Creación de un inquilino de Azure Active Directory (AD) para conexiones del protocolo P2S OpenVPN

  • Artículo
  • Tiempo de lectura: 7 minutos

Al conectarse a la red virtual, puede usar la autenticación basada en certificados o la autenticación RADIUS. Sin embargo, cuando use el protocolo de VPN abierto, también puede usar la autenticación de Azure Active Directory. Si quiere que un conjunto de usuarios diferente pueda conectarse a diferentes puertas de enlace, puede registrar varias aplicaciones en AD y vincularlas a diferentes puertas de enlace.

Este artículo le ayuda a configurar un inquilino de Azure AD para la autenticación de OpenVPN de P2S y a crear y registrar varias aplicaciones en Azure AD a fin de permitir un acceso distinto a los diferentes usuarios y grupos.

Nota

La autenticación de Azure AD solo se admite para las conexiones de protocolo de OpenVPN®.

1. Cree un inquilino Azure AD

Cree un inquilino de Azure AD con los pasos del artículo Crear un nuevo inquilino:

  • Nombre organizativo

  • Nombre de dominio inicial

    Ejemplo:

    New Azure AD tenant

2. Creación de usuarios inquilinos

En este paso, creará dos usuarios inquilinos de Azure AD: una cuenta de administrador global y una cuenta de usuario principal. La cuenta de usuario principal se usa como cuenta de inserción maestra (cuenta de servicio). Al crear una cuenta de usuario de inquilino Azure AD, ajuste el rol de directorio para el tipo de usuario que desea crear. Siga los pasos descritos en este artículo para crear al menos dos usuarios para su inquilino de Azure AD. Asegúrese de cambiar el rol de directorio para crear los tipos de cuenta:

  • Administrador global
  • Usuario

3. Registro del cliente VPN

Registre el cliente VPN en el inquilino de Azure AD.

  1. Busque el ID. de directorio del directorio que desea utilizar para la autenticación. Aparece en la sección propiedades de la página Active Directory.

    Directory ID

  2. Copie el ID. del directorio.

  3. Inicie sesión en el Azure Portal como un usuario al que se le ha asignado el rol de administrador global.

  4. Después, ceda el consentimiento del administrador. Copie y pegue la dirección URL que pertenece a la ubicación de implementación en la barra de direcciones del explorador:

    Público

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Azure China 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

Nota

Si utiliza una cuenta de administrador global que no sea nativa del inquilino de Azure AD para dar su consentimiento, reemplace "common" por el identificador de directorio de Azure AD en la dirección URL. Es posible que también tenga que reemplazar "common" por el identificador de directorio en algunos otros casos.

  1. Seleccione la cuenta del Administrador global si se le solicita.

    Directory ID 2

  2. Seleccione Aceptar cuando se le solicite.

    Screenshot shows a window with the message Permissions requested Accept for you organization and information about the request.

  3. En Azure AD, en Aplicaciones empresariales, verá la VPN de Azure en la lista.

    Azure VPN

4. Registro de aplicaciones adicionales

En este paso, debe registrar aplicaciones adicionales para varios usuarios y grupos.

  1. En Azure Active Directory, haga clic en Registros de aplicaciones y en + Nuevo registro.

    Azure VPN 2

  2. En la página Registrar una aplicación, escriba el nombre. Seleccione los tipos de cuenta compatibles que quiera y, luego, haga clic en Registrarse .

