Cuándo usar una regla de Pasar a través o filtrar una notificación
Puede usar esta regla en los Servicios de federación de Active Directory (AD FS) cuando necesite tener un tipo de notificación entrante específica y después aplicar una acción que determine qué resultado se debe producir en función de los valores de la notificación entrante. Cuando usas esta regla, pasas a través o filtras cualquier notificación que coincide con la lógica de la regla de la tabla siguiente, según cualquiera de las opciones que configures en la regla.
| Opción de regla | Lógica de regla |
|---|---|
| Pasar a través todos los valores de notificaciones | Si el tipo de notificación entrante es igual a tipo de notificación determinado y el valor es igual a cualquier valor, pasa a través la notificación |
| Pasar a través solo un valor de notificación determinado | Si el tipo de notificación entrante es igual a tipo de notificación determinado y el valor es igual a valor de notificación determinado, pasa a través la notificación |
| Pasar a través solo valores de notificación que coincidan con un valor de sufijo de correo electrónico determinado | Si el tipo de notificación entrante es igual a tipo de notificación determinado y el valor es igual a valor de sufijo determinado, pasa a través la notificación |
| Pasar a través solo valores de notificación que empiecen con un valor determinado | Si el tipo de notificación entrante es igual a tipo de notificación determinado y el valor empieza por valor de notificación determinado, pasa a través la notificación |
Las secciones siguientes ofrecen una introducción básica a las reglas de notificación y proporcionan más detalles sobre cuándo utilizar esta regla.
Acerca de las reglas de notificaciones
Una regla de notificación representa una instancia de la lógica de negocios que tomará una notificación entrante, le aplicará una condición (si x, entonces y) y generará una notificación saliente según los parámetros de la condición. La lista siguiente destaca las sugerencias importantes que deberías conocer sobre las reglas de notificaciones antes de seguir leyendo este tema:
En el complemento de administración de AD FS, solo se pueden crear reglas de notificación mediante plantillas de regla de notificación.
Las reglas de notificaciones procesan las reclamaciones entrantes directamente desde un proveedor de notificaciones (por ejemplo, Active Directory u otro Servicio de federación) o desde la salida de las reglas de transformación de aceptación de la confianza de proveedor de notificaciones.
El motor de emisión de notificaciones procesa las reglas de notificación en orden cronológico dentro de un conjunto determinado de reglas. Al establecer una precedencia en las reglas, puedes perfeccionar o filtrar aún más las notificaciones que generan las reglas anteriores dentro de un conjunto determinado de reglas.
Siempre tendrás que especificar un tipo de notificación entrante para las plantillas de regla de notificaciones. Sin embargo, puedes procesar varios valores de notificación con el mismo tipo de notificación con una sola regla.
Para más información sobre las reglas de notificación y los conjuntos de reglas de notificación, consulte El rol de las reglas de notificaciones. Para más información sobre cómo se procesan las reglas, consulte El rol del motor de notificaciones. Para más información sobre cómo se procesan los conjuntos de reglas de notificación, consulte El papel de la canalización de notificaciones.
Pasar a través todos los valores de notificaciones
Cuando se usa esta acción, todos los valores de notificación entrante del tipo de notificación determinado se pasan a través como notificaciones salientes. Por ejemplo, cuando se especifica el tipo de notificación entrante como el tipo de notificación de rol, todos los valores de notificación entrante se copian individualmente en nuevas notificaciones salientes con el tipo de notificación saliente del rol.
Filtrado de una notificación
En AD FS, el término filtrado de notificaciones significa filtrar o restringir valores de notificaciones entrantes para que solo ciertos valores se pasen o se envíen como notificaciones salientes. Lo que hace posible esta función es la plantilla de reglas Pasar a través o filtrar una notificación entrante. Dentro de las propiedades de esta regla, puedes establecer condiciones para filtrar los valores de entrada para que solo se pasen a través los valores que cumplen los criterios especificados.
Por ejemplo, puedes usar esta regla para solo pasar a través de notificaciones que coinciden con el valor de notificación del comprador cuando el tipo de notificación entrante coincide con tipo de notificación de rol o también puede que quieras emitir solo las notificaciones sobre el nombre del usuario, pero no las notificaciones que contienen el número de seguridad social del usuario.
Cuando usas una condición de filtro con esta regla, se examinan todas las notificaciones entrantes para determinar qué notificaciones coinciden con los criterios establecidos por la regla. Se omiten todas las demás notificaciones para que solo se pasen a través los valores de notificación determinados que coinciden con un tipo de notificación en concreto.
Por ejemplo, como se muestra en la siguiente ilustración, cuando se establece una regla con la condición de filtrar solo las notificaciones entrantes que tienen como clave el tipo de notificación UPN y también terminan en @fabrikam.com, el resto de notificaciones entrantes se omiten a menos que cumplan este criterio. Esto incluye la notificación entrante con el tipo de notificación de dirección de correo electrónico incluso si su valor de notificación termina en @fabrikam.com. En este caso, solo se envía al usuario de confianza la notificación que contenga el valor de Nick@fabrikam.com.
Configurar esta regla en una confianza de proveedor de notificaciones
Cuando usas una confianza de proveedores de notificaciones, esta regla se puede configurar para pasar a través solo notificaciones entrantes del proveedor de notificaciones que coincidan con determinadas restricciones. Por ejemplo, puede que quiera aceptar solo notificaciones de correo electrónico del proveedor de notificaciones; por lo tanto, tendrá que usar esta plantilla de regla para aceptar tipos de notificación de correo electrónico que terminen con el nombre del Sistema de nombres de dominio (DNS) del proveedor de notificaciones.
