Creación de un inquilino de Active Directory (AD) para conexiones del protocolo P2S OpenVPN

  • Artículo
  • Tiempo de lectura: 5 minutos

Al conectarse a la red virtual mediante un protocolo de punto a sitio, tiene la opción de elegir qué protocolo usar. El protocolo que use determina las opciones de autenticación que tiene a su disposición. Si quiere usar la autenticación de Azure Active Directory, puede hacerlo cuando use el protocolo OpenVPN. Si quiere que un conjunto de usuarios diferente pueda conectarse a diferentes puertas de enlace de VPN, puede registrar varias aplicaciones en AD y vincularlas a diferentes puertas de enlace de VPN. Este artículo le ayuda a configurar un inquilino de Azure AD para OpenVPN de P2S y a crear y registrar varias aplicaciones en Azure AD a fin de permitir un acceso distinto a los diferentes usuarios y grupos. Para más información sobre los protocolos y la autenticación de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio.

Nota

La autenticación de Azure AD solo es compatible con las conexiones del protocolo OpenVPN® y requiere el cliente VPN de Azure.

1. Cree un inquilino Azure AD

Cree un inquilino de Azure AD con los pasos del artículo Crear un nuevo inquilino:

  • Nombre organizativo

  • Nombre de dominio inicial

    Ejemplo:

    New Azure AD tenant

2. Creación de usuarios inquilinos

En este paso, creará dos usuarios inquilinos de Azure AD: una cuenta de administrador global y una cuenta de usuario principal. La cuenta de usuario principal se usa como cuenta de inserción maestra (cuenta de servicio). Al crear una cuenta de usuario de inquilino Azure AD, ajuste el rol de directorio para el tipo de usuario que desea crear. Siga los pasos descritos en este artículo para crear al menos dos usuarios para su inquilino de Azure AD. Asegúrese de cambiar el rol de directorio para crear los tipos de cuenta:

  • Administrador global
  • Usuario

3. Registro del cliente VPN

Registre el cliente VPN en el inquilino de Azure AD.

  1. Busque el ID. de directorio del directorio que desea utilizar para la autenticación. Aparece en la sección propiedades de la página Active Directory.

    Directory ID

  2. Copie el ID. del directorio.

  3. Inicie sesión en el Azure Portal como un usuario al que se le ha asignado el rol de administrador global.

  4. Después, ceda el consentimiento del administrador. Copie y pegue la dirección URL que pertenece a la ubicación de implementación en la barra de direcciones del explorador:

    Público

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Azure China 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

Nota

Si utiliza una cuenta de administrador global que no sea nativa del inquilino de Azure AD para dar su consentimiento, reemplace "common" por el identificador de directorio de Azure AD en la dirección URL. Es posible que también tenga que reemplazar "common" por el identificador de directorio en algunos otros casos.

  1. Seleccione la cuenta del Administrador global si se le solicita.

    Directory ID 2

  2. Seleccione Aceptar cuando se le solicite.

    Screenshot shows a window with the message Permissions requested Accept for you organization and information about the request.

  3. En Azure AD, en Aplicaciones empresariales, verá la VPN de Azure en la lista.

    Azure VPN

4. Registro de aplicaciones adicionales

En este paso, debe registrar aplicaciones adicionales para varios usuarios y grupos.

  1. En Azure Active Directory, haga clic en Registros de aplicaciones y en + Nuevo registro.

    Azure VPN 2

  2. En la página Registrar una aplicación, escriba el nombre. Seleccione los tipos de cuenta compatibles que quiera y, luego, haga clic en Registrarse .

    Azure VPN 3

  3. Una vez que se haya registrado la nueva aplicación, haga clic en Exponer una API en la hoja de la aplicación.

  4. Haga clic en + Agregar un ámbito.

  5. Deje el valor URI de id. de la aplicación predeterminado. Haga clic en Guardar y continuar.

    Azure VPN 4

  6. Rellene los campos obligatorios y asegúrese de que la opción Estado está habilitada. Haga clic en Agregar ámbito.

    Azure VPN 5

  7. Haga clic en Exponer una API y, a continuación, + Agregar una aplicación cliente. En Id. de cliente, escriba los valores siguientes en función de la nube:

    • Escriba 41b23e61-6c1e-4545-B367-cd054e0ed4b4 para Azure público.
    • Escriba 51bb15d4-3a4f-4ebf-9dca-40096fe32426 para Azure Government.
    • Escriba 538ee9e6-310a-468d-afef-ea97365856a9 para Azure Alemania.
    • Escriba 49f817b6-84ae-4cc0-928c-73f27289b3aa para Azure China 21Vianet.

  8. Haga clic en Agregar aplicación.

    Azure VPN 6

  9. En la página Introducción, copie el identificador de aplicación (cliente). Necesitará esta información para configurar las puertas de enlace de VPN.

    Azure VPN 7

  10. Repita los pasos de esta sección (Registro de aplicaciones adicionales) para crear tantas aplicaciones como sea necesario para su requisito de seguridad. Cada aplicación se asociará a una puerta de enlace de VPN y puede tener un conjunto diferente de usuarios. Solo se puede asociar una aplicación a una puerta de enlace.

5. Asignar usuarios a aplicaciones

Asigne los usuarios a las aplicaciones.

  1. En Azure AD -> Aplicaciones empresariales, seleccione la aplicación recién registrada y haga clic en Propiedades. Asegúrese de que la opción ¿Asignación de usuarios? esté establecida en . Haga clic en Save(Guardar).

    Azure VPN 8

  2. En la página de la aplicación, haga clic en Usuarios y grupos y, después, en +Agregar usuario.

    Azure VPN 9

  3. En Agregar asignación, haga clic en Usuarios y grupos. Seleccione los usuarios que quiere que puedan tener acceso a esta aplicación de VPN. Haga clic en Seleccionar.

    Azure VPN 10

6. Habilitación de la autenticación en la puerta de enlace

En este paso, habilitará la autenticación de Azure AD en la puerta de enlace VPN.

  1. Habilite la autenticación de Azure AD en la puerta de enlace de VPN. Para ello, navegue hasta Configuración de punto a sitio y seleccione OpenVPN (SSL) como Tipo de túnel. Seleccione Azure Active Directory como Tipo de autenticación, a continuación, rellene la información de la sección Azure Active Directory.

    Azure portal view

    Nota

    No use el identificador de la aplicación del cliente VPN de Azure: Concederá acceso a todos los usuarios a la puerta de enlace VPN. Use el identificador de las aplicaciones que registró.

  2. Para crear y descargar el perfil, haga clic en el vínculo Descargar cliente VPN.

  3. Extraiga el archivo zip descargado.

  4. Busque la carpeta "AzureVPN" descomprimida.

  5. Anote la ubicación del archivo "azurevpnconfig. xml". Azurevpnconfig. xml contiene la configuración de la conexión VPN y se puede importar directamente en la aplicación del cliente VPN Azure. También puede distribuir este archivo a todos los usuarios que necesiten conectarse a través del correo electrónico u otros medios. El usuario necesitará credenciales de Azure AD válidas para conectarse correctamente.

Pasos siguientes

Para conectarse a la red virtual, debe crear y configurar un perfil de cliente de VPN. Consulte Configurar un cliente VPN para conexiones P2S VPN.