    Azure VPN 3

  3. Una vez que se haya registrado la nueva aplicación, haga clic en Exponer una API en la hoja de la aplicación.

  4. Haga clic en + Agregar un ámbito.

  5. Deje el valor URI de id. de la aplicación predeterminado. Haga clic en Guardar y continuar.

    Azure VPN 4

  6. Rellene los campos obligatorios y asegúrese de que la opción Estado está habilitada. Haga clic en Agregar ámbito.

    Azure VPN 5

  7. Haga clic en Exponer una API y, a continuación, + Agregar una aplicación cliente. En Id. de cliente, escriba los valores siguientes en función de la nube:

    • Escriba 41b23e61-6c1e-4545-B367-cd054e0ed4b4 para Azure público.
    • Escriba 51bb15d4-3a4f-4ebf-9dca-40096fe32426 para Azure Government.
    • Escriba 538ee9e6-310a-468d-afef-ea97365856a9 para Azure Alemania.
    • Escriba 49f817b6-84ae-4cc0-928c-73f27289b3aa para Azure China 21Vianet.

  8. Haga clic en Agregar aplicación.

    Azure VPN 6

  9. En la página Introducción, copie el identificador de aplicación (cliente). Necesitará esta información para configurar las puertas de enlace de VPN.

    Azure VPN 7

  10. Repita los pasos de esta sección (Registro de aplicaciones adicionales) para crear tantas aplicaciones como sea necesario para su requisito de seguridad. Cada aplicación se asociará a una puerta de enlace de VPN y puede tener un conjunto diferente de usuarios. Solo se puede asociar una aplicación a una puerta de enlace.

5. Asignar usuarios a aplicaciones

Asigne los usuarios a las aplicaciones.

  1. En Azure AD -> Aplicaciones empresariales, seleccione la aplicación recién registrada y haga clic en Propiedades. Asegúrese de que la opción ¿Asignación de usuarios? esté establecida en . Haga clic en Save(Guardar).

    Azure VPN 8

  2. En la página de la aplicación, haga clic en Usuarios y grupos y, después, en +Agregar usuario.

    Azure VPN 9

  3. En Agregar asignación, haga clic en Usuarios y grupos. Seleccione los usuarios que quiere que puedan tener acceso a esta aplicación de VPN. Haga clic en Seleccionar.

    Azure VPN 10

6. Creación de una nueva configuración de P2S

Una configuración de P2S define los parámetros para conectarse a los clientes remotos.

  1. Establezca las siguientes variables y reemplace los valores según sea necesario para su entorno.

    $aadAudience = "00000000-abcd-abcd-abcd-999999999999"
$aadIssuer = "https://sts.windows.net/00000000-abcd-abcd-abcd-999999999999/"
$aadTenant = "https://login.microsoftonline.com/00000000-abcd-abcd-abcd-999999999999"

  2. Ejecute los siguientes comandos para crear la configuración:

    $aadConfig = New-AzVpnServerConfiguration -ResourceGroupName <ResourceGroup> -Name newAADConfig -VpnProtocol OpenVPN -VpnAuthenticationType AAD -AadTenant $aadTenant -AadIssuer $aadIssuer -AadAudience $aadAudience -Location westcentralus

    Nota

    No use el id. de la aplicación del cliente VPN de Azure en los comandos anteriores: Concederá acceso a todos los usuarios a la puerta de enlace. Use el identificador de las aplicaciones que registró.

7. Edición de la asignación del concentrador

  1. Vaya a la hoja Centros de conectividad de la red virtual WAN.

  2. Seleccione el concentrador al que desea asociar la configuración del servidor VPN y haga clic en los puntos suspensivos (...).

    Screenshot shows Edit virtual hub selected from the menu.

  3. Haga clic en Editar centro de conectividad virtual.

  4. Active la casilla Incluir puerta de enlace de punto a sitio y elija la unidad de escalado de puerta de enlace que quiera.

    Screenshot shows the Edit virtual hub dialog box where you can select your Gateway scale unit.

  5. Especifique el Grupo de direcciones del que se asignarán direcciones IP a los clientes VPN.

  6. Haga clic en Confirmar.

  7. La operación puede tardar un máximo de 30 minutos en completarse.

8. Descarga del perfil de VPN

Use el perfil de VPN para configurar los clientes.

