Proveedor de Seguridad: WS-Federation¶
El proveedor de seguridad de WS-Federation permite la autenticación de inicio de sesión único (SSO) con proveedores de identidad (IdP) de WS-Federation compatibles, incluido Microsoft Azure Active Directory (AD) y Servicios de federación de Active Directory (AD FS). Información adicional sobre WS-Federation está disponible en los siguientes documentos:
Configuración¶
Fichas¶
- Audiencia: Restricción de audiencia. Aunque el estándar requiere un URI sintácticamente válido, Vinyl aceptará valores que no sean URI para integrarse con implementaciones no conformes. El valor predeterminado es ID de entidad.
- Destinatario: URL de respuesta de Ws-Federation (Wreply). El valor predeterminado es la URL actual. Consulte * Extremo de Wreply* a continuación.
- ID de entidad: URI del ámbito de seguridad de WS-Federation (Wtrealm). En Microsoft Azure, esto se conoce como ID de aplicación. En AD FS, esto se conoce como Identificador. Requerido.
Precaución
En versiones anteriores de Vinyl, Entity ID tenía como valor predeterminado la URL raíz de la aplicación (p. ej. https://example.com/Vinyl/). Ahora se requiere ID de entidad.
Extremos¶
| Tipo | Descripción |
|---|---|
| Extremo de metadatos | URL de metadatos de WS-Federation, por ejemplo, https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml. Requerido. |
Propiedades¶
El proveedor de seguridad de WS-Federation define los siguientes parámetros:
| Parámetro | Predeterminado | Descripción |
|---|---|---|
| Ignorar TlsErrors | Falso | Indica si Vinyl debe ignorar los errores de TLS al conectarse a la URL de metadatos de WS-Federation. Esto sólo debe usarse para desarrollo y pruebas. |
| Desviación del reloj | 5 | Número máximo de minutos para permitir que los relojes del servidor no estén sincronizados al validar la aserción SAML. |
| RegistroPII | Falso | Indica que se debe registrar información de identificación personal (PII). Esta configuración entra en vigor al iniciar. |
Reclamos¶
WS-Federation es fundamentalmente un protocolo de autenticación basado en notificaciones. El proveedor de seguridad de WS-Federation reconoce las siguientes afirmaciones:
| Identificador | Propósito | Descripción |
|---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier | Identificador de nombre | Identificador único e inmutable que se utiliza para asignar la identidad de un externo a un usuario de Vinyl. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | Nombre | Nombre de usuario. |
| http://schemas.xmlsoap.org/claims/Group | Grupo | Membresía del grupo de seguridad. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid | Grupo | Membresía del grupo de seguridad. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groups | Grupo | Membresía del grupo de seguridad. |
| http://schemas.zudy.com/identity/claims/fullname | Nombre completo | Nombre completo. |
| http://schemas.zudy.com/identity/claims/displayname | Nombre para mostrar | Nombre amigable. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Dirección de Correo | Dirección de Correo. |
| http://schemas.zudy.com/identity/claims/phonenumber | Número de teléfono | Número de teléfono. |
Integración¶
Extremo de Wreply¶
El proveedor de seguridad de WS-Federation expone un único extremo que escucha las solicitudes HTTP que llevan un token de seguridad. La dirección toma la siguiente forma:
https://example.com/Vinyl/signin-WSFederation
La URL se compone de las siguientes partes:
| Componente | Descripción |
|---|---|
| https://example.com/Vinyl/ | URL absoluta al directorio raíz de la aplicación Vinyl. |
| WSFederation | URL codificada, nombre del proveedor de seguridad de Ws-Federation. El valor distingue entre mayúsculas y minúsculas. |
Problemas Conocidos y Limitaciones¶
El proveedor de seguridad de Vinyl WS-Federation tiene las siguientes limitaciones:
- Sólo se podrá validar una única restricción de audiencia.
- El protocolo de cierre de sesión no es compatible.