El papel de los almacenes de atributos
En los Servicios de federación de Active Directory (AD FS), el término almacenes de atributos hace referencia a directorios o bases de datos que una organización usa para almacenar sus cuentas de usuario y sus valores de atributo. Una vez configurado en la organización de un proveedor de identidades, AD FS recupera estos valores de atributo del almacén. A continuación, crea notificaciones basadas en esa información para que una aplicación o servicio web hospedados en la organización de un usuario de confianza pueda tomar las decisiones de autorización más adecuadas cuando un usuario federado (un usuario cuya cuenta esté almacenado en la organización del proveedor de identidades) intente obtener acceso a la aplicación o al servicio.
Para más información sobre cómo se generan las notificaciones, consulte El papel de las notificaciones.
Cómo se adaptan los almacenes de atributos a sus objetivos de implementación de AD FS
La ubicación del almacén de atributos de usuario y la ubicación desde la que los usuarios se autentican determinan cómo diseñar AD FS para admitir las identidades de usuario. Dependiendo de dónde se encuentre el almacén de atributos y desde dónde accedan los usuarios a la aplicación (en una intranet o en Internet), puede usar uno de los objetivos de implementación siguientes:
Proporcionar a los usuarios de Active Directory acceso a sus aplicaciones y servicios para notificaciones. En este escenario, los usuarios de una organización acceden a una aplicación o servicio protegido por AD FS cuando inician sesión en Active Directory en la intranet corporativa. La aplicación o el servicio pueden ser los suyos propios o de un asociado.
Proporcionar a los usuarios de Active Directory acceso a las aplicaciones y servicios de otras organizaciones. En este escenario, los usuarios de una organización acceden a una aplicación o servicio protegido por AD FS cuando inician sesión en un almacén de atributos en la intranet corporativa y cuando inician sesión de forma remota desde Internet. La aplicación o el servicio pueden ser los suyos propios o de un asociado.
Proporcionar a los usuarios de otra organización acceso a sus aplicaciones y servicios para notificaciones. En este escenario, las cuentas de usuario de otra organización que se encuentran en un almacén de atributos de la intranet corporativa de esa organización deben acceder a una aplicación protegida mediante AD FS en su organización. Este escenario también funciona cuando necesita proporcionar a las cuentas de usuario de consumidor que se encuentran en un almacén de atributos de la red perimetral de la organización acceso a una aplicación protegida por AD FS en su organización.
En función de la ubicación del almacén de atributos y otros requisitos de su organización, puede combinar varios de estos objetivos de implementación para completar el diseño de su implementación de AD FS.
Almacenes de atributos compatibles con AD FS
AD FS admite una amplia variedad de almacenes de directorios y bases de datos. Puede usarlos para extraer valores de atributo definidos por el administrador y rellenar las notificaciones con esos valores. AD FS admite cualquiera de estos directorios o bases de datos como almacenes de atributos:
Microsoft Entra Domain Services en Windows Server 2012 y 2012 R2, y en Windows Server 2016 y versiones posteriores.
Todas las ediciones de SQL Server 2012, SQL Server 2014 y SQL Server 2016 y versiones posteriores.
Almacenes de atributos personalizados