Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede usar las plantillas de regla Enviar pertenencia a grupo como notificación o Transformar una notificación entrante para enviar una notificación de método de autenticación. El usuario de confianza puede usar una notificación de método de autenticación para determinar el mecanismo de inicio de sesión que el usuario utiliza para autenticarse y obtener notificaciones de los Servicios de federación de Active Directory (AD FS). También puede usar la característica Garantía del mecanismo de autenticación de los Servicios de federación de Active Directory (AD FS) en Windows Server 2012 R2 como entrada para generar notificaciones de método de autenticación para situaciones en las que el usuario de confianza quiere determinar el nivel de acceso basado en inicios de sesión de tarjeta inteligente. Por ejemplo, un desarrollador puede asignar distintos niveles de acceso a los usuarios federados de la aplicación del usuario de confianza. Los niveles de acceso se basan en si los usuarios inician sesión con sus credenciales de nombre de usuario y contraseña en lugar de tarjetas inteligentes.
En función de los requisitos de su organización, use uno de los siguientes procedimientos:
Cree esta regla usando la plantilla de regla Enviar pertenencia a grupo como notificación: puede usar esta plantilla de regla cuando desee que el grupo especificado en la plantilla determine en última instancia qué notificación de método de autenticación se debe emitir.
Cree esta regla mediante la plantilla Transformar una notificación entrante: puede usar esta plantilla de regla cuando desee cambiar el método de autenticación existente a un nuevo método de autenticación que funcione con un producto que no reconozca los métodos de autenticación estándar de AD FS.
Para crear esta regla con la plantilla Enviar pertenencia a grupo como notificación en una relación de confianza para usuario autenticado en Windows Server 2016
En administrador del servidor, haga clic en Herramientas y, a continuación, seleccione Administración de AD FS.
En el árbol de consola, en AD FS, haga clic en Confianzas de usuario autenticado.
Haga clic con el botón derecho en la confianza seleccionada y, a continuación, haga clic en Editar directiva de emisión de notificaciones.
En el cuadro de diálogo Editar directiva de emisión de notificaciones, en Reglas de transformación de emisión, haga clic en Agregar regla para iniciar el asistente para reglas.
En la página Seleccionar plantilla de regla, en Plantilla de regla de notificación, seleccione Enviar pertenencia a grupo como notificación en la lista y haga clic en Siguiente.
En la página Configurar regla , escriba un nombre de regla de notificación.
Haga clic en Examinar, seleccione el grupo cuyos miembros deben recibir esta notificación de método de autenticación y, a continuación, haga clic en Aceptar.
En Tipo de notificación saliente, seleccione Método de autenticación en la lista.
En Valor de notificación saliente, escriba uno de los valores predeterminados del identificador uniforme de recursos (URI) de la tabla siguiente, en función del método de autenticación preferido, haga clic en Finalizar y, a continuación, haga clic en Aceptar para guardar la regla.
| Método de autenticación real | URI correspondiente |
|---|---|
| Autenticación de nombre de usuario y contraseña | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows authentication | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticación mutua con Seguridad de la capa de transporte (TLS) que usa certificados X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticación basada en X.509 que no usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Para crear esta regla con la plantilla Enviar pertenencia a grupo como notificación en una confianza de proveedor de notificaciones en Windows Server 2016
En administrador del servidor, haga clic en Herramientas y, a continuación, seleccione Administración de AD FS.
En el árbol de consola, en AD FS, haga clic en Confianzas de proveedor de notificaciones.
Haga clic con el botón derecho en la confianza seleccionada y elija Editar reglas de notificación.
En el cuadro de diálogo Editar reglas de reclamación, en Reglas de transformación de aceptación, haga clic en Agregar regla para iniciar el asistente para reglas.
En la página Seleccionar plantilla de regla, en Plantilla de regla de notificación, seleccione Enviar pertenencia a grupo como notificación en la lista y haga clic en Siguiente.
En la página Configurar regla , escriba un nombre de regla de notificación.
Haga clic en Examinar, seleccione el grupo cuyos miembros deben recibir esta notificación de método de autenticación y, a continuación, haga clic en Aceptar.
En Tipo de notificación saliente, seleccione Método de autenticación en la lista.
