Uso de un proveedor de identidades (IdP) de SAML 2.0 para el inicio de sesión únicoUse a SAML 2.0 Identity Provider (IdP) for Single Sign On

Este documento contiene información sobre el uso de un proveedor de identidades basado en un perfil de SP-Lite y compatible con SAML 2.0 como proveedor de identidades o servicio de token de seguridad (STS) preferido.This document contains information on using a SAML 2.0 compliant SP-Lite profile-based Identity Provider as the preferred Security Token Service (STS) / identity provider. Este escenario resulta útil si ya tiene un directorio de usuario y un almacén de contraseñas local a los que se puede acceder mediante SAML 2.0.This scenario is useful when you already have a user directory and password store on-premises that can be accessed using SAML 2.0. Este directorio de usuario existente se puede usar para iniciar sesión en Microsoft 365 y otros recursos protegidos por Azure AD.This existing user directory can be used for sign-on to Microsoft 365 and other Azure AD-secured resources. El perfil SP-Lite de SAML 2.0 se basa en el estándar de identidad federada del lenguaje de marcado de aserción de seguridad (SAML) de uso generalizado y proporciona un marco de inicio de sesión e intercambio de atributos.The SAML 2.0 SP-Lite profile is based on the widely used Security Assertion Markup Language (SAML) federated identity standard to provide a sign-on and attribute exchange framework.

Nota

Para obtener una lista de Idp de terceros cuyo uso se ha probado con Azure AD, consulte la lista de compatibilidad de federación de Azure AD.For a list of 3rd party Idps that have been tested for use with Azure AD see the Azure AD federation compatibility list

Microsoft admite esta experiencia de inicio de sesión único como la integración de un servicio en la nube de Microsoft, como Microsoft 365, con el Idp basado en el perfil de SAML 2.0 configurado.Microsoft supports this sign-on experience as the integration of a Microsoft cloud service, such as Microsoft 365, with your properly configured SAML 2.0 profile-based IdP. Dado que los proveedores de identidades de SAML 2.0 son productos de terceros, Microsoft no proporciona soporte técnico con la implementación, la configuración y los procedimientos recomendados de solución de problemas en relación a ellos.SAML 2.0 identity providers are third-party products and therefore Microsoft does not provide support for the deployment, configuration, troubleshooting best practices regarding them. Una vez configurada adecuadamente, se puede probar la integración con el proveedor de identidades de SAML 2.0 para ver si es correcta mediante la herramienta Analizador de conectividad de Microsoft que se describe con más detalle a continuación.Once properly configured, the integration with the SAML 2.0 identity provider can be tested for proper configuration by using the Microsoft Connectivity Analyzer Tool, which is described in more detail below. Para obtener más información sobre el proveedor de identidades basado en un perfil SP-Lite de SAML 2.0, consulte con la organización que lo suministra.For more information about your SAML 2.0 SP-Lite profile-based identity provider, ask the organization that supplied it.

Importante

Solo un conjunto limitado de clientes están disponibles en este escenario de inicio de sesión con proveedores de identidades de SAML 2.0, entre los que se incluyen:Only a limited set of clients are available in this sign-on scenario with SAML 2.0 identity providers, this includes:

  • Clientes basados en web como Outlook Web Access y SharePoint OnlineWeb-based clients such as Outlook Web Access and SharePoint Online
  • Clientes enriquecidos para el correo electrónico que usan autenticación básica y un método de acceso de Exchange compatible, como IMAP, POP, Active Sync, MAPI, etc. (es necesario implementar el protocolo de cliente mejorado), entre los que se incluyen:Email-rich clients that use basic authentication and a supported Exchange access method such as IMAP, POP, Active Sync, MAPI, etc. (the Enhanced Client Protocol end point is required to be deployed), including:
    • Microsoft Outlook 2010, Outlook 2013, Outlook 2016, iPhone de Apple (distintas versiones de iOS)Microsoft Outlook 2010/Outlook 2013/Outlook 2016, Apple iPhone (various iOS versions)
    • Varios dispositivos de Android de GoogleVarious Google Android Devices
    • Windows Phone 7, Windows Phone 7.8 y Windows Phone 8.0Windows Phone 7, Windows Phone 7.8, and Windows Phone 8.0
    • Cliente de correo de Windows 8 y Windows 8.1Windows 8 Mail Client and Windows 8.1 Mail Client
    • Cliente de correo de Windows 10Windows 10 Mail Client

Todos los demás clientes no están disponibles en este escenario de inicio de sesión con el proveedor de identidades de SAML 2.0.All other clients are not available in this sign-on scenario with your SAML 2.0 Identity Provider. Por ejemplo, el cliente de escritorio Lync 2010 no es capaz de iniciar sesión en el servicio con el proveedor de identidades de SAML 2.0 configurado para el inicio de sesión único.For example, the Lync 2010 desktop client is not able to sign in to the service with your SAML 2.0 Identity Provider configured for single sign-on.

