Detección del dominio de inicio de una aplicación

  • Artículo

La detección del dominio de inicio (HDR) es el proceso que permite a Microsoft Entra ID determinar con qué proveedor de identidades (IDP) debe autenticarse un usuario en el momento del inicio de sesión. Al iniciar sesión en un inquilino de Microsoft Entra para obtener acceso a un recurso o a la página de inicio de sesión común de Microsoft Entra, el usuario debe escribir un nombre de usuario (UPN). Microsoft Entra ID usa esa información para detectar dónde debe iniciar sesión el usuario.

El usuario es dirigido a uno de los siguientes proveedores de identidad para autenticarse:

  • El inquilino principal del usuario (puede ser el mismo inquilino que el recurso al que el usuario está intentando obtener acceso).

  • Una cuenta Microsoft. El usuario es un invitado en el inquilino de recursos que usa una cuenta de consumidor para la autenticación.

  • Un proveedor de identidades local, como Servicios de federación de Active Directory (AD FS).

  • Otro proveedor de identidades federado con el inquilino de Microsoft Entra.

Aceleración automática

Algunas organizaciones configuran dominios en su inquilino de Microsoft Entra para federarlos con otro IdP, como AD FS para la autenticación de usuarios.

Cuando un usuario inicia sesión en una aplicación, en primer lugar se le muestra una página de inicio de sesión de Microsoft Entra. Una vez que escribe su UPN, si está en un dominio federado, se le redirige a la página de inicio de sesión del IdP que sirve a ese dominio. En determinadas circunstancias, es posible que los administradores quieran dirigir a los usuarios a la página de inicio de sesión cuando inician sesión en aplicaciones específicas.

Como resultado, los usuarios pueden omitir la página inicial de Microsoft Entra ID. A este proceso se le conoce como "aceleración automática de inicio de sesión". Microsoft ya no recomienda configurar la aceleración automática, ya que puede impedir el uso de métodos de autenticación más seguros como FIDO y dificulta la colaboración. Consulte Habilitación del inicio de sesión con clave de seguridad sin contraseña para conocer las ventajas de no configurar la aceleración automática. Para obtener información sobre cómo evitar la aceleración automática del inicio de sesión, consulte Deshabilitar el inicio de sesión de aceleración automática.

En casos donde el inquilino está federado a otro IdP para el inicio de sesión, la aceleración automática simplifica más el inicio de sesión del usuario. Puede configurar la aceleración automática en aplicaciones individuales. Consulte Configuración de la aceleración automática para aprender a forzar la aceleración automática mediante HRD.

Nota:

Si configura una aplicación para la aceleración automática, los usuarios no podrán usar credenciales administradas (como FIDO) y los usuarios invitados no podrán iniciar sesión. Si lleva a un usuario directamente a un IdP federado para que se autentique, este no podrá volver a la página de inicio de sesión de Microsoft Entra. Los usuarios invitados, que es posible que deban dirigirse a otros inquilinos o a un IdP externo, como una cuenta de Microsoft, no pueden iniciar sesión en esa aplicación porque omiten el paso de HRD.

Hay tres formas de controlar la aceleración automática en un IdP federado:

Cuadro de diálogo de confirmación de dominio

A partir de abril de 2023, las organizaciones que usan la aceleración automática o las conexiones inteligentes pueden empezar a ver una nueva pantalla agregada a la interfaz de usuario de inicio de sesión. Esta pantalla, que se denomina diálogo de confirmación del dominio, forma parte del compromiso general de Microsoft con la protección de la seguridad y requiere que el usuario confirme el dominio del inquilino en el que inicia sesión. Cancele el flujo de autenticación y póngase en contacto con el administrador de TI (si procede) si ve el cuadro de diálogo de confirmación del dominio y no reconoce el dominio de inquilino que aparece. Este es un ejemplo del aspecto que podría tener el cuadro de diálogo de confirmación del dominio:

Captura de pantalla del cuadro de diálogo de confirmación del dominio que muestra el identificador de inicio de sesión

El identificador de la parte superior del cuadro de diálogo, kelly@contoso.com, representa el identificador usado para iniciar sesión. El dominio de inquilino que se muestra en el encabezado y el subtítulo del cuadro de diálogo muestra el dominio del inquilino principal de la cuenta.

