Compartir a través de

Crear una regla para enviar una notificación de método de autenticación

Puede usar las plantillas de regla Enviar pertenencia a grupo como notificación o Transformar una notificación entrante para enviar una notificación de método de autenticación. El usuario de confianza puede usar una notificación de método de autenticación para determinar el mecanismo de inicio de sesión que el usuario utiliza para autenticarse y obtener notificaciones de los Servicios de federación de Active Directory (AD FS). También puede usar la característica Garantía del mecanismo de autenticación de los Servicios de federación de Active Directory (AD FS) en Windows Server 2012 R2 como entrada para generar notificaciones de método de autenticación para situaciones en las que el usuario de confianza quiere determinar el nivel de acceso basado en inicios de sesión de tarjeta inteligente. Por ejemplo, un desarrollador puede asignar distintos niveles de acceso a los usuarios federados de la aplicación del usuario de confianza. Los niveles de acceso se basan en si los usuarios inician sesión con sus credenciales de nombre de usuario y contraseña en lugar de tarjetas inteligentes.

En función de los requisitos de su organización, use uno de los siguientes procedimientos:

  • Cree esta regla usando la plantilla de regla Enviar pertenencia a grupo como notificación: puede usar esta plantilla de regla cuando desee que el grupo especificado en la plantilla determine en última instancia qué notificación de método de autenticación se debe emitir.

  • Cree esta regla usando la plantilla de regla Transformar una regla de notificación entrante: puede usar esta plantilla de regla cuando desee cambiar el método de autenticación por un nuevo método de autenticación que funcione con un producto que no reconoce las notificaciones de método de autenticación estándar de AD FS.

Para crear esta regla con la plantilla Enviar pertenencia a grupo como notificación en una relación de confianza para usuario autenticado en Windows Server 2016

  1. En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.

  2. En el árbol de consola, bajo AD FS, haga clic en Veracidades de usuarios de confianza. Screenshot that shows where to select Relying Party Trusts in the console tree when you create a rule by using the Send Group Membership as Claims rule template.

  3. Haga clic con el botón derecho en la confianza seleccionada y elija Editar directiva de emisión de notificaciones. Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule by using the Send Group Membership as Claims rule template.

  4. En el cuadro de diálogo Editar directiva de emisión de notificaciones, en Reglas de transformación de emisión, haga clic en Agregar regla para iniciar el asistente para reglas. Screenshot that shows how to add a rule when you create a rule by using the Send Group Membership as Claims rule template.

  5. En la página Seleccionar plantilla de regla, en Plantilla de regla de notificación, seleccione Enviar pertenencia a grupo como notificación en la lista y haga clic en Siguiente. Screenshot that shows where to select the Send Group Membership as Claim template.

  6. En la página Configurar regla, escriba un nombre de regla de notificación.

  7. Haga clic en Examinar, seleccione el grupo cuyos miembros deben recibir esta notificación de método de autenticación y haga clic en Aceptar.

  8. En Tipo de notificación saliente, seleccione Método de autenticación en la lista.

  9. En Valor de notificación saliente, escriba uno de los valores predeterminados de identificador uniforme de recursos (URI) de la tabla siguiente, según el método de autenticación de preferencia, haga clic en Finalizar y después en Aceptar para guardar la regla.

Método de autenticación real URI correspondiente
Autenticación de nombre de usuario y contraseña https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticación de Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticación mutua con Seguridad de la capa de transporte (TLS) que usa certificados X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticación basada en X.509 que no usa TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

Para crear esta regla con la plantilla Enviar pertenencia a grupo como notificación en una confianza de proveedor de notificaciones en Windows Server 2016

  1. En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.

  2. En el árbol de consola, bajo AD FS, haga clic en Confianzas de proveedores de notificaciones. Screenshot that shows where to select Claims Provider Trusts when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  3. Haga clic con el botón derecho en la confianza seleccionada y, a continuación, haga clic en Editar reglas de notificación. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  4. En el cuadro de diálogo Editar reglas de notificación, en Reglas de transformación de aceptación, haga clic en Agregar regla para iniciar el asistente para reglas. Screenshot that shows where to select the Add Rule button when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  5. En la página Seleccionar plantilla de regla, en Plantilla de regla de notificación, seleccione Enviar pertenencia a grupo como notificación en la lista y haga clic en Siguiente. Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule in Windows Server 2016.

  6. En la página Configurar regla, escriba un nombre de regla de notificación.

  7. Haga clic en Examinar, seleccione el grupo cuyos miembros deben recibir esta notificación de método de autenticación y haga clic en Aceptar.

  8. En Tipo de notificación saliente, seleccione Método de autenticación en la lista.

  9. En Valor de notificación saliente, escriba uno de los valores predeterminados de identificador uniforme de recursos (URI) de la tabla siguiente, según el método de autenticación de preferencia, haga clic en Finalizar y después en Aceptar para guardar la regla.

