El papel de las reglas de notificaciones
La función general del Servicio de federación en los Servicios de federación de Active Directory (AD FS) es emitir un token que contiene un conjunto de notificaciones. La decisión con respecto a las notificaciones que AD FS acepta y luego emite se rige por reglas de notificación.
¿Qué son las reglas de notificación?
Una regla de notificación representa una instancia de la lógica de negocios que tomará una o varias notificaciones entrantes, les aplicará condiciones (si x, entonces y) y generará una o varias notificaciones salientes según los parámetros de la condición. Para más información sobre las notificaciones entrantes y salientes, consulte El papel de las notificaciones.
Usará reglas de notificación cuando necesite implementar lógica de negocios que controle el flujo de notificaciones a través de la canalización de notificaciones. Aunque la canalización de notificaciones es más un concepto lógico del proceso de un extremo a otro para el flujo de notificaciones, las reglas de notificación constituyen un elemento administrativo real que puede usar para personalizar el flujo de notificaciones a lo largo del proceso de emisión de notificaciones.
Para más información sobre la canalización de las notificaciones, consulte El papel del motor de notificaciones.
Las reglas de notificación ofrecen las siguientes ventajas:
Proporcionan un mecanismo para que los administradores apliquen lógica de negocios de tiempo de ejecución para las notificaciones de confianza de los proveedores de notificaciones.
Proporcionan un mecanismo para que los administradores definan las notificaciones que se publicarán para los usuarios autenticados.
Proporcionan capacidades de autorización basadas en notificaciones detalladas y eficaces para los administradores que quieran permitir o denegar el acceso a usuarios concretos.
Cómo se procesan las reglas de notificación
Las reglas de notificación se procesan a través de la canalización de notificaciones con el motor de notificaciones. El motor de notificaciones es un componente lógico del Servicio de federación que examina el conjunto de notificaciones entrantes que presenta un usuario y, después, según la lógica de cada regla, generará un conjunto de resultados de notificaciones.
Juntos, el motor de reglas de notificaciones y el conjunto de reglas de notificación asociado a una relación de confianza federada concreta determinan si las notificaciones entrantes deben pasarse tal y como están, si se deben filtrar para cumplir criterios de una condición específica o si se deben transformar en un conjunto de notificaciones completamente nuevo antes de que el Servicio de federación las emita.
Para más información sobre este proceso, consulte El papel del motor de notificaciones.
¿Qué son las plantillas de reglas de notificación?
AD FS incluye un conjunto predefinido de plantillas de reglas de notificación que están diseñadas para ayudarle a seleccionar y crear las reglas de notificación más adecuadas para sus necesidades de negocio concretas. Las plantillas de reglas de notificaciones solo se usan durante el proceso de creación de reglas de notificación.
En el complemento de administración de AD FS, solo se pueden crear reglas mediante plantillas de regla de notificación. Después de utilizar el complemento para seleccionar una plantilla de reglas de notificación, especifique los datos necesarios para la lógica de la regla y guárdela en la base de datos de configuración; desde ese momento, en la interfaz de usuario se conocerá como una regla de notificación.
Cómo funcionan las plantillas de reglas de notificación
A primera vista, las plantillas de reglas de notificación parecen ser simplemente formularios de entrada que proporciona el complemento para recopilar datos y procesar lógica específica de las notificaciones entrantes. Sin embargo, en un nivel mucho más detallado, las plantillas de reglas de notificación almacenan el marco del lenguaje de reglas de notificación necesario que constituye la lógica de base necesaria para que pueda crear rápidamente una regla sin necesidad de conocer el lenguaje en detalle.
Cada plantilla que se proporciona en la interfaz de usuario (IU) representa una sintaxis de lenguaje de reglas de notificación rellenada previamente, basándose en las tareas administrativas que se requieren con más frecuencia. Sin embargo, existe una plantilla de reglas que es la excepción. Esta plantilla se conoce como la plantilla de reglas personalizada. Con esta plantilla, no se rellena previamente ninguna sintaxis. En su lugar, debe crear directamente la sintaxis del lenguaje de reglas de notificación en el cuerpo del formulario de la plantilla de reglas de notificación mediante la sintaxis del lenguaje de reglas de notificación.
Para obtener más información sobre cómo usar la sintaxis del lenguaje de reglas de notificación, vea El papel del lenguaje de reglas de notificaciones en la guía de implementación de AD FS.
Sugerencia
Puede ver el lenguaje de reglas de notificación asociado a una regla en cualquier momento si hace clic en el botón Ver lenguaje de la regla de las propiedades de una regla de notificación.
Cómo crear una regla de notificación
Las reglas de notificación se crean por separado para cada relación de confianza federada dentro del Servicio de federación y no se comparten entre varias relaciones de confianza. Las reglas se pueden crear desde: una plantilla de regla de notificación, desde cero mediante la creación de la regla con el lenguaje de reglas de notificaciones o usar Windows PowerShell para personalizar una regla.
Todas estas opciones coexisten para ofrecerle la flexibilidad de elegir el método adecuado para un escenario determinado. Para obtener más información sobre cómo crear una regla de notificación, consulte Configuración de reglas de notificación en la guía de implementación de AD FS.
Uso de plantillas de regla de notificación
Las plantillas de reglas de notificaciones solo se usan durante el proceso de creación de reglas de notificación. Puede usar cualquiera de las plantillas siguientes para crear una regla de notificación:
Pasar o filtrar una notificación entrante
Transformar una notificación entrante
Enviar atributos LDAP como notificaciones
Enviar la pertenencia a grupo como una notificación
Enviar notificaciones mediante una regla personalizada
Permitir o denegar a los usuarios en función una notificación entrante
Permitir a todos los usuarios
Para obtener más información sobre cómo describir cada una de estas plantillas de reglas de notificación, vea Establecer qué tipo de plantilla de regla de notificación usar.