Aunque no es necesario que aparezca el diálogo de confirmación del dominio para cada instancia de aceleración automática o conexiones inteligentes, el cuadro de diálogo de confirmación del dominio significa aceleración automática y las conexiones inteligentes ya no pueden continuar sin problemas cuando se muestran. Si su organización borra las cookies debido a las directivas del explorador o por otro motivo, puede experimentar el cuadro de diálogo de confirmación de dominio con más frecuencia. Por último, dado que Microsoft Entra ID administra el flujo de inicio de sesión de aceleración automática de un extremo a otro, la introducción del diálogo de confirmación del dominio no debería dar lugar a interrupciones de la aplicación.

Además, puede suprimir el cuadro de diálogo de confirmación de dominio configurando una directiva de restricciones de inquilino v2 (TRv2). Una directiva TRv2 logra la misma posición de seguridad que el cuadro de diálogo de confirmación de dominio y, por tanto, cuando hay un encabezado de directiva TRv2 presente en la solicitud, se suprime el cuadro de diálogo de confirmación del dominio.

Sugerencias de dominio

Las sugerencias de dominio son directivas que se incluyen en la solicitud de autenticación de una aplicación. Se pueden usar para enviar el usuario a su página de inicio de sesión del IdP federado. Las aplicaciones multiinquilino también puede usarlas para enviar al usuario directamente a la página de inicio de sesión de Microsoft Entra del inquilino.

Por ejemplo, la aplicación "largeapp.com" puede permitir que sus clientes obtengan acceso a la aplicación mediante la dirección URL personalizada "contoso.largeapp.com". La aplicación puede incluir también una sugerencia de dominio de contoso.com en la solicitud de autenticación.

La sintaxis de la sugerencia de dominio varía en función del protocolo que se usa y se configura en la aplicación de las siguientes formas:

  • Para las aplicaciones que usan la especificación WS-Federation: parámetro de la cadena de consulta whr. Por ejemplo, whr=contoso.com.

  • En el caso de aplicaciones que usan Lenguaje de Marcado para Confirmaciones de Seguridad (SAML): una solicitud de autenticación de SAML que contiene una sugerencia de dominio o una cadena de consulta whr=contoso.com.

  • Para las aplicaciones que usan OpenID Connect: parámetro de la cadena de consulta domain_hint. Por ejemplo, domain_hint=contoso.com.

De forma predeterminada, Microsoft Entra ID intenta redirigir el inicio de sesión al IDP que está configurado para un dominio si se cumplen las dos condiciones siguientes:

  • Se incluye una sugerencia de dominio en la solicitud de autenticación de la aplicación.
  • El inquilino está federado con ese dominio.

Si la sugerencia de dominio no hace referencia a un dominio federado verificado, puede omitirla.

Nota:

Si se incluye una sugerencia de dominio en una solicitud de autenticación y debe respetarse, su presencia invalida la aceleración automática que se establezca para la aplicación en la directiva HRD.

Directiva de HRD para la aceleración automática

Algunas aplicaciones no proporcionan ninguna manera de configurar la solicitud de autenticación que emiten. En estos casos, no es posible utilizar sugerencias de dominio para controlar la aceleración automática. La aceleración automática se puede configurar mediante la directiva de detección del dominio de inicio y así lograr el mismo comportamiento.

Directiva de HRD para evitar la aceleración automática

Algunas aplicaciones de Microsoft y SaaS incluyen domain_hints de forma automática (por ejemplo, https://outlook.com/contoso.com genera una solicitud de inicio de sesión con &domain_hint=contoso.com anexado), lo que puede interrumpir la implementación de credenciales administradas, como FIDO. Puede usar la directiva de detección del dominio de inicio para omitir las sugerencias de dominio que proceden de determinadas aplicaciones, o para determinados dominios, durante la implementación de credenciales administradas.

Habilitación de la autenticación de ROPC directa de los usuarios federados para aplicaciones heredadas

El procedimiento recomendado es para que las aplicaciones usen el inicio de sesión interactivo y las bibliotecas de Microsoft Entra para autenticar a los usuarios. Las bibliotecas se ocupan de los flujos de los usuarios federados. A veces, las aplicaciones heredadas, especialmente las que usan concesiones de credenciales de contraseña del propietario del recurso (ROPC), envían el nombre de usuario y la contraseña directamente a Microsoft Entra ID y no fueron escritas con los conceptos de la federación. No realizan el proceso de HRD y no interactúan con el punto de conexión federado correcto para autenticar a un usuario. Si lo desea, puede usar la directiva de detección del dominio de inicio para permitir que determinadas aplicaciones heredadas que envían las credenciales de nombre de usuario y contraseña mediante la concesión de ROPC para autenticarse directamente con Microsoft Entra ID. La sincronización de hash de contraseñas se debe habilitar.