Requisitos del protocolo SAML 2.0 de Azure ADAzure AD SAML 2.0 protocol requirements

Este documento contiene los requisitos detallados sobre el protocolo y el formato de mensaje que debe implementar su proveedor de identidades de SAML 2.0 para la federación con Azure AD a fin de habilitar el inicio de sesión en uno o varios servicios en la nube de Microsoft (como Microsoft 365).This document contains detailed requirements on the protocol and message formatting that your SAML 2.0 identity provider must implement to federate with Azure AD to enable sign-on to one or more Microsoft cloud services (such as Microsoft 365). El usuario de confianza de SAML 2.0 (SP-STS) que se usa en este escenario para un servicio en la nube de Microsoft es Azure AD.The SAML 2.0 relying party (SP-STS) for a Microsoft cloud service used in this scenario is Azure AD.

Se recomienda que se asegure de que sus mensajes de salida del proveedor de identidades de SAML 2.0 sean lo más parecidos posibles a los seguimientos de ejemplo proporcionados.It is recommended that you ensure your SAML 2.0 identity provider output messages be as similar to the provided sample traces as possible. Además, cuando sea posible, use valores de atributo específicos de los metadatos de Azure AD suministrados.Also, use specific attribute values from the supplied Azure AD metadata where possible. Cuando esté satisfecho con los mensajes de salida, puede probar con el Analizador de conectividad de Microsoft, como se describe a continuación.Once you are happy with your output messages, you can test with the Microsoft Connectivity Analyzer as described below.

Los metadatos de Azure AD se pueden descargar desde esta dirección URL: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml.The Azure AD metadata can be downloaded from this URL: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Para los clientes en China que usan la instancia de Microsoft 365 específica para China, se debe usar el punto de conexión de federación siguiente: https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml.For customers in China using the China-specific instance of Microsoft 365, the following federation endpoint should be used: https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml.

Requisitos del protocolo SAMLSAML protocol requirements

En esta sección se detalla como se unen los pares de mensajes de solicitud y respuesta para ayudarle a dar formato a los mensajes correctamente.This section details how the request and response message pairs are put together in order to help you to format your messages correctly.

Azure AD se puede configurar para funcionar con proveedores de identidades que usan el perfil SP-Lite de SAML 2.0 con algunos requisitos específicos, que se indican a continuación.Azure AD can be configured to work with identity providers that use the SAML 2.0 SP Lite profile with some specific requirements as listed below. Mediante el uso de los mensajes de solicitud y respuesta de SAML de ejemplo, junto con las pruebas manuales automatizadas, puede trabajar para conseguir la interoperabilidad con Azure AD.Using the sample SAML request and response messages along with automated and manual testing, you can work to achieve interoperability with Azure AD.

Requisitos del bloque de firmaSignature block requirements

En el mensaje de respuesta de SAML, el nodo de firma contiene información sobre la firma digital del propio mensaje.Within the SAML Response message, the Signature node contains information about the digital signature for the message itself. El bloque de firma tiene los siguientes requisitos:The signature block has the following requirements:

  1. El propio nodo de aserción debe estar firmado.The assertion node itself must be signed
  2. El algoritmo RSA-sha1 debe usarse como DigestMethod.The RSA-sha1 algorithm must be used as the DigestMethod. No se aceptan otros algoritmos de firma digital.Other digital signature algorithms are not accepted. <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1"/>
  3. También puede firmar el documento XML.You may also sign the XML document.
  4. El algoritmo Transform debe coincidir con los valores del ejemplo siguiente: <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature"/> <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#"/>The Transform Algorithm must match the values in the following sample: <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature"/> <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#"/>
  5. El algoritmo SignatureMethod debe coincidir con el ejemplo siguiente: <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1"/>The SignatureMethod Algorithm must match the following sample: <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

Enlaces admitidosSupported bindings

Los enlaces son los parámetros de comunicación relacionados con el transporte que son necesarios.Bindings are the transport-related communications parameters that are required. Los siguientes requisitos se aplican a los enlaces:The following requirements apply to the bindings

  1. HTTPS es el transporte requerido.HTTPS is the required transport.
  2. Azure AD necesitará HTTP POST para el envío del token durante el inicio de sesión.Azure AD will require HTTP POST for token submission during sign-in.
  3. Azure AD usará HTTP POST en la solicitud de autenticación al proveedor de identidades y REDIRECT en el mensaje de cierre de sesión a este proveedor de identidades.Azure AD will use HTTP POST for the authentication request to the identity provider and REDIRECT for the sign out message to the identity provider.

