriba los datos necesarios para la lógica de la regla y guárdelos en la base de datos de configuración, será a partir de ese momento al que se hace referencia en la interfaz de usuario como regla de reclamación.
Funcionamiento de las plantillas de reglas de notificación
A primera vista, las plantillas de reglas de notificación parecen ser simplemente formularios de entrada que proporciona el complemento para recopilar datos y procesar lógica específica de las notificaciones entrantes. Sin embargo, en un nivel mucho más detallado, las plantillas de reglas de notificación almacenan el marco de lenguaje de reglas de notificación necesario que componen la lógica base necesaria para crear rápidamente una regla sin necesidad de conocer el idioma de forma íntima.
Cada plantilla que se proporciona en la interfaz de usuario (UI) representa una sintaxis de lenguaje de reglas de reclamación preconfigurada, basada en las tareas administrativas más comúnmente requeridas. Hay una plantilla de regla que, sin embargo, es la excepción. Esta plantilla se conoce como plantilla de regla personalizada. Con esta plantilla, no se utiliza ninguna sintaxis preestablecida. En su lugar, debe crear directamente la sintaxis del lenguaje de reglas de notificación en el cuerpo del formulario de la plantilla de reglas de notificación mediante la sintaxis del lenguaje de reglas de notificación.
Para obtener más información sobre cómo usar la sintaxis del lenguaje de reglas de notificación, vea El rol del lenguaje de reglas de notificación en la Guía de implementación de AD FS.
Sugerencia
Puede ver el lenguaje de la regla de notificación asociado a una regla en cualquier momento haciendo clic en el botón Ver lenguaje de regla en las propiedades de una regla de notificación.
Cómo crear una regla de reclamación
Las reglas de reclamación se crean por separado para cada relación de confianza federada dentro del Servicio de Federación y no se comparten entre varias confianzas. Puede crear una regla a partir de una plantilla de regla de notificación, empezar desde cero mediante la creación de la regla mediante el lenguaje de reglas de notificación o usar Windows PowerShell para personalizar una regla.
Todas estas opciones coexisten para proporcionarle la flexibilidad de elegir el método adecuado para un escenario determinado. Para obtener más información sobre cómo crear una regla de notificación, vea Configurar reglas de notificación en la Guía de implementación de AD FS.
Utilización de plantillas de reglas de declaración
Las plantillas de reglas de notificación solo se usan durante el proceso de creación de reglas de notificación. Puede usar cualquiera de las plantillas siguientes para crear una regla de reclamación.
Pasar o filtrar una reclamación entrante
Transformación de una reclamación entrante
Enviar atributos LDAP como declaraciones
Enviar la pertenencia a grupo como una notificación
Enviar reclamaciones mediante una regla personalizada
Permitir o denegar usuarios en función de una notificación entrante
Permitir todos los usuarios
Para obtener más información sobre cada una de estas plantillas de regla de notificación, vea Determinar el tipo de plantilla de regla de notificación que se va a usar.
Uso del lenguaje de las reglas de notificación
En el caso de las reglas de negocios que están fuera del ámbito de las plantillas de reglas de notificación estándar, puede usar una plantilla de regla personalizada para expresar una serie de condiciones lógicas complejas mediante el lenguaje de reglas de notificación. Para obtener más información sobre el uso de una regla personalizada, vea Cuándo usar una regla de notificación personalizada.
Uso de Windows PowerShell
También puede usar el objeto de cmdlet ADFSClaimRuleSet con Windows PowerShell para crear o administrar reglas en AD FS. Para obtener más información sobre cómo puede usar Windows PowerShell con este cmdlet, consulte Administración de AD FS con Windows PowerShell.
¿Qué es un conjunto de reglas de reclamaciones?
Como se muestra en la ilustración siguiente, un conjunto de reglas de notificación es una agrupación de una o varias reglas para una confianza federada determinada que definirá cómo procesarán las notificaciones el motor de reglas de notificaciones. Cuando el servicio de federación recibe una notificación entrante, el motor de reglas de notificaciones aplica la lógica especificada por el conjunto de reglas de notificación adecuado. Es la suma final de la lógica de cada regla del conjunto la que determinará cómo se emitirán las reclamaciones para una fiducia determinada en su totalidad.