  1. En la página de su red WAN virtual, haga clic en Configuraciones de VPN de usuario.

  2. En la parte superior de la página, haga clic en Download user VPN config (Descargar configuración de VPN de usuario).

  3. Una vez el archivo se haya terminado de crear, puede hacer clic en el vínculo para descargarlo.

  4. Use el archivo de perfil para configurar los clientes de VPN.

  5. Extraiga el archivo zip descargado.

  6. Busque la carpeta "AzureVPN" descomprimida.

  7. Anote la ubicación del archivo "azurevpnconfig.xml". Azurevpnconfig. xml contiene la configuración de la conexión VPN y se puede importar directamente en la aplicación del cliente VPN Azure. También puede distribuir este archivo a todos los usuarios que necesiten conectarse a través del correo electrónico u otros medios. El usuario necesitará credenciales de Azure AD válidas para conectarse correctamente.

9. Configuración de clientes VPN de usuario

Para conectarse, debe descargar el cliente de VPN de Azure e importar el perfil de cliente de VPN que descargó en los pasos anteriores en todos los equipos que quieran conectarse a la red virtual.

Nota

La autenticación de Azure AD solo se admite para las conexiones de protocolo de OpenVPN®.

Para descargar el cliente VPN de Azure

Use este vínculo para descargar el cliente VPN de Azure.

Para importar un perfil de cliente

  1. En la página, seleccione Importar.

    Screenshot shows Import selected from the plus menu.

  2. Busque el archivo xml de perfil y selecciónelo. Con el archivo seleccionado, seleccione Abrir.

    Screenshot shows an Open dialog box where you can select a file.

  3. Especifique el nombre del perfil y seleccione Guardar.

    Screenshot shows the Connection Name added and the Save button selected.

  4. Seleccione Conectar para conectarse a la VPN.

    Screenshot shows the Connect button for the for the connection you just created.

  5. Una vez conectado, el icono se volverá verde y diráConectado.

    Screenshot shows the connection in a Connected status with the option to disconnect.

Para eliminar un perfil de cliente

  1. Seleccione los puntos suspensivos junto al perfil de cliente que quiera eliminar. Después, seleccione Quitar.

    Screenshot shows Remove selected from the menu.

  2. Seleccione Quitar para eliminar.

    Screenshot shows a confirmation dialog box with the option to Remove or Cancel.

Para diagnosticar problemas de conexión

  1. Para diagnosticar problemas de conexión, puede usar la herramienta Diagnosticar. Seleccione los puntos suspensivos (...) junto a la conexión de VPN que desea diagnosticar para que se muestre el menú. Después, seleccione Diagnosticar.

    Screenshot shows Diagnose selected from the menu.

  2. En la página Propiedades de conexión, seleccione Ejecutar diagnóstico.

    Screenshot shows the Run Diagnosis button for a connection.

  3. Inicie sesión con sus credenciales.

    diagnose 3

  4. Ver los resultados del diagnóstico.

    Screenshot shows the Run Diagnosis button for a connection.

  5. Inicie sesión con sus credenciales.

    Screenshot shows the Sign in dialog box for this action.

  6. Ver los resultados del diagnóstico.

    Screenshot shows the results of the diagnosis.

10. Visualizar la instancia de Virtual WAN

  1. Vaya a la instancia de Virtual WAN.

  2. En la página Información general, cada punto del mapa representa un concentrador.

  3. En la sección de concentradores y conexiones, puede ver estado del concentrador, sitio, región, estado de la conexión VPN y bytes de entrada y salida.

Limpieza de recursos

Cuando ya no necesite estos recursos, puede usar Remove-AzureRmResourceGroup para quitar el grupo de recursos y todos los recursos que contiene. Reemplace "myResourceGroup" con el nombre del grupo de recursos y ejecute el siguiente comando de PowerShell:

Remove-AzureRmResourceGroup -Name myResourceGroup -Force

Pasos siguientes

Para más información sobre Virtual WAN, consulte la página Introducción a Virtual WAN.