En Valor de notificación saliente, escriba uno de los valores predeterminados del identificador uniforme de recursos (URI) de la tabla siguiente, en función del método de autenticación preferido, haga clic en Finalizar y, a continuación, haga clic en Aceptar para guardar la regla.
| Método de autenticación real | URI correspondiente |
|---|---|
| Autenticación de nombre de usuario y contraseña | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows authentication | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticación mutua con Seguridad de la capa de transporte (TLS) que usa certificados X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticación basada en X.509 que no usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Para crear esta regla con la plantilla Transformar una notificación entrante en una relación de confianza para usuario autenticado en Windows Server 2016
En administrador del servidor, haga clic en Herramientas y, a continuación, seleccione Administración de AD FS.
En el árbol de consola, en AD FS, haga clic en Confianzas de usuario autenticado.
Haga clic con el botón derecho en la confianza seleccionada y, a continuación, haga clic en Editar directiva de emisión de notificaciones.
En el cuadro de diálogo Editar directiva de emisión de notificaciones, en Reglas de transformación de emisión, haga clic en Agregar regla para iniciar el asistente para reglas.
En la página Seleccionar plantilla de regla, bajo Plantilla de regla de reclamación, seleccione Transformar una reclamación entrante de la lista y, a continuación, haga clic en Siguiente.
En la página Configurar regla , escriba un nombre de regla de notificación.
En Tipo de notificación entrante, seleccione Método de autenticación en la lista.
En Tipo de notificación saliente, seleccione Método de autenticación en la lista.
Seleccione Reemplazar un valor de notificación entrante con un valor de notificación saliente diferente y, a continuación, haga lo siguiente:
En Valor de notificación entrante, escriba uno de los siguientes valores de URI que se basan en el URI del método de autenticación real que se usó originalmente, haga clic en Finalizar y, a continuación, haga clic en Aceptar para guardar la regla.
En Valor de notificación saliente, escriba uno de los valores de URI predeterminados de la tabla siguiente, que depende de la nueva opción de método de autenticación preferida, haga clic en Finalizar y, a continuación, haga clic en Aceptar para guardar la regla.
| Método de autenticación real | URI correspondiente |
|---|---|
| Autenticación de nombre de usuario y contraseña | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows authentication | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticación mutua con TLS que usa certificados X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticación basada en X.509 que no usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Note
Se pueden usar otros valores de URI además de los valores de la tabla. Los valores de URI que se muestran en la tabla anterior reflejan los URI que el usuario de confianza acepta de forma predeterminada.
Para crear esta regla con la plantilla Transformar una notificación entrante en una confianza de proveedor de notificaciones en Windows Server 2016
En administrador del servidor, haga clic en Herramientas y, a continuación, seleccione Administración de AD FS.
En el árbol de consola, en AD FS, haga clic en Confianzas de proveedor de notificaciones.
Haga clic con el botón derecho en la confianza seleccionada y elija Editar reglas de notificación.
En el cuadro de diálogo Editar reglas de reclamación, en Reglas de transformación de aceptación, haga clic en Agregar regla para iniciar el asistente para reglas.
En la página Seleccionar plantilla de regla, bajo Plantilla de regla de reclamación, seleccione Transformar una reclamación entrante de la lista y, a continuación, haga clic en Siguiente.
En la página Configurar regla , escriba un nombre de regla de notificación.
En Tipo de notificación entrante, seleccione Método de autenticación en la lista.
En Tipo de notificación saliente, seleccione Método de autenticación en la lista.
Seleccione Reemplazar un valor de notificación entrante con un valor de notificación saliente diferente y, a continuación, haga lo siguiente:
En Valor de notificación entrante, escriba uno de los siguientes valores de URI que se basan en el URI del método de autenticación real que se usó originalmente, haga clic en Finalizar y, a continuación, haga clic en Aceptar para guardar la regla.
En Valor de notificación saliente, escriba uno de los valores de URI predeterminados de la tabla siguiente, que depende de la nueva opción de método de autenticación preferida, haga clic en Finalizar y, a continuación, haga clic en Aceptar para guardar la regla.
| Método de autenticación real | URI correspondiente |
|---|---|
| Autenticación de nombre de usuario y contraseña | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows authentication | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticación mutua con TLS que usa certificados X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticación basada en X.509 que no usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Para crear esta regla con la plantilla Enviar pertenencia a grupo como notificación en Windows Server 2012 R2
En administrador del servidor, haga clic en Herramientas y, a continuación, seleccione Administración de AD FS.
En el árbol de consola, en AD FS\Relaciones de confianza, haga clic en Confianzas de proveedores de notificaciones o Veracidades de usuarios de confianza y elija una relación de confianza específica en la lista donde quiera crear esta regla.
Haga clic con el botón derecho en la confianza seleccionada y elija Editar reglas de notificación.
En el cuadro de diálogo Editar reglas de notificación, seleccione una de las siguientes pestañas, en función de la confianza que va a editar y del conjunto de reglas en el que quiere crear esta regla. A continuación, haga clic en Agregar regla para iniciar el asistente para reglas asociado a ese conjunto de reglas:
Reglas de transformación de aceptación
Reglas de transformación de emisión
Reglas de autorización de emisión
Reglas de autorización de delegación
En la página Seleccionar plantilla de regla, bajo Plantilla de regla de reclamación, seleccione Enviar pertenencia a grupos como reclamación en la lista y, a continuación, haga clic en Siguiente.
En la página Configurar regla , escriba un nombre de regla de notificación.
Haga clic en Examinar, seleccione el grupo cuyos miembros deben recibir esta notificación de método de autenticación y, a continuación, haga clic en Aceptar.
En Tipo de notificación saliente, seleccione Método de autenticación en la lista.
En Valor de notificación saliente, escriba uno de los valores predeterminados del identificador uniforme de recursos (URI) de la tabla siguiente, en función del método de autenticación preferido, haga clic en Finalizar y, a continuación, haga clic en Aceptar para guardar la regla.
| Método de autenticación real | URI correspondiente |
|---|---|
| Autenticación de nombre de usuario y contraseña | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows authentication | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticación mutua con Seguridad de la capa de transporte (TLS) que usa certificados X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticación basada en X.509 que no usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Note
Se pueden usar otros valores de URI además de los valores de la tabla. Los valores de URI que se muestran en la tabla anterior son los URI que el usuario de confianza acepta de forma predeterminada.
Para crear esta regla con la plantilla Transformar una regla de notificación entrante en Windows Server 2012 R2
En el Administrador del servidor, haga clic en Herramientas y, a continuación, haga clic en Administración de AD FS.
En el árbol de consola, en AD FS\Relaciones de confianza, haga clic en Confianzas de proveedores de notificaciones o Veracidades de usuarios de confianza y elija una relación de confianza específica en la lista donde quiera crear esta regla.
Haga clic con el botón derecho en la confianza seleccionada y elija Editar reglas de notificación.
En el cuadro de diálogo Editar reglas de reclamaciones, seleccione una de las siguientes pestañas, en función de la confianza que está editando y el conjunto de reglas en el que desea crear esta regla, entonces haga clic en Agregar regla para iniciar el asistente para reglas asociado con el conjunto de reglas.
Reglas de transformación de aceptación
Reglas de transformación de emisión
Reglas de autorización de emisión
Reglas de autorización de delegación
En la página Seleccionar plantilla de regla, bajo Plantilla de regla de reclamación, seleccione Transformar una reclamación entrante de la lista y, a continuación, haga clic en Siguiente.
En la página Configurar regla , escriba un nombre de regla de notificación.
En Tipo de notificación entrante, seleccione Método de autenticación en la lista.
En Tipo de notificación saliente, seleccione Método de autenticación en la lista.
Seleccione Reemplazar un valor de notificación entrante con un valor de notificación saliente diferente y, a continuación, haga lo siguiente:
En Valor de notificación entrante, escriba uno de los siguientes valores de URI que se basan en el URI del método de autenticación real que se usó originalmente, haga clic en Finalizar y, a continuación, haga clic en Aceptar para guardar la regla.
En Valor de notificación saliente, escriba uno de los valores de URI predeterminados de la tabla siguiente, que depende de la nueva opción de método de autenticación preferida, haga clic en Finalizar y, a continuación, haga clic en Aceptar para guardar la regla.
| Método de autenticación real | URI correspondiente |
|---|---|
| Autenticación de nombre de usuario y contraseña | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows authentication | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticación mutua con TLS que usa certificados X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticación basada en X.509 que no usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Note
Se pueden usar otros valores de URI además de los valores de la tabla. Los valores de URI que se muestran en la tabla anterior reflejan los URI que el usuario de confianza acepta de forma predeterminada.
Referencias adicionales
Configurar reglas de reclamación