Administración de certificados para el inicio de sesión único federado

En este artículo se aborda información y preguntas comunes relacionadas con los certificados que crea Azure Active Directory (Azure AD) para establecer el inicio de sesión único (SSO) federado para las aplicaciones de software como servicio (SaaS). Estas aplicaciones se agregan desde la galería de aplicaciones de Azure AD o mediante una plantilla de aplicación ajena a la galería. Configure la aplicación mediante la opción de inicio de sesión único federado.

Este artículo solo es relevante para las aplicaciones que están configuradas para usar el inicio de sesión único de Azure AD mediante la federación de Lenguaje de marcado de aserción de seguridad (SAML).

Al agregar una nueva aplicación desde la galería y configurar el inicio de sesión basado en SAML (mediante la selección de Inicio de sesión únicoSAML desde la página de información general de la aplicación), Azure AD genera un certificado para la aplicación con una validez de tres años. Para descargar el certificado activo como un archivo de certificado de seguridad ( .cer), vuelva a esa página (inicio de sesión basado en SAML) y seleccione un vínculo de descarga en el encabezado Certificado de firma de SAML. Puede elegir entre el certificado sin formato (binario) o el certificado de Base64 (texto cifrado en Base64). Para las aplicaciones de la galería, en esta sección es posible que también se muestre un vínculo para descargar el certificado como XML de metadatos de federación (un archivo .xml), según el requisito de la aplicación.

Opciones de descarga del certificado de firma de SAML activo

También puede descargar un certificado activo o inactivo seleccionando el icono Editar (con forma de lápiz) del encabezado del certificado de firma de SAML, que muestra la página del certificado de firma de SAML. Seleccione los puntos suspensivos ( ... ) junto al certificado que quiere descargar y, a continuación, elija el formato de certificado que quiera. Tiene la opción adicional de descargar el certificado en formato de correo con privacidad mejorada (PEM). Este formato es idéntico a Base64, pero con una extensión de nombre de archivo .pem, que no se reconoce en Windows como formato de certificado.

Opciones de descarga del certificado de firma de SAML (activo e inactivo)

Personalizar la fecha de expiración para el certificado de federación y sustituirlo por un certificado nuevo

De manera predeterminada, Azure configura un certificado para que expire después de tres años cuando se crea automáticamente durante la configuración de inicio de sesión único de SAML. Dado que no se puede cambiar la fecha de un certificado después de guardarlo, tendrá que:

  1. Crear un certificado nuevo con la fecha deseada.
  2. Guardar el certificado nuevo.
  3. Descargar el certificado nuevo en el formato correcto.
  4. Cargar el certificado nuevo en la aplicación.
  5. Activar el certificado nuevo en el portal de Azure Active Directory.

Las dos secciones siguientes le ayudan a realizar estos pasos.

Crear un nuevo certificado

En primer lugar, cree y guarde el certificado nuevo con otra fecha de expiración:

  1. Inicie sesión en el portal de Azure Active Directory. Aparecerá la página del Centro de administración de Azure Active Directory.
  2. En el panel izquierdo, seleccione Aplicaciones empresariales. Aparecerá una lista de las aplicaciones empresariales de su cuenta.
  3. Seleccione la aplicación afectada. Aparecerá una página de información general de la aplicación.
  4. En el panel izquierdo de la página de información general de la aplicación, seleccione Inicio de sesión único.
  5. Si aparece la página Seleccione un método de inicio de sesión único, seleccione SAML.
  6. En la página Configurar el inicio de sesión único con SAML (versión preliminar) , busque el encabezado Certificado de firma de SAML y seleccione el icono Editar (con forma de lápiz). Aparece la página del certificado de firma de SAML, que muestra el estado (Activo o Inactivo), la fecha de expiración y la huella digital (una cadena de hash) de cada certificado.
  7. Seleccione Nuevo certificado. Aparece una nueva fila debajo de la lista de certificados, donde se establece la fecha de expiración predeterminada en exactamente tres años después de la fecha actual. (Los cambios todavía no se han guardado, por lo que aún se puede modificar la fecha de expiración).
  8. En la nueva fila del certificado, pase el ratón por encima de la columna de fecha de expiración y seleccione el icono Seleccionar fecha (un calendario). Aparece un control de calendario que muestra los días de un mes de la fecha de expiración actual de la nueva fila.
  9. Use el control del calendario para establecer una nueva fecha. Puede establecer cualquier fecha del período entre la fecha actual y los tres años posteriores.
  10. Seleccione Guardar. El nuevo certificado aparece ahora con el estado Inactivo, la fecha de expiración que ha elegido y una huella digital. Nota: Si tiene un certificado existente que ya ha expirado y genera un certificado nuevo, se tomará el nuevo certificado para firmar tokens, aunque no lo haya activado aún.
  11. Seleccione la X para volver a la página Configurar el inicio de sesión único con SAML (versión preliminar) .

