Descripción de la pertenencia a inquilinos

La pertenencia a inquilinos representa un vínculo unidireccional entre dos tipos de activos en el ecosistema de un proveedor de identidad:

  1. Un activo del proveedor de identidad, como una cuenta de usuario, un grupo o un recurso.

  2. El activo “inquilino” representa la entidad o dominio más amplio que incluye al activo. La naturaleza del “inquilino” depende del proveedor de identidad específico.

Esta pertenencia a inquilinos ayuda a identificar relaciones entre los activos y sus inquilinos, lo que ofrece información sobre la organización y la jerarquía de los activos.

Vincular activos a un inquilino

Para Active Directory (AD), los activos se vinculan a su inquilino (dominio de AD) mediante el nombre distintivo (DN) del activo. El nombre distintivo proporciona información jerárquica sobre la ubicación del activo en la estructura del directorio, que se utiliza para determinar el inquilino.

Identificar al inquilino

Cuando un activo se corresponde con un objeto de AD (por ejemplo, un usuario o grupo), su inquilino se identifica de la siguiente manera:

  • Extraiga el nombre distintivo del activo.

  • Identifique al inquilino a partir de las entradas del componente del dominio (DC) del nombre distintivo.

Ejemplo

  • Nombre distintivo del activo: CN=UserA,CN=Users,DC=tenable,DC=corp

  • Inquilino: DC=tenable,DC=corp (representa al dominio de AD)

Casos especiales: descripción de los vínculos de los dominios raíz de bosques

En algunos casos, la relación entre un activo de Active Directory (AD) y su inquilino (dominio) puede no seguir la estructura esperada debido a la forma en que AD gestiona ciertos objetos. En esta sección se explican estos “casos especiales” con más detalle para mayor claridad.

Qué son los dominios raíz de bosques

Los bosques de Active Directory constan de uno o más dominios organizados jerárquicamente. El dominio raíz del bosque es el dominio superior de esta jerarquía e incluye a todos los demás dominios del bosque. Algunos objetos de AD hacen referencia al dominio raíz del bosque en sus nombres distintivos, incluso si pertenecen a un dominio diferente. Este comportamiento puede afectar la forma en que se identifican los inquilinos.

Cómo surgen los casos especiales

Al identificar a un inquilino a partir del nombre distintivo (DN) de un activo, los componentes del dominio (DC=…) normalmente indican el dominio del activo. Sin embargo, hay excepciones:

  1. Objetos de configuración de todo el bosque

    • Determinados objetos de AD están vinculados a configuraciones o ajustes que se aplican a todo el bosque en lugar de a un dominio específico.

    • Estos objetos tienen nombres distintivos que terminan de la siguiente forma:

      • CN=Configuration,DC=…

    • Estos objetos se vinculan al dominio raíz del bosque en lugar de a su dominio “real”.

Ejemplo

  • Nombre distintivo: CN=Configuration,DC=forestRoot,DC=com

  • Inquilino: dominio raíz del bosque (DC=forestRoot,DC=com)

  1. Zonas DNS del bosque

    • Algunos objetos gestionan las zonas DNS que se comparten en todo el bosque. Sus nombres distintivos terminan de la siguiente forma:

      • DC=ForestDnsZones,DC=…

    • Estos objetos están asociados al dominio raíz del bosque, no a su dominio específico.

Ejemplo

  • Nombre distintivo: DC=ForestDnsZones,DC=forestRoot,DC=com

  • Inquilino: dominio raíz del bosque (DC=forestRoot,DC=com)

Por qué es importante

Comprender estos casos especiales es fundamental para interpretar con precisión la pertenencia a inquilinos. Entre las implicaciones clave se incluyen las siguientes:

  1. La identificación del inquilino puede diferir de las expectativas

    • Un objeto que parece pertenecer a un dominio específico puede estar vinculado al dominio raíz del bosque.

    • Los objetos en los contextos de nomenclatura “Configuration” o “ForestDnsZones” se vinculan al dominio raíz del bosque debido a su alcance en todo el bosque.

  2. Aclaraciones sobre jerarquía y alcance

    • Los objetos vinculados al dominio raíz del bosque suelen tener una aplicabilidad más amplia, ya que gestionan o representan configuraciones en el nivel de bosque.

  3. Uso en resolución de problemas y auditoría

    • Las interpretaciones erróneas de estos casos podrían generar errores al auditar estructuras de dominios o solucionar problemas relacionados con las identidades.

Al comprender estos matices, podrá interpretar los hallazgos con seguridad y mantener la precisión en las tareas de auditoría y resolución de problemas.

Por qué eligió Tenable Identity Explorer “inquilino” como nombre del contenedor raíz

Se trata de un nombre genérico, no específico del IdP, para el contenedor raíz de cada proveedor de identidad (IdP) para garantizar que funcione en diferentes sistemas, como “inquilinos de Entra” y “dominios de AD”.

Se eligió el término “inquilino” porque es ampliamente comprendido en el ámbito de la gestión de identidades, es neutral en todas las plataformas y ya se ajusta a los estándares existentes, como Microsoft Entra. Esto garantiza claridad, coherencia y flexibilidad para gestionar diversas implementaciones del IdP.