Proveedor de Seguridad: WS-Federation
El proveedor de seguridad WS-Federation permite la autenticación de inicio de sesión único (SSO) con proveedores de identidad (IdP) de WS-Federation compatibles, incluido Microsoft Azure Active Directory (AD) y los Servicios de federación de Active Directory (AD FS). Hay información adicional sobre WS-Federation disponible en los siguientes documentos:
Configuración
Fichas
- Audiencia: Restricción de audiencia. Aunque el estándar requiere una URI sintácticamente válida, App Builder aceptará valores que no sean URI para integrarse con implementaciones no conformes. El valor predeterminado es ID de entidad.
- Destinatario: URL de respuesta de Ws-Federation (Wreply). El valor predeterminado es la URL actual. Consulte Wreply Extremo a continuación.
- Identificador de entidad: URI del dominio de seguridad de WS-Federation (Wtrealm). En Microsoft Azure, se denomina Identificador de aplicación. En AD FS, se denomina Identificador. Obligatorio.
Precaución
En versiones anteriores de App Builder, ID de entidad predeterminado a la URL raíz de la aplicación (por ejemplo https://example.com/App Builder/). Ahora se requiere el ID de entidad.
Extremos
| Tipo | Descripción |
|---|---|
| Extremo de metadatos | URL de metadatos de WS-Federation, p. ej., https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml. Obligatorio. |
Propiedades
El proveedor de seguridad WS-Federation define los siguientes parámetros:
| Parámetro | Predeterminado | Descripción |
|---|---|---|
| IgnoreTlsErrors | Falso | Indica si App Builder debe ignorar los errores TLS al conectarse a la URL de metadatos de WS-Federation. Esto solo debe usarse para desarrollo y pruebas. |
| ClockSkew | 5 | Número máximo de minutos que se deben permitir para relojes de servidor desincronizados al validar la afirmación SAML. |
| LogPII | Falso | Indica que se debe registrar la información de identificación personal (PII). Esta configuración entra en vigencia al iniciar el sistema. |
Reclamos
WS-Federation es fundamentalmente un protocolo de autenticación basado en notificaciones. El proveedor de seguridad de WS-Federation reconoce las siguientes notificaciones:
| Identificador | Propósito | Descripción |
|---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier | Identificador de nombre | Identificador único e inmutable utilizado para asignar la identidad de externo a an App Builder usuario. |
| http://schemas.xmlsoap.org/claims/Group | Grupo | Membresía del grupo de seguridad. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid | Grupo | Membresía del grupo de seguridad. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groups | Grupo | Membresía del grupo de seguridad. |
| http://schemas.zudy.com/identity/claims/fullname | Nombre completo | Nombre completo. |
| http://schemas.zudy.com/identity/claims/displayname | Nombre para mostrar | Nombre descriptivo. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Dirección de Correo | Dirección de Correo. |
| http://schemas.zudy.com/identity/claims/phonenumber | Número de teléfono | Número de teléfono. |
Integración
Extremo de Wreply
El proveedor de seguridad WS-Federation expone un único extremo que escucha las solicitudes HTTP que contienen un token de seguridad. La dirección tiene el siguiente formato:
https://example.com/App Builder/signin-WSFederation
La URL se compone de las siguientes partes:
| Componente | Descripción |
|---|---|
| https://ejemplo.com/App Builder/ | URL absoluta a la App Builder directorio raíz de la aplicación. |
| WSFederation | Nombre del proveedor de seguridad de Ws-Federation codificado en URL. El valor distingue entre mayúsculas y minúsculas. |
Problemas y Limitaciones Conocidos
El App Builder el proveedor de seguridad WS-Federation tiene las siguientes limitaciones:
- Solo se puede validar una única restricción de audiencia.
- No se admite el protocolo Logout.