Cargar y activar un certificado

A continuación, descargue el nuevo certificado en el formato correcto, cárguelo en la aplicación y actívelo en Azure Active Directory:

  1. Puede ver las instrucciones de configuración de inicio de sesión de SAML adicionales de la aplicación mediante una de las siguientes formas:

    • Seleccione el vínculo de la guía de configuración para verlas en una pestaña o ventana del explorador independiente.
    • Vaya al encabezado de configuración y seleccione Ver instrucciones detalladas para verlas en una barra lateral.
  2. En las instrucciones, tenga en cuenta el formato de codificación necesario para la carga del certificado.

  3. Siga las instrucciones de la sección anterior Generación automática de certificado para aplicaciones de la galería y ajenas a la misma. Mediante este paso se descarga el certificado en el formato de codificación que se requiere para la carga de la aplicación.

  4. Cuando quiera sustituir el certificado nuevo, vuelva a la página Certificado de firma de SAML y, en la fila de certificado que se acaba de guardar, seleccione los puntos suspensivos ( ... ) y seleccione Activar el certificado. El estado del nuevo certificado cambia a Activo y el certificado activo anteriormente se cambia a un estado de Inactivo.

  5. Siga las instrucciones de configuración de inicio de sesión de SAML de la aplicación que se mostraron anteriormente para que pueda cargar el certificado de firma de SAML en el formato de codificación correcto.

Si la aplicación no tiene ninguna validación para la expiración del certificado y el certificado coincide tanto en Azure Active Directory como en la aplicación, seguirá pudiendo acceder a la aplicación a pesar de tener un certificado expirado. Asegúrese de que la aplicación pueda validar la fecha de expiración del certificado.

Adición de direcciones de notificación de correo electrónico a la expiración del certificado

Azure AD enviará una notificación por correo electrónico 60, 30 y 7 días antes de que expire el certificado de SAML. Puede agregar varias direcciones de correo electrónico para recibir notificaciones. Para especificar las direcciones de correo electrónico a las que quiere que se envíen las notificaciones:

  1. En la página Certificado de firma de SAML, vaya al encabezado Direcciones de correo electrónico de notificación. De manera predeterminada, este encabezado solo usa la dirección de correo electrónico del administrador que agregó la aplicación.
  2. Debajo de la dirección de correo electrónico final, escriba la dirección de correo electrónico que debe recibir el aviso de expiración del certificado y, a continuación, presione ENTRAR.
  3. Repita el paso anterior para cada dirección de correo electrónico que quiere agregar.
  4. Para cada dirección de correo electrónico que quiere eliminar, seleccione el icono Eliminar (un cubo de basura) junto a la dirección de correo electrónico.
  5. Seleccione Guardar.

Puede agregar hasta 5 direcciones de correo electrónico a la lista de notificaciones (incluida la dirección de correo electrónico del administrador que agregó la aplicación). Si necesita enviar notificaciones a más personas, use los mensajes de correo electrónico de la lista de distribución.

Recibirá el correo electrónico de notificación de azure-noreply@microsoft.com. Para evitar que el correo electrónico vaya a la ubicación de correo no deseado, agregue este correo electrónico a los contactos.

Renovar un certificado que expirará pronto

Si un certificado está a punto de expirar, se puede renovar mediante un procedimiento que no da como resultado ningún tiempo de inactividad considerable para los usuarios. Para renovar un certificado que va a expirar:

  1. Siga las instrucciones de la sección anterior Crear un nuevo certificado, con una fecha que se superponga con el certificado existente. Esa fecha limita la cantidad de tiempo de inactividad causado por la expiración del certificado.

  2. Si la aplicación puede sustituir automáticamente un certificado, siga estos pasos para definir el nuevo certificado como activo:

    1. Vuelva a la página Certificado de firma de SAML.
    2. En la fila de certificado recién guardada, seleccione los puntos suspensivos ( ... ) y, a continuación, seleccione Activar el certificado.
    3. Omita los dos pasos siguientes.
  3. Si la aplicación solo puede controlar un certificado a la vez, elija un intervalo de tiempo de inactividad para realizar el paso siguiente. (En caso contrario, si la aplicación no elige automáticamente el nuevo certificado, pero puede controlar más de un certificado de firma, puede realizar el paso siguiente en cualquier momento).

  4. Antes de que expire el certificado antiguo, siga las instrucciones de la sección anterior Cargar y activar un certificado. Si el certificado de aplicación no se actualiza después de actualizar un nuevo certificado en Azure Active Directory, puede que se produzca un error en la autenticación de la aplicación.

  5. Inicie sesión en la aplicación para asegurarse de que el certificado funciona correctamente.

Si la aplicación no valida la expiración del certificado configurada en Azure Active Directory, y el certificado coincide tanto en Azure Active Directory como en la aplicación, seguirá pudiendo acceder a la aplicación a pesar de tener un certificado expirado. Asegúrese de que la aplicación pueda validar la expiración del certificado.