¿Qué es la autenticación basada en notificaciones? - Security Center 5.8

Guía para el Administrador de Security Center 5.8

Applies to
Security Center 5.8
Last updated
2019-08-28
Language
Español
Product
Security Center
Version
5.8

La autenticación basada en notificaciones es el proceso de autenticar a un usuario en función de un conjunto de notificaciones acerca de su identidad contenidas en un token de confianza. Este tipo de token suele ser emitido y firmado por una entidad que puede autenticar al usuario de otra manera y en la que confía la entidad que realiza la autenticación basada en notificaciones.

¿Qué es una notificación?

Un reclamo es una declaración que hace un sujeto sobre sí mismo o sobre otro sujeto. La declaración puede referirse a un nombre, una identidad, una clave, un grupo, un privilegio o una capacidad, por ejemplo. Las notificaciones son emitidas por un proveedor, y se les da uno o más valores y luego se empaquetan en tokens de seguridad emitidos por un emisor, conocido, generalmente, como security token service (STS).

¿Cuáles son los beneficios de las notificaciones?

Las notificaciones separan el proceso de autenticación (verificar que una entidad es lo que dice ser) del proceso de autorización (establecer los derechos que tiene una entidad sobre las características y los recursos de un sistema). El beneficio de esta separación es que permite el inicio de sesión único (el uso de una autenticación única de usuario para varios sistemas de TI o incluso organizaciones). Las notificaciones también agregan un contexto a la identidad del usuario, lo que le permite configurar políticas de acceso más flexibles.

En el contexto de Security Center, el proceso de autenticación es administrado por un STS personalizado o un Active Directory Federation Services (ADFS) servidor, y el proceso de autorización es administrado por Security Center, a través de particiones y privilegios.

¿Qué métodos de autenticación de usuarios admite Security Center?

Security Center es compatible con los siguientes métodos de autenticación de usuarios:
Autenticación Security Center nativa
El usuario proporciona un nombre de usuario y contraseña a la aplicación del cliente para iniciar sesión en Security Center.
Autenticación del Active Directory
El usuario hace clic en Usar credenciales de Windows e inicia sesión con su cuenta de usuario de Windows (requiere configurar la Integración del Active Directory).
Autenticación activa con ADFS
(Protocolo WS-Trust) La aplicación del cliente envía el nombre de usuario y la contraseña a un proveedor de identidad de confianza (servidor de ADFS) para autenticarlos.
Autenticación pasiva con ADFS (o autenticación basada en la web)
(Protocolo WS-Federation) La aplicación del cliente redirige al usuario a un formulario web administrado por un proveedor de identidad de confianza (servidor de ADFS). El proveedor de identidad puede solicitar cualquier cantidad de credenciales para autenticar al usuario sin pasar por la aplicación del cliente. Autenticación de Múltiples Factores (MFA) se puede implementar a través de este método.
NOTA: Los usuarios federados a través de ADFS solo se crean en Security Center en el primer inicio de sesión. A diferencia del Active Directory, no tiene la opción de crear todos los usuarios importados en Security Center cuando la función del ADFS se conecta al servidor de ADFS.

Requisitos

Para usar ADFS para la autenticación, se deben reunir las siguientes condiciones:
  • La estación de trabajo cliente debe poder llegar al servidor de ADFS.
  • El certificado de encriptación HTTPS del servicio de ADFS debe ser de confianza para la estación de trabajo cliente.

Impacto en el rendimiento

  • La escalabilidad del Directory no se ve afectada por esta característica.
  • Se espera que los inicios de sesión de usuario con credenciales de ADFS lleven un poco más de tiempo que los inicios de sesión habituales, porque requieren que las estaciones de trabajo clientes se conecten a uno o más servidores de ADFS remotos antes de conectarse al Directory.

Compatibilidad con versiones anteriores

La autenticación activa con ADFS es compatible con las estaciones de trabajo clientes que ejecutan una versión anterior de Security Desk o SDK, pero solo si el usuario introduce la contraseña.