Método de autenticación real URI correspondiente
Autenticación de nombre de usuario y contraseña https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticación de Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticación mutua con Seguridad de la capa de transporte (TLS) que usa certificados X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticación basada en X.509 que no usa TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

Para crear esta regla con la plantilla Transformar una notificación entrante en una relación de confianza para usuario autenticado en Windows Server 2016

  1. En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.

  2. En el árbol de consola, bajo AD FS, haga clic en Veracidades de usuarios de confianza. Screenshot that shows where to select Relying Party Trusts in the console tree when you create a rule by using the transform an incoming claim rule template.

  3. Haga clic con el botón derecho en la confianza seleccionada y elija Editar directiva de emisión de notificaciones. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule by using the transform an incoming claim rule template.

  4. En el cuadro de diálogo Editar directiva de emisión de notificaciones, en Reglas de transformación de emisión, haga clic en Agregar regla para iniciar el asistente para reglas. Screenshot that shows where to select Add Rule when you create a rule by using the transform an incoming claim rule template.

  5. En la página Seleccionar plantillas de regla, en Plantilla de regla de notificación, seleccione Transformar una notificación entrante en la lista y, a continuación, haga clic en Siguiente. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule.

  6. En la página Configurar regla, escriba un nombre de regla de notificación.

  7. En Tipo de notificación entrante, seleccione Método de autenticación en la lista.

  8. En Tipo de notificación saliente, seleccione Método de autenticación en la lista.

  9. Seleccione Reemplazar un valor de notificación entrante por un valor de notificación saliente diferente y haga lo siguiente:

    1. En Valor de notificación entrante, escriba uno de los siguientes valores de URI que se basan en el URI del método de autenticación real que se usó originalmente, haga clic en Finalizar y después en Aceptar para guardar la regla.

    2. En Valor de notificación saliente, escriba uno de los valores de URI predeterminados de la tabla siguiente, según el método de autenticación de preferencia, haga clic en Finalizar y después en Aceptar para guardar la regla.

Método de autenticación real URI correspondiente
Autenticación de nombre de usuario y contraseña https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticación de Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticación mutua con TLS que usa certificados X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticación basada en X.509 que no usa TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template.

Nota:

Se pueden usar otros valores de URI además de los valores de la tabla. Los valores de URI que se muestran en la tabla anterior reflejan los URI que el usuario de confianza acepta de forma predeterminada.

Para crear esta regla con la plantilla Transformar una notificación entrante en una confianza de proveedor de notificaciones en Windows Server 2016

  1. En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.

  2. En el árbol de consola, bajo AD FS, haga clic en Confianzas de proveedores de notificaciones. Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  3. Haga clic con el botón derecho en la confianza seleccionada y, a continuación, haga clic en Editar reglas de notificación. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  4. En el cuadro de diálogo Editar reglas de notificación, en Reglas de transformación de aceptación, haga clic en Agregar regla para iniciar el asistente para reglas. Screenshot that shows where to select Add Rule when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  5. En la página Seleccionar plantillas de regla, en Plantilla de regla de notificación, seleccione Transformar una notificación entrante en la lista y, a continuación, haga clic en Siguiente. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule in Windows Server 2016.

  6. En la página Configurar regla, escriba un nombre de regla de notificación.

  7. En Tipo de notificación entrante, seleccione Método de autenticación en la lista.

  8. En Tipo de notificación saliente, seleccione Método de autenticación en la lista.

  9. Seleccione Reemplazar un valor de notificación entrante por un valor de notificación saliente diferente y haga lo siguiente:

    1. En Valor de notificación entrante, escriba uno de los siguientes valores de URI que se basan en el URI del método de autenticación real que se usó originalmente, haga clic en Finalizar y después en Aceptar para guardar la regla.

    2. En Valor de notificación saliente, escriba uno de los valores de URI predeterminados de la tabla siguiente, según el método de autenticación de preferencia, haga clic en Finalizar y después en Aceptar para guardar la regla.

Método de autenticación real URI correspondiente
Autenticación de nombre de usuario y contraseña https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticación de Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticación mutua con TLS que usa certificados X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticación basada en X.509 que no usa TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

Para crear esta regla con la plantilla Enviar pertenencia a grupo como notificación en Windows Server 2012 R2

  1. En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.

  2. En el árbol de consola, en AD FS\Relaciones de confianza, haga clic en Confianzas de proveedores de notificaciones o Veracidades de usuarios de confianza y elija una relación de confianza específica en la lista donde quiera crear esta regla.

  3. Haga clic con el botón derecho en la confianza seleccionada y, a continuación, haga clic en Editar reglas de notificación. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Send Group Membership as Claims rule template.

