La autenticación basada en notificaciones es el proceso de autenticar a un usuario en función de un conjunto de notificaciones acerca de su identidad contenidas en un token de confianza. Este tipo de token suele ser emitido y firmado por una entidad que puede autenticar al usuario de otra manera y en la que confía la entidad que realiza la autenticación basada en notificaciones.
¿Qué es una notificación?
Un reclamo es una declaración que hace un sujeto sobre sí mismo o sobre otro sujeto. La declaración puede referirse a un nombre, una identidad, una clave, un grupo, un privilegio o una capacidad, por ejemplo. Las notificaciones son emitidas por un proveedor, y se les da uno o más valores y luego se empaquetan en tokens de seguridad emitidos por un emisor, conocido, generalmente, como security token service (STS).
¿Cuáles son los beneficios de las notificaciones?
Las notificaciones separan el proceso de autenticación (verificar que una entidad es lo que dice ser) del proceso de autorización (establecer los derechos que tiene una entidad sobre las características y los recursos de un sistema). El beneficio de esta separación es que permite el inicio de sesión único (el uso de una autenticación única de usuario para varios sistemas de TI o incluso organizaciones). Las notificaciones también agregan un contexto a la identidad del usuario, lo que le permite configurar políticas de acceso más flexibles.
En el contexto de Security Center, el proceso de autenticación es administrado por un STS personalizado o un Active Directory Federation Services (ADFS) servidor, y el proceso de autorización es administrado por Security Center, a través de particiones y privilegios.
¿Qué métodos de autenticación de usuarios admite Security Center?
Security Center es compatible con los siguientes métodos de autenticación de usuarios:- Autenticación Security Center nativa
- El usuario proporciona un nombre de usuario y contraseña a la aplicación del cliente para iniciar sesión en Security Center.
- Autenticación del Active Directory
- El usuario hace clic en Usar credenciales de Windows e inicia sesión con su cuenta de usuario de Windows (requiere configurar la Integración del Active Directory).
- Autenticación activa con ADFS
- (Protocolo WS-Trust) La aplicación del cliente envía el nombre de usuario y la contraseña a un proveedor de identidad de confianza (servidor de ADFS) para autenticarlos.
- Autenticación pasiva con ADFS (o autenticación basada en la web)
- (Protocolo WS-Federation) La aplicación del cliente redirige al usuario a un formulario web administrado por un proveedor de identidad de confianza (servidor de ADFS). El proveedor de identidad puede solicitar cualquier cantidad de credenciales para autenticar al usuario sin pasar por la aplicación del cliente. Autenticación de Múltiples Factores (MFA) se puede implementar a través de este método.
Requisitos
- La estación de trabajo cliente debe poder llegar al servidor de ADFS.
- El certificado de encriptación HTTPS del servicio de ADFS debe ser de confianza para la estación de trabajo cliente.
Impacto en el rendimiento
- La escalabilidad del Directory no se ve afectada por esta característica.
- Se espera que los inicios de sesión de usuario con credenciales de ADFS lleven un poco más de tiempo que los inicios de sesión habituales, porque requieren que las estaciones de trabajo clientes se conecten a uno o más servidores de ADFS remotos antes de conectarse al Directory.
Compatibilidad con versiones anteriores
La autenticación activa con ADFS es compatible con las estaciones de trabajo clientes que ejecutan una versión anterior de Security Desk o SDK, pero solo si el usuario introduce la contraseña.