Importante

Habilite solo la autenticación directa si ha activado la sincronización de hash de contraseña y sabe que es correcto autenticar esta aplicación sin las directivas implementadas por el IdP local. Si, por cualquier motivo, desactiva la sincronización de hash de contraseña o la sincronización de directorios con AD Connect, debe quitar esta directiva para evitar la posibilidad de que la autenticación directa use un hash de contraseña obsoleto.

Establecimiento de la directiva HRD

Hay que seguir tres pasos para configurar la directiva de HRD en una aplicación para la aceleración automática del inicio de sesión federado o las aplicaciones directas basadas en la nube:

  1. Cree una directiva de HRD.

  2. Busque la entidad de servicio a la que se debe asociar la directiva.

  3. Asocie la directiva a la entidad de servicio.

Las directivas solo surten efecto para una aplicación específica cuando se adjuntan a una entidad de servicio.

Solo puede haber una directiva de HRD activa en una entidad de servicio en un momento dado.

Puede usar los cmdlets de Microsoft Graph PowerShell para crear y administrar la directiva de HRD.

El objeto json es un ejemplo de la definición de la directiva de HRD:

{  
  "HomeRealmDiscoveryPolicy":
  {  
    "AccelerateToFederatedDomain":true,
    "PreferredDomain":"federated.example.edu",
    "AllowCloudPasswordValidation":false
  }
}

El tipo de directiva es "HomeRealmDiscoveryPolicy".

El valor AccelerateToFederatedDomain es opcional. Si AccelerateToFederatedDomain es false, la directiva no tiene ningún efecto en la aceleración automática. Si AccelerateToFederatedDomain es true y solo hay un dominio federado y verificado en el inquilino, los usuarios se dirigen directamente al IdP federado para el inicio de sesión. Si es true y hay más de un dominio verificado en el inquilino, debe especificarse PreferredDomain.

El valor PreferredDomain es opcional. PreferredDomain debe indicar un dominio al que se debe acelerar. Puede omitirse si el inquilino tiene solo un dominio federado. Si se omite y se verifica que hay más de un dominio federado, entonces la directiva no tendrá ningún efecto.

Si se especifica PreferredDomain, debe coincidir con un dominio federado verificado para el inquilino. Todos los usuarios de la aplicación deben poder iniciar sesión en ese dominio; los usuarios que no puedan iniciar sesión en el dominio federado se interceptarán y no podrán completar el inicio de sesión.

El valor AllowCloudPasswordValidation es opcional. Si AllowCloudPasswordValidation es true, la aplicación tendrá autorización para autenticar a un usuario federado si presenta las credenciales de nombre de usuario y contraseña directamente al punto de conexión del token de Microsoft Entra. Esto solo funciona si se habilita la sincronización de hash de contraseña.

Además, existen dos opciones de HRD de nivel de inquilino que no se muestran en la sección anterior de este artículo:

Prioridad y evaluación de las directivas de HRD

Se pueden crear directivas de HRD y asignarlas a organizaciones y entidades de servicio específicas. Esto significa que se pueden aplicar varias directivas a una aplicación específica, por lo que Microsoft Entra ID debe decidir cuál tiene prioridad. Un conjunto de reglas decide qué directiva HRD (de las muchas aplicadas) se aplica:

  • Si una sugerencia de dominio está presente en la solicitud de autenticación, se comprueba la directiva HRD del inquilino (la directiva establecida como valor predeterminado del inquilino) para ver si se deben omitir las sugerencias de dominio. Si se permiten sugerencias de dominio, se usa el comportamiento especificado por la sugerencia de dominio.

  • Si una directiva se asigna explícitamente a la entidad de servicio, se aplicará.

  • Si no hay sugerencias de dominio y ninguna directiva se asigna explícitamente a la entidad de servicio, se aplicará una directiva asignada explícitamente a la organización principal de la entidad de servicio.

  • Si no hay ninguna sugerencia de dominio y no se ha asignado ninguna directiva a la entidad de servicio o a la organización, se usa el comportamiento de HRD predeterminado.

Pasos siguientes