Configurar esta regla en una relación de confianza para usuario autenticado
Cuando usas una relación de confianza para usuario autenticado, esta regla se puede configurar para pasar a través o filtrar las notificaciones salientes que se enviarán al usuario de confianza. Es posible que algunos usuarios de confianza no entiendan ciertos tipos de notificación o que ciertas notificaciones contengan información confidencial que no se deba enviar a ciertos usuarios de confianza. Esta plantilla de reglas puede ayudar a aplicar esas directivas a una determinada entidad de confianza.
Cómo crear esta regla
Esta regla se crea utilizando el lenguaje de reglas de notificación o la plantilla de regla de paso o filtrado de una notificación entrante del complemento Administración de AD FS. Esta plantilla de regla permite las siguientes opciones de configuración:
Especificar un nombre de regla de notificaciones
Especificar un tipo de notificación entrante
Pasar a través todos los valores de notificaciones
Pasar a través solo un valor de notificación determinado
Pasar a través solo valores de notificación que coincidan con un valor de sufijo de correo electrónico determinado
Pasar a través solo valores de notificación que empiecen con un valor determinado
Para más instrucciones sobre cómo crear esta plantilla, consulte Crear una regla para pasar o filtrar una notificación entrante en la Guía de implementación de AD FS.
Uso del lenguaje de las reglas de notificación
Si solo se debe enviar una notificación cuando el valor de notificación coincida con un patrón personalizado, tienes que usar una regla personalizada. Para obtener más información, consulta «Cuándo usar una regla personalizada».
Ejemplos de cómo crear una sintaxis de regla para Pasar a través o filtrar
Una regla de filtrado sencilla podría filtrar notificaciones basadas en una de las propiedades descritas anteriormente. Por ejemplo, la regla siguiente pasará a través todas las notificaciones de correo electrónico:
c:[type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(claim = c);
Los filtros se pueden ser juntar de forma lógica mediante AND. Por ejemplo, la siguiente regla aceptará todas las notificaciones de correo electrónico con el valor johndoe@fabrikam.com:
c:[type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", value == "johndoe@fabrikam.com "] => issue(claim = c);
En los ejemplos anteriores, los filtros siempre usan un operador de igualdad. El lenguaje de reglas de notificación admite los operadores siguientes:
== - iguala (distingue mayúsculas de minúsculas)
!= - no iguala (distingue mayúsculas de minúsculas)
= ~- coincidencia de expresión regular
!~ - no coincidencia de expresión regular
Por ejemplo, la siguiente regla aceptará todas las notificaciones de correo electrónico no emitidas por el servidor de federación local que tienen un sufijo de boeing.com:
c:[type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", value =~ "^.*@boeing\.com$" , issuer != "LOCAL AUTHORITY"] => issue(claim = c);
Procedimientos recomendados para crear reglas personalizadas
Se puede aplicar un filtro a una o varias de las propiedades de cada notificación, tal y como se describe en la tabla siguiente.
| Propiedad de notificación | Descripción |
|---|---|
| Tipo | El tipo de notificación (representado normalmente como un Uri) refleja un acuerdo implícito entre los asociados de una federación sobre qué tipo de información se muestra en la notificación. Por ejemplo, las notificaciones de tipo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress contendrán la dirección de correo electrónico del usuario. |
| Valor | Valor de la reclamación. Por ejemplo, una notificación de tipo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress puede tener un valor de johndoe@fabrikam.com |
| ValueType | ValueType representa cómo hay que interpretar la información contenida en el valor de la notificación. Normalmente, ValueType se establece en http://www.w3.org/2001/XMLSchema#string, pero el valor de notificación podría contener datos codificados en Base64Binary (por ejemplo, una imagen) o una fecha, un valor booleano, etc. |
| Emisor | El emisor representa la entidad que emitió por última vez las notificaciones sobre el usuario. Si las notificaciones se obtienen del servidor de federación del emisor de notificaciones, el proveedor de todas las notificaciones se establecerá como "LOCAL AUTHORITY". Si un servidor de federación Proveedor de notificaciones recibió las notificaciones, se establecerá el emisor de las notificaciones para el identificador de proveedor de notificaciones del proveedor de notificaciones que firmó el token. Por lo tanto, al procesar las reglas de las notificaciones que recibieron por parte de un proveedor de notificaciones, el emisor de todas las notificaciones se establecerá en el mismo valor. Al crear reglas para un usuario de confianza, se puede usar la propiedad emisora para distinguir entre notificaciones procedentes de proveedores de notificaciones diferentes. |
| Emisor original | Esta propiedad de notificación está destinada a transmitir qué servidor de federación emitió originalmente la notificación. Como la propiedad emisora de las notificaciones se establece con el último servidor de federación que firmó el token, el emisor original es útil en escenarios donde ha fluido una notificación a través de más de un servidor de federación (por ejemplo, un usuario de confianza que recibe un token de un servidor de federación del Proveedor de federación podría estar interesado en qué servidor de federación del Proveedor de notificaciones autenticó al usuario) |
| Propiedades | Además de las cinco propiedades descritas anteriormente, todas las notificaciones tienen también una bolsa de propiedades donde se pueden almacenar propiedades con nombre. Estas propiedades no se encuentran en serie en el token y solo tienen sentido para pasar información entre los componentes de la canalización de emisión de notificaciones dentro del ámbito de un servidor de federación único. Por ejemplo, establecer una propiedad durante el procesamiento de las reglas del proveedor de notificaciones y después hacer referencia a ella en las reglas del usuario de confianza. |