Atributos necesariosRequired attributes

En esta tabla se muestran los requisitos de atributos específicos en el mensaje de SAML 2.0.This table shows requirements for specific attributes in the SAML 2.0 message.

AtributoAttribute DescripciónDescription
NameIDNameID El valor de esta aserción debe ser el mismo que el valor de ImmutableID del usuario de Azure AD.The value of this assertion must be the same as the Azure AD user’s ImmutableID. Puede tener hasta 64 caracteres alfanuméricos.It can be up to 64 alpha numeric characters. Los caracteres seguros que no sean HTML deben estar codificados, por ejemplo, un carácter "+" se muestra como ".2B".Any non-html safe characters must be encoded, for example a “+” character is shown as “.2B”.
IDPEmailIDPEmail El nombre principal de usuario (UPN) aparece en la respuesta SAML como un elemento con el nombre IDPEmail. Este es el valor de UserPrincipalName (UPN) del usuario en Azure AD/Microsoft 365.The User Principal Name (UPN) is listed in the SAML response as an element with the name IDPEmail The user’s UserPrincipalName (UPN) in Azure AD/Microsoft 365. El UPN está en formato de dirección de correo electrónico.The UPN is in email address format. Valor UPN en Windows Microsoft 365 (Azure Active Directory).UPN value in Windows Microsoft 365 (Azure Active Directory).
EmisorIssuer Es necesario que sea un URI del proveedor de identidades.Required to be a URI of the identity provider. No debe volver a usar el emisor de los mensajes de ejemplo.Do not reuse the Issuer from the sample messages. Si tiene varios dominios de nivel superior en sus inquilinos de Azure AD, el emisor debe coincidir con el valor de URI especificado configurado por dominio.If you have multiple top-level domains in your Azure AD tenants the Issuer must match the specified URI setting configured per domain.

Importante

Actualmente, Azure AD admite el siguiente URI de formato NameID para SAML 2.0:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.Azure AD currently supports the following NameID Format URI for SAML 2.0:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.

Ejemplo de mensajes de solicitud y respuesta de SAMLSample SAML request and response messages

Se muestra un mensaje de solicitud y respuesta para el intercambio de mensajes de inicio de sesión.A request and response message pair is shown for the sign-on message exchange. Lo siguiente es un mensaje de solicitud de ejemplo que se envía desde Azure AD a un proveedor de identidades de SAML 2.0 de ejemplo.The following is a sample request message that is sent from Azure AD to a sample SAML 2.0 identity provider. El proveedor de identidades de SAML 2.0 de ejemplo está configurado por los Servicios de federación de Active Directory (AD FS) para usar el protocolo SAML-P.The sample SAML 2.0 identity provider is Active Directory Federation Services (AD FS) configured to use SAML-P protocol. Las pruebas de interoperabilidad también se han realizado con otros proveedores de identidades de SAML 2.0.Interoperability testing has also been completed with other SAML 2.0 identity providers.

  <samlp:AuthnRequest 
    xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" 
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
    ID="_7171b0b2-19f2-4ba2-8f94-24b5e56b7f1e" 
    IssueInstant="2014-01-30T16:18:35Z" 
    Version="2.0" 
    AssertionConsumerServiceIndex="0" >
        <saml:Issuer>urn:federation:MicrosoftOnline</saml:Issuer>
        <samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/>
  </samlp:AuthnRequest>

Lo siguiente es un mensaje de respuesta de ejemplo que se envía desde el proveedor de identidades compatible con SAML 2.0 de ejemplo a Azure AD o Microsoft 365.The following is a sample response message that is sent from the sample SAML 2.0 compliant identity provider to Azure AD / Microsoft 365.

