Asignación de perfiles de usuario a usuarios de SAML con una importación de Active Directory en SharePoint 2013
Artículo original publicado el miércoles, 8 de agosto de 2012
Este es un tema de gran relevancia en SharePoint 2013, ya que le permite asegurarse de que dispone de una aplicación de perfil de usuario completamente llena. En SharePoint 2013, el sistema de perfiles de usuario desempeña un papel fundamental en la infraestructura de OAuth, que garantiza el buen funcionamiento de ciertos escenarios de aplicaciones de confianza permitiendo que otras aplicaciones actúen en nombre de un usuario. Sin embargo, para que una aplicación pueda "saber" qué es lo que el usuario puede hacer, necesita capturar la lista de atributos de dicho usuario para que se apliquen las reglas apropiadas de recorte de seguridad. Esto es una aproximación muy general sobre el tema; seguiré escribiendo sobre los perfiles de usuario, la sincronización y el impacto en las diferentes opciones de autenticación en una entrada posterior.
Por ahora, basta con saber que es muy importante y que se tiene que hacer. Dada esta importancia, y teniendo en cuenta que la publicación primaria de Bryan Porter sobre esta cuestión en SharePoint 2010 desapareció cuando movimos el blog, decidí que sería interesante abordarlo de nuevo. Las buenas noticias son que no es nada de gran complejidad si hace una importación desde Active Directory, que es de lo que tratará la entrada.
Lo primero que debe hacer es crear su SPTrustedIdentityTokenIssuer, que se le pide antes de configurar el aspecto de las cosas en la importación de perfiles. Una vez hecho, abra el navegador y vaya a la página de administración de su aplicación de perfil de usuario (UPA). Haga clic en el vínculo Configurar conexiones de sincronización y, después, en el vínculo Crear una conexión. Lo único diferente en comparación con las otras conexiones de perfil a Active Directory es la lista desplegable Tipo de proveedor de autenticación. En la lista, seleccione Autenticación del proveedor de notificaciones de confianza. Cuando lo haga, la lista desplegable de abajo Instancia de proveedor de autenticación mostrará una lista de todos los SPTrustedIdentityTokenProviders que haya creado. Seleccione el que quiere que se use para esta conexión de perfil, rellene todas las otras propiedades de conexión del modo en que lo haría al realizar una importación desde Active Directory y guarde los ajustes. En esta captura se muestra mi configuración:
El paso siguiente es actualizar las asignaciones de propiedades para que SharePoint sepa qué campo va a importar e incluya el valor que los usuarios usarán como notificación de identidad. Para hacerlo, vuelva a la página de administración de la aplicación de perfil de usuario y haga clic en el vínculo Administrar propiedades de usuario. Desplácese hasta encontrar la propiedad Identificador de usuario de notificación y haga clic en Editar. Si existe el valor Asignación de propiedades para sincronización, suprímalo. Agregue uno nuevo que asigne la propiedad que va a importar desde Active Directory como valor de notificación de identidad. En mi caso, uso una dirección de correo electrónico como notificación de entidad. En Active Directory, la dirección de correo del usuario se almacena en el atributo de Active Directory con el nombre “correo”, así que solo tengo que seleccionar la conexión de perfil que creé anteriormente, escribir "correo" en el cuadro de edición Atributo y hacer clic en el botón Agregar. Así es como se muestra:
Y, una vez acabado, queda como sigue:
Identificador de proveedor de notificación y Tipo de proveedor de notificación se establecen de forma automática cuando se configura la conexión de importación de perfiles.
Eso es todo; ya puedo importar perfiles y el valor de notificación de identidad se asignará automáticamente a la propiedad del nombre de cuenta del sistema de perfiles. A continuación se muestra el resultado después de realizar una importación de perfiles. Tenga en cuenta que en lugar de usar dominio\usuario para el nombre de la cuenta, se muestra el formato de notificaciones de SAML con la dirección de correo electrónico como nombre de cuenta:
Esta entrada de blog es una traducción. Puede consultar el artículo original en Mapping User Profiles for SAML Users with an AD Import in SharePoint 2013