El motor de reclamaciones procesa las reglas de reclamaciones en orden cronológico dentro de un conjunto de reglas determinado. Este orden es importante, ya que la salida de una regla se puede usar como entrada para la siguiente regla del conjunto.
¿Qué son los tipos de grupos de reglas para reclamaciones?
Un tipo de conjunto de reglas de notificación es un segmento lógico de una confianza federada que identifica categóricamente si el conjunto de reglas de notificación asociado a la confianza se usará para la emisión, autorización o aceptación de notificaciones. Cada confianza federada puede tener uno o más tipos de conjuntos de reglas de reclamaciones asociados, dependiendo del tipo de confianza que se utilice.
En la tabla siguiente se describen los distintos tipos de conjuntos de reglas de reclamación y se explica su relación con una confianza de proveedor de reclamaciones o una confianza para parte dependiente.
| Tipo de conjunto de reglas de reclamación | Descripción | Se usa en |
|---|---|---|
| Conjunto de reglas de aceptación y transformación | Un conjunto de reglas de notificación que usa en una relación de proveedor de notificaciones concreta para especificar las notificaciones entrantes que se aceptarán desde la organización del proveedor de notificaciones y las notificaciones salientes que se enviarán a la relación de confianza para usuario autenticado. Las notificaciones entrantes que se usarán para generar este conjunto de reglas serán las notificaciones que genera el conjunto de reglas de transformación de emisión tal como se especifica en la organización del proveedor de notificaciones. De forma predeterminada, el nodo de confianza del proveedor de notificaciones contiene una confianza de proveedor de notificaciones denominada Active Directory que se usa para representar el almacén de atributos de origen para el conjunto de reglas de transformación de aceptación. Este objeto de confianza se usa para representar la conexión del servicio de federación a una base de datos de Active Directory en la red. Esta confianza predeterminada es la que procesa las notificaciones de los usuarios autenticados por Active Directory y no se puede eliminar. |
Relaciones de confianza de proveedor de notificaciones |
| Conjunto de reglas de transformación de emisión | Un conjunto de reglas de notificación que se usan en una relación de confianza para usuario autenticado a fin de especificar las notificaciones que se emitirán al usuario autenticado. Las declaraciones entrantes que se usarán para generar este conjunto de reglas serán inicialmente las declaraciones que generan las reglas de transformación de aceptación. |
Veracidades de usuarios de confianza |
| Conjunto de reglas de autorización de emisión | Un conjunto de reglas de notificación que se usa en una relación de confianza para usuario autenticado a fin de especificar los usuarios a los que se les permitirá recibir un token para el usuario autenticado. Estas reglas determinan si un usuario puede recibir notificaciones para un usuario autenticado y, por lo tanto, obtener acceso al usuario autenticado. A menos que especifique una regla de autorización de emisión, se denegará el acceso de forma predeterminada a todos los usuarios. |
Veracidades de usuarios de confianza |
| Conjunto de reglas de autorización de delegación | Un conjunto de reglas de notificación que se usa en una relación de confianza para usuario autenticado a fin de especificar los usuarios que tendrán permiso para actuar como delegados de otros usuarios para el usuario autenticado. Estas reglas determinan si el solicitante tiene permiso para suplantar a un usuario mientras todavía se identifica al solicitante en el token que se envía a la parte confiable. A menos que especifique una regla de autorización de delegación, ningún usuario puede actuar como delegados de forma predeterminada. |
Veracidades de usuarios de confianza |
| Conjunto de reglas de autorización de suplantación | Conjunto de reglas de reclamación que se configuran mediante Windows PowerShell para determinar si un usuario puede suplantar completamente a otro usuario ante la parte confiable. Estas reglas determinan si el solicitante puede suplantar a un usuario sin identificar al solicitante en el token que se envía al usuario de confianza. Suplantar a otro usuario de esta manera es una funcionalidad muy eficaz, ya que el usuario de confianza no sabrá que el usuario se está suplantando. |
Confianza para usuario autenticado |
Para obtener más información sobre cómo seleccionar las reglas de notificación adecuadas que se usarán en su organización, consulte Determinar el tipo de plantilla de regla de notificación que se va a usar.