  4. En el cuadro de diálogo Editar reglas de notificación, seleccione una de las siguientes pestañas, en función de la confianza que va a editar y del conjunto de reglas en el que quiere crear esta regla. A continuación, haga clic en Agregar regla para iniciar el asistente para reglas asociado a ese conjunto de reglas:

    • Reglas de transformación de aceptación

    • Reglas de transformación de emisión

    • Reglas de autorización de emisión

    • Delegación de reglas de autorizaciónScreenshot that shows where to select Add Rule when you create a rule by using the Send Group Membership as Claims rule template.

  5. En la página Seleccionar plantilla de regla, en Plantilla de regla de notificación, seleccione Enviar pertenencia a grupo como notificación en la lista y haga clic en Siguiente. Screenshot that shows where to select the Send Group Membership as a Claim template when you create a rule.

  6. En la página Configurar regla, escriba un nombre de regla de notificación.

  7. Haga clic en Examinar, seleccione el grupo cuyos miembros deben recibir esta notificación de método de autenticación y haga clic en Aceptar.

  8. En Tipo de notificación saliente, seleccione Método de autenticación en la lista.

  9. En Valor de notificación saliente, escriba uno de los valores predeterminados de identificador uniforme de recursos (URI) de la tabla siguiente, según el método de autenticación de preferencia, haga clic en Finalizar y después en Aceptar para guardar la regla.

Método de autenticación real URI correspondiente
Autenticación de nombre de usuario y contraseña https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticación de Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticación mutua con Seguridad de la capa de transporte (TLS) que usa certificados X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticación basada en X.509 que no usa TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template.

Nota:

Se pueden usar otros valores de URI además de los valores de la tabla. Los valores de URI que se muestran en la tabla anterior son los URI que el usuario de confianza acepta de forma predeterminada.

Para crear esta regla con la plantilla Transformar una regla de notificación entrante en Windows Server 2012 R2

  1. En Administrador del servidor, haga clic en Herramientas y elija Administración de AD FS.

  2. En el árbol de consola, en AD FS\Relaciones de confianza, haga clic en Confianzas de proveedores de notificaciones o Veracidades de usuarios de confianza y elija una relación de confianza específica en la lista donde quiera crear esta regla.

  3. Haga clic con el botón derecho en la confianza seleccionada y, a continuación, haga clic en Editar reglas de notificación. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Transform an Incoming Claim rule template in Windows Server 2012 R2.

  4. En el cuadro de diálogo Editar reglas de notificación, seleccione una de las pestañas siguientes, en función de la confianza que esté editando y del conjunto de reglas en el que quiere crear esta regla y, a continuación, haga clic en Agregar regla para iniciar el asistente para reglas asociado a ese conjunto de reglas:

    • Reglas de transformación de aceptación

    • Reglas de transformación de emisión

    • Reglas de autorización de emisión

    • Delegación de reglas de autorizaciónScreenshot that shows where to select Add Rule when you create a rule by using the Transform an Incoming Claim rule template in Windows Server 2012 R2.

  5. En la página Seleccionar plantillas de regla, en Plantilla de regla de notificación, seleccione Transformar una notificación entrante en la lista y, a continuación, haga clic en Siguiente. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule in Windows Server 2012 R2.

  6. En la página Configurar regla, escriba un nombre de regla de notificación.

  7. En Tipo de notificación entrante, seleccione Método de autenticación en la lista.

  8. En Tipo de notificación saliente, seleccione Método de autenticación en la lista.

  9. Seleccione Reemplazar un valor de notificación entrante por un valor de notificación saliente diferente y haga lo siguiente:

    1. En Valor de notificación entrante, escriba uno de los siguientes valores de URI que se basan en el URI del método de autenticación real que se usó originalmente, haga clic en Finalizar y después en Aceptar para guardar la regla.

    2. En Valor de notificación saliente, escriba uno de los valores de URI predeterminados de la tabla siguiente, según el método de autenticación de preferencia, haga clic en Finalizar y después en Aceptar para guardar la regla.

Método de autenticación real URI correspondiente
Autenticación de nombre de usuario y contraseña https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticación de Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticación mutua con TLS que usa certificados X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticación basada en X.509 que no usa TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

create rule

Nota:

Se pueden usar otros valores de URI además de los valores de la tabla. Los valores de URI que se muestran en la tabla anterior reflejan los URI que el usuario de confianza acepta de forma predeterminada.

Referencias adicionales

Configuración de regla de notificación

Lista de comprobación: crear reglas de notificación para una relación de confianza para usuario autenticado

Lista de comprobación: Lista de comprobación: crear reglas de notificación para confianza de proveedores de notificaciones

Cuándo usar una regla de notificación de autorización

El papel de las notificaciones

El papel de las reglas de notificaciones