    <samlp:Response ID="_592c022f-e85e-4d23-b55b-9141c95cd2a5" Version="2.0" IssueInstant="2014-01-31T15:36:31.357Z" Destination="https://login.microsoftonline.com/login.srf" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
    </samlp:Status>
    <Assertion ID="_7e3c1bcd-f180-4f78-83e1-7680920793aa" IssueInstant="2014-01-31T15:36:31.279Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
      <ds:SignedInfo>
        <ds:CanonicalizationMethod Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
        <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <ds:Reference URI="#_7e3c1bcd-f180-4f78-83e1-7680920793aa">
          <ds:Transforms>
            <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature" />
            <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
          </ds:Transforms>
          <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1" />
          <ds:DigestValue>CBn/5YqbheaJP425c0pHva9PhNY=</ds:DigestValue>
        </ds:Reference>
      </ds:SignedInfo>
      <ds:SignatureValue>TciWMyHW2ZODrh/2xrvp5ggmcHBFEd9vrp6DYXp+hZWJzmXMmzwmwS8KNRJKy8H7XqBsdELA1Msqi8I3TmWdnoIRfM/ZAyUppo8suMu6Zw+boE32hoQRnX9EWN/f0vH6zA/YKTzrjca6JQ8gAV1ErwvRWDpyMcwdYCiWALv9ScbkAcebOE1s1JctZ5RBXggdZWrYi72X+I4i6WgyZcIGai/rZ4v2otoWAEHS0y1yh1qT7NDPpl/McDaTGkNU6C+8VfjD78DrUXEcAfKvPgKlKrOMZnD1lCGsViimGY+LSuIdY45MLmyaa5UT4KWph6dA==</ds:SignatureValue>
      <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>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</ds:X509Certificate>
        </ds:X509Data>
      </KeyInfo>
    </ds:Signature>
    <Subject>
      <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">ABCDEG1234567890</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" NotOnOrAfter="2014-01-31T15:41:31.357Z" Recipient="https://login.microsoftonline.com/login.srf" />
      </SubjectConfirmation>
    </Subject>
    <Conditions NotBefore="2014-01-31T15:36:31.263Z" NotOnOrAfter="2014-01-31T16:36:31.263Z">
      <AudienceRestriction>
        <Audience>urn:federation:MicrosoftOnline</Audience>
      </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
      <Attribute Name="IDPEmail">
        <AttributeValue>administrator@contoso.com</AttributeValue>
      </Attribute>
    </AttributeStatement>
    <AuthnStatement AuthnInstant="2014-01-31T15:36:30.200Z" SessionIndex="_7e3c1bcd-f180-4f78-83e1-7680920793aa">
      <AuthnContext>
        <AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnContextClassRef>
      </AuthnContext>
    </AuthnStatement>
    </Assertion>
    </samlp:Response>

Configuración del proveedor de identidades compatible con SAML 2.0Configure your SAML 2.0 compliant identity provider

Esta sección contiene instrucciones sobre cómo configurar el proveedor de identidades de SAML 2.0 para la federación con Azure AD con el fin de habilitar el acceso de inicio de sesión único a uno o varios servicios en la nube de Microsoft (como Microsoft 365) mediante el protocolo SAML 2.0.This section contains guidelines on how to configure your SAML 2.0 identity provider to federate with Azure AD to enable single sign-on access to one or more Microsoft cloud services (such as Microsoft 365) using the SAML 2.0 protocol. El usuario de confianza de SAML 2.0 que se usa en este escenario para un servicio en la nube de Microsoft es Azure AD.The SAML 2.0 relying party for a Microsoft cloud service used in this scenario is Azure AD.

Adición de metadatos de Azure ADAdd Azure AD metadata

El proveedor de identidades de SAML 2.0 debe adherirse a la información sobre el usuario de confianza de Azure AD.Your SAML 2.0 identity provider needs to adhere to information about the Azure AD relying party. Azure AD publica los metadatos en https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml.Azure AD publishes metadata at https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml.

Se recomienda importar siempre los metadatos más recientes de Azure AD al configurar el proveedor de identidades de SAML 2.0.It is recommended that you always import the latest Azure AD metadata when configuring your SAML 2.0 identity provider.

Nota

Azure AD no lee los metadatos del proveedor de identidades.Azure AD does not read metadata from the identity provider.

Adición de Azure AD como usuario de confianzaAdd Azure AD as a relying party

Deberá habilitar la comunicación entre el proveedor de identidades de SAML 2.0 y Azure AD.You must enable communication between your SAML 2.0 identity provider and Azure AD. Esta configuración dependerá de su proveedor de identidades específico, así que debería consultar la documentación correspondiente.This configuration will be dependent on your specific identity provider and you should refer to documentation for it. Normalmente el id. del usuario de confianza se establecerá en el mismo valor de entityID de los metadatos de Azure AD.You would typically set the relying party ID to the same as the entityID from the Azure AD metadata.

Nota

Compruebe que el reloj del servidor del proveedor de identidades de SAML 2.0 esté sincronizado con una fuente horaria precisa.Verify the clock on your SAML 2.0 identity provider server is synchronized to an accurate time source. Una hora inexacta del reloj puede hacer que los inicios de sesión federados produzcan error.An inaccurate clock time can cause federated logins to fail.

Instalación de Windows PowerShell para el inicio de sesión con el proveedor de identidades de SAML 2.0Install Windows PowerShell for sign-on with SAML 2.0 identity provider

Después de que ha configurado el proveedor de identidades de SAML 2.0 para su uso con el inicio de sesión de Azure AD, el siguiente paso consiste en descargar e instalar el Módulo Azure Active Directory para Windows PowerShell.After you have configured your SAML 2.0 identity provider for use with Azure AD sign-on, the next step is to download and install the Azure Active Directory Module for Windows PowerShell. Una vez instalado, usará estos cmdlets para configurar los dominios de Azure AD como dominios federados.Once installed, you will use these cmdlets to configure your Azure AD domains as federated domains.

El Módulo Azure Active Directory para Windows PowerShell es una descarga para administrar los datos de la organización en Azure AD.The Azure Active Directory Module for Windows PowerShell is a download for managing your organizations data in Azure AD. Este módulo instala un conjunto de cmdlets en Windows PowerShell; esos cmdlets se ejecutan para configurar el acceso de inicio de sesión único a Azure AD y, a su vez, a todos los servicios en la nube que están suscritos a él.This module installs a set of cmdlets to Windows PowerShell; you run those cmdlets to set up single sign-on access to Azure AD and in turn to all of the cloud services you are subscribed to. Para obtener instrucciones sobre cómo descargar e instalar los cmdlets, consulte /previous-versions/azure/jj151815(v=azure.100).For instructions about how to download and install the cmdlets, see /previous-versions/azure/jj151815(v=azure.100)

Configuración de una relación de confianza entre el proveedor de identidades de SAML y Azure ADSet up a trust between your SAML identity provider and Azure AD

Antes de configurar la federación en un dominio de Azure AD, debe tener configurado un dominio personalizado.Before configuring federation on an Azure AD domain, it must have a custom domain configured. No se puede federar el dominio predeterminado proporcionado por Microsoft.You cannot federate the default domain that is provided by Microsoft. El dominio predeterminado de Microsoft finaliza con "onmicrosoft.com".The default domain from Microsoft ends with “onmicrosoft.com”. Ejecutará una serie de cmdlets en la interfaz de la línea de comandos de Windows PowerShell para agregar o convertir dominios para el inicio de sesión único.You will run a series of cmdlets in the Windows PowerShell command-line interface to add or convert domains for single sign-on.

Todos los dominios de Azure Active Directory que quiera federar mediante su proveedor de identidades de SAML 2.0 se deben agregar como un dominio de inicio de sesión único o convertirse en uno de estos dominios a partir de un dominio estándar.Each Azure Active Directory domain that you want to federate using your SAML 2.0 identity provider must either be added as a single sign-on domain or converted to be a single sign-on domain from a standard domain. El hecho de agregar o convertir un dominio establece una relación de confianza entre el proveedor de identidades de SAML 2.0 y Azure AD.Adding or converting a domain sets up a trust between your SAML 2.0 identity provider and Azure AD.

En el procedimiento siguiente se explica cómo convertir un dominio estándar existente en un dominio federado mediante SP-Lite de SAML 2.0.The following procedure walks you through converting an existing standard domain to a federated domain using SAML 2.0 SP-Lite.

Nota

Tenga en cuenta que el dominio puede sufrir una interrupción del sistema que afecte a los usuarios durante un período de tiempo de hasta dos horas después de realizar este paso.Your domain may experience an outage that impacts users up to 2 hours after you take this step.

Configuración de un dominio en Azure AD Directory para federaciónConfiguring a domain in your Azure AD Directory for federation

  1. Conéctese a su instancia de Azure AD Directory como administrador de inquilinos:Connect to your Azure AD Directory as a tenant administrator:
Connect-MsolService
  1. Configure el dominio de Microsoft 365 deseado para usar la federación con SAML 2.0:Configure your desired Microsoft 365 domain to use federation with SAML 2.0:
$dom = "contoso.com" 
$BrandName - "Sample SAML 2.0 IDP" 
$LogOnUrl = "https://WS2012R2-0.contoso.com/passiveLogon" 
$LogOffUrl = "https://WS2012R2-0.contoso.com/passiveLogOff" 
$ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" 
$MyURI = "urn:uri:MySamlp2IDP" 
$MySigningCert = "MIIC7jCCAdagAwIBAgIQRrjsbFPaXIlOG3GTv50fkjANBgkqhkiG9w0BAQsFADAzMTEwLwYDVQQDEyh BREZTIFNpZ25pbmcgLSBXUzIwMTJSMi0wLnN3aW5mb3JtZXIuY29tMB4XDTE0MDEyMDE1MTY0MFoXDT E1MDEyMDE1MTY0MFowMzExMC8GA1UEAxMoQURGUyBTaWduaW5nIC0gV1MyMDEyUjItMC5zd2luZm9yb WVyLmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKe+rLVmXy1QwCwZwqgbbp1/kupQ VcjKuKLitVDbssFyqbDTjP7WRjlVMWAHBI3kgNT7oE362Gf2WMJFf1b0HcrsgLin7daRXpq4Qi6OA57 sW1YFMj3sqyuTP0eZV3S4+ZbDVob6amsZIdIwxaLP9Zfywg2bLsGnVldB0+XKedZwDbCLCVg+3ZWxd9 T/jV0hpLIIWr+LCOHqq8n8beJvlivgLmDJo8f+EITnAxWcsJUvVai/35AhHCUq9tc9sqMp5PWtabAEM b2AU72/QlX/72D2/NbGQq1BWYbqUpgpCZ2nSgvlWDHlCiUo//UGsvfox01kjTFlmqQInsJVfRxF5AcC AwEAATANBgkqhkiG9w0BAQsFAAOCAQEAi8c6C4zaTEc7aQiUgvnGQgCbMZbhUXXLGRpjvFLKaQzkwa9 eq7WLJibcSNyGXBa/SfT5wJgsm3TPKgSehGAOTirhcqHheZyvBObAScY7GOT+u9pVYp6raFrc7ez3c+ CGHeV/tNvy1hJNs12FYH4X+ZCNFIT9tprieR25NCdi5SWUbPZL0tVzJsHc1y92b2M2FxqRDohxQgJvy JOpcg2mSBzZZIkvDg7gfPSUXHVS1MQs0RHSbwq/XdQocUUhl9/e/YWCbNNxlM84BxFsBUok1dH/gzBy Sx+Fc8zYi7cOq9yaBT3RLT6cGmFGVYZJW4FyhPZOCLVNsLlnPQcX3dDg9A==" 
$uri = "http://WS2012R2-0.contoso.com/adfs/services/trust" 
$Protocol = "SAMLP" 
Set-MsolDomainAuthentication `
  -DomainName $dom `
  -FederationBrandName $BrandName `
  -Authentication Federated `
  -PassiveLogOnUri $LogOnUrl `
  -ActiveLogOnUri $ecpUrl `
  -SigningCertificate $MySigningCert `
  -IssuerUri $MyURI `
  -LogOffUri $LogOffUrl `
  -PreferredAuthenticationProtocol $Protocol
  1. Puede obtener la cadena codificada en base64 del certificado de firma de su archivo de metadatos de IDP.You can obtain the signing certificate base64 encoded string from your IDP metadata file. Aunque se ha proporcionado un ejemplo de esta ubicación, puede ser algo diferente dependiendo de su implementación.An example of this location has been provided but may differ slightly based on your implementation.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <KeyDescriptor use="signing">
    <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
     <X509Data>
       <X509Certificate> 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</X509Certificate>
      </X509Data>
    </KeyInfo>
  </KeyDescriptor>
</IDPSSODescriptor>

Para obtener más información sobre "Set-MsolDomainAuthentication", consulte: /previous-versions/azure/dn194112(v=azure.100).For more information about “Set-MsolDomainAuthentication”, see: /previous-versions/azure/dn194112(v=azure.100).

Nota

Solo debe usar $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" si configura una extensión ECP para el proveedor de identidades.You must use $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" only if you set up an ECP extension for your identity provider. Los clientes de Exchange Online, excepto Outlook Web Application (OWA), dependen de un punto de conexión activo basado en POST.Exchange Online clients, excluding Outlook Web Application (OWA), rely on a POST based active end point. Si el STS de SAML 2.0 implementa un punto de conexión activo de forma similar a ECP de Shibboleth, es posible que estos clientes enriquecidos puedan interactuar con el servicio Exchange