Uso del lenguaje de las reglas de notificación
Para las reglas de negocio que escapan del ámbito de las plantillas de reglas de notificación estándares, puede usar una plantilla de reglas personalizada para expresar una serie de condiciones lógicas complejas con el lenguaje de reglas de notificación. Para obtener más información sobre cómo usar una regla personalizada, consulte Cuándo usar una regla de notificación personalizada.
Uso de Windows PowerShell
También puede usar el objeto de cmdlet ADFSClaimRuleSet con Windows PowerShell para crear o administrar las reglas en AD FS. Para más información sobre cómo puede usar Windows PowerShell con este cmdlet, consulte Administración de AD FS con Windows PowerShell.
¿Qué es un conjunto de reglas de notificación?
Como se muestra en la ilustración siguiente, un conjunto de reglas de notificación es una agrupación de una o varias reglas para una relación de confianza federada determinada que define la forma en que el motor de reglas de notificación procesará las notificaciones. Cuando se recibe una notificación entrante en el Servicio de federación, el motor de reglas de notificación aplica la lógica que especifica el conjunto de reglas de notificación adecuado. Es la suma final de la lógica de cada regla del conjunto la que determina cómo se emiten las notificaciones para una relación de confianza determinada en su totalidad.
El motor de notificaciones procesa las reglas de notificación en orden cronológico, dentro de un conjunto determinado de reglas. Este orden es importante, ya que el resultado de una regla puede usarse como entrada de la siguiente regla del conjunto.
¿Qué son los tipos de conjuntos de reglas de notificación?
Un tipo de conjunto de reglas de notificación es un segmento lógico de una relación de confianza federada que identifica de manera categórica si el conjunto de reglas de notificación asociado a la relación de confianza se usará para la emisión, autorización o aceptación de notificaciones. Cada relación de confianza federada puede tener uno o varios tipos de reglas de notificación asociados, según el tipo de relación de confianza que se use.
En la tabla siguiente se describen los distintos tipos de conjuntos de reglas de notificación y se explica su relación con una relación de confianza del proveedor de notificaciones o con una relación de confianza para usuario autenticado.
Tipo de conjunto de reglas de notificación | Descripción | Se usa en |
---|---|---|
Conjunto de reglas de transformación de aceptación | Un conjunto de reglas de notificación que usa en una relación de proveedor de notificaciones concreta para especificar las notificaciones entrantes que se aceptarán desde la organización del proveedor de notificaciones y las notificaciones salientes que se enviarán a la relación de confianza para usuario autenticado. Las notificaciones entrantes que se usarán como origen de este conjunto de reglas serán las notificaciones de salida del conjunto de reglas de transformación de emisión, como se especifica en la organización del proveedor de notificaciones. De forma predeterminada, el nodo de confianza del proveedor de notificaciones contiene una relación de confianza de proveedor de notificaciones denominada Active Directory, que se usa para representar el almacén de atributos de origen para el conjunto de reglas de transformación de aceptación. Este objeto de confianza se usa para representar la conexión desde el Servicio de federación a una base de datos de Active Directory en la red. Esta relación de confianza predeterminada es la que procesa las notificaciones para los usuarios que Active Directory ha autenticado y no se puede eliminar. |
Relaciones de confianza de proveedor de notificaciones |
Conjunto de reglas de transformación de emisión | Un conjunto de reglas de notificación que se usan en una relación de confianza para usuario autenticado a fin de especificar las notificaciones que se emitirán al usuario autenticado. Las notificaciones entrantes que se usarán como origen para este conjunto de reglas serán inicialmente las notificaciones de salida de las reglas de transformación de aceptación. |
Veracidades de usuarios de confianza |
Conjunto de reglas de autorización de emisión | Un conjunto de reglas de notificación que se usa en una relación de confianza para usuario autenticado a fin de especificar los usuarios a los que se les permitirá recibir un token para el usuario autenticado. Estas reglas determinan si un usuario puede recibir notificaciones para un usuario autenticado y, por lo tanto, obtener acceso al usuario autenticado. A menos que especifique una regla de autorización de emisión, se denegará el acceso a todos los usuarios de forma predeterminada. |
Veracidades de usuarios de confianza |
Conjunto de reglas de autorización de delegación | Un conjunto de reglas de notificación que se usa en una relación de confianza para usuario autenticado a fin de especificar los usuarios que tendrán permiso para actuar como delegados de otros usuarios para el usuario autenticado. Estas reglas determinan si se permite que el solicitante pueda suplantar a un usuario mientras se sigue identificando al solicitante en el token que se envía al usuario autenticado. A menos que especifique una regla de autorización de delegación, ningún usuario puede actuar como delegado de manera predeterminada. |
Veracidades de usuarios de confianza |
Conjunto de reglas de autorización de suplantación | Un conjunto de reglas de notificación que se configura mediante Windows PowerShell para determinar si un usuario puede suplantar a otro para el usuario autenticado. Estas reglas determinan si se permite que el solicitante pueda suplantar a un usuario sin identificar al solicitante en el token que se envía al usuario autenticado. La suplantación de otro usuario de esta manera es una capacidad muy eficaz, ya que el usuario autenticado no sabrá que se está suplantando al usuario. |
Confianza para usuario autenticado |
Para obtener más información sobre cómo seleccionar las reglas de notificación adecuadas que se usarán en su organización, consulte Establecer qué tipo de plantilla de regla de notificación usar.