Cuando usar la pertenencia a un grupo de envío como una regla de notificación
Puede usar esta regla en Active Directory Federation Services (AD FS) cuando quiera emitir un nuevo valor de notificación saliente solo para los usuarios que sean miembros de un grupo de seguridad de Active Directory especificado. Cuando usa esta regla, emitirá una notificación única solo para el grupo que especifique y que coincida con la lógica de la regla, como se describe en la tabla siguiente.
| Opción de regla | Lógica de regla |
|---|---|
| Valor de notificación saliente | Si la pertenencia a grupos de un usuario es igual a la del grupo especificado y el tipo de notificación saliente es igual a la del tipo de notificación especificado, reemplace el valor del nombre del grupo existente por el valor de notificación saliente especificado y emita la notificación. |
Las secciones siguientes ofrecen una introducción básica a las reglas de notificación. También se proporcionan detalles sobre cuándo se debe usar la pertenencia al grupo de envío como una regla de notificación.
Acerca de las reglas de notificaciones
Una regla de notificación representa una instancia de la lógica de negocios que tomará una notificación entrante, le aplicará una condición (si x, entonces y) y generará una notificación saliente según los parámetros de la condición. La lista siguiente destaca las sugerencias importantes que deberías conocer sobre las reglas de notificaciones antes de seguir leyendo este tema:
En el complemento de administración de AD FS, solo se pueden crear reglas de notificación mediante plantillas de regla de notificación.
Las reglas de notificaciones procesan las reclamaciones entrantes directamente desde un proveedor de notificaciones (por ejemplo, Active Directory u otro Servicio de federación) o desde la salida de las reglas de transformación de aceptación de la confianza de proveedor de notificaciones.
El motor de emisión de notificaciones procesa las reglas de notificación en orden cronológico dentro de un conjunto determinado de reglas. Al establecer una precedencia en las reglas, puedes perfeccionar o filtrar aún más las notificaciones que generan las reglas anteriores dentro de un conjunto determinado de reglas.
Siempre tendrás que especificar un tipo de notificación entrante para las plantillas de regla de notificaciones. Sin embargo, puedes procesar varios valores de notificación con el mismo tipo de notificación con una sola regla.
Para más información sobre las reglas de notificación y los conjuntos de reglas de notificación, consulte El rol de las reglas de notificaciones. Para más información sobre cómo se procesan las reglas, consulte El rol del motor de notificaciones. Para más información sobre cómo se procesan los conjuntos de reglas de notificación, consulte El papel de la canalización de notificaciones.
Valor de notificación saliente
Si usa la pertenencia al grupo de envío como una plantilla de regla de notificación, puede emitir una notificación que dependa de si un usuario es miembro de un grupo que especifique.
En otras palabras, esta plantilla de regla emite una notificación solo cuando el usuario tiene un identificador de seguridad (SID) del grupo que coincide con el grupo de Active Directory que el administrador especifica. Todos los usuarios que se autentican en los Servicios de dominio de Active Directory (AD DS) tendrán notificaciones SID de grupo entrantes para cada grupo al que pertenezcan. De forma predeterminada, las reglas de transformación de aceptación en la confianza del proveedor de notificaciones de Active Directory se pasan a través de estas notificaciones de SID de grupo. El uso de estos SID de grupo como base para emitir notificaciones es mucho más rápido que la búsqueda de grupos del usuario en AD DS.
Cuando se usa esta regla, solo se envía una notificación única, en función del grupo de Active Directory que seleccione. Por ejemplo, puede usar esta plantilla de regla para crear una regla que envíe una notificación de grupo con un valor de "Admin" si el usuario es miembro del grupo de seguridad Administradores de dominio.
Configurar esta regla en una confianza de proveedor de notificaciones
Los administradores deben usar este tipo de regla en las reglas de transformación de aceptación de una confianza de proveedor de notificaciones solo cuando los SID de grupo se reciben desde el proveedor de notificaciones, lo que es muy raro en la mayoría de proveedores de notificaciones, excepto Active Directory o AD DS.
Cómo crear esta regla
Esta regla se crea mediante el lenguaje de reglas de notificación o la pertenencia al grupo de envío del LDAP como una plantilla de reglas de notificación en el complemento de administración de AD FS. Esta plantilla de regla permite las siguientes opciones de configuración:
Especificar un nombre de regla de notificaciones
Selección del grupo de un usuario mediante el selector de objetos
Seleccionar un tipo de notificación saliente.
Seleccionar un formato de identificador de nombre saliente (que solo está disponible cuando se elige el identificador de nombre desde el campo de tipo de notificación saliente).
Especificar un valor de notificación saliente.
Para obtener más información sobre cómo crear esta regla, consulte Crear una regla para enviar pertenencia a grupos como una notificación.
Uso del lenguaje de las reglas de notificación
Si quiere emitir notificaciones basadas en un SID entrante que no sea un SID de grupo, use la plantilla de regla Transformar una notificación entrante. Si el administrador quiere recuperar los nombres de todos los grupos de los que el usuario es miembro, use en su lugar Enviar atributos LDAP como plantilla de reglas de notificaciones con el atributo tokenGroups.
Ejemplo: Cómo emitir notificaciones de grupo basadas en la pertenencia a grupos de usuarios
La siguiente regla emite notificaciones de grupo para un usuario según un SID de grupo entrante:
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);
Referencias adicionales
Crear una regla para enviar atributos LDAP como notificaciones