Saltar al contenido principal
Web Services Federation (WS-Federation o ) forma parte del marco más amplio de WS-Security y es una extensión de WS-Trust. Las funcionalidades de WS-Federation pueden usarse directamente en aplicaciones SOAP y servicios web. WS-Fed es un protocolo que puede utilizarse para negociar la emisión de un token. Puede usar este protocolo para sus aplicaciones (como una aplicación basada en Windows Identity Foundation) y para (como Active Directory Federation Services o Azure AppFabric Access Control Service).

Para las aplicaciones

Cuando registras una aplicación en Auth0, se le asigna automáticamente un endpoint de WS-Fed con el siguiente formato: https://{yourDomain}/wsfed/{yourClientId} Puedes encontrar todas las opciones disponibles para configurar WS-Fed en la sección de configuración avanzada de tu aplicación. Debes configurar la , lo que puedes hacer mediante el siguiente endpoint de metadatos: https://{yourDomain}/wsfed/FederationMetadata/2007-06/FederationMetadata.xml También puedes usar el objeto samlConfiguration, disponible en Rules, para configurar los claims enviados en el token, así como otros ajustes de bajo nivel de WS-Fed y -P. Al redirigir a tus usuarios a tu endpoint de WS-Fed, puedes usar los siguientes parámetros (opcionales):
ParámetroDescripción
wa=wsignin1.0Si Auth0 debe emitir un token para la relying party (predeterminado)
wa=wsignout1.0Si Auth0 debe borrar la sesión del usuario o cerrar su sesión
wreply={callback_URL}Dónde debe enviarse la respuesta
wctx={state}El estado de tu aplicación
whr={connection_name}La conexión que se usará (permite a los usuarios omitir la página de inicio de sesión de Auth0)
wfresh=0Si el usuario debe volver a autenticarse, aunque ya exista una sesión activa (0 requiere volver a autenticarse)
A continuación, se muestra un ejemplo de cómo podría verse tu URL con los parámetros opcionales: https://{yourDomain}/wsfed/{yourClientId}?whr=google-oauth2

Proveedores de identidad

Si usa Auth0 con un Proveedor de identidad que utiliza el protocolo WS-Federation (como Active Directory Federation Services, Azure AppFabric Access Control Service e IdentityServer), la forma más sencilla de configurar la integración es crear y usar el tipo de conexión ADFS en el Dashboard. Hay dos formas de hacerlo:
  • Importar el archivo de metadatos de federación
  • Habilitar el endpoint de metadatos de federación para comprobar si hay cambios

Importar archivo de metadatos de federación

Al configurar una conexión basada en ADFS, puede importar los parámetros necesarios proporcionando a Auth0 el endpoint de Federation Metadata o importando/cargando su archivo de metadatos de federación.
Pantalla de conexión de ADFS para importar el archivo de metadatos de federación de protocolos WS-Fed
Verá las instrucciones necesarias para terminar de configurar la integración.

Habilite el endpoint de Federation Metadata

El archivo de metadatos de federación contiene información sobre los certificados del Proveedor de identidad. Si proporciona el endpoint de Federation Metadata (normalmente con una URL que termina en /FederationMetadata/2007-06/FederationMetadata.xml), Auth0 puede comprobar diariamente si hay cambios en la configuración, como la incorporación de un nuevo certificado de firma añadido como preparación para una rotación. Por este motivo, es preferible habilitar el endpoint de Federation Metadata en lugar de proporcionar un archivo de metadatos independiente. Si proporciona un archivo de metadatos independiente, le notificaremos por correo electrónico cuando los certificados estén próximos a su fecha de vencimiento. Si los metadatos de federación contienen tanto el certificado principal como el secundario, puede usar ambos en Auth0. Para rotar certificados mediante el endpoint de Federation Metadata:
  1. Genere un nuevo certificado y agréguelo como certificado secundario para su entorno de ADFS. Esto debe hacerse al menos dos días antes del vencimiento de su certificado principal activo.
  2. Permita que Auth0 obtenga su nuevo certificado desde el endpoint de Federation Metadata. Auth0 comprueba sus endpoints una vez al día, así que asegúrese de dejar tiempo suficiente para que Auth0 complete este paso. Como alternativa, puede completar este paso manualmente iniciando sesión en el Auth0 Dashboard, yendo a la conexión de ADFS correspondiente y haciendo clic en Save. Esta acción hace que Auth0 descargue los certificados de inmediato.
  3. Establezca como certificado principal el certificado que ahora es secundario antes de que venza el certificado principal existente en su entorno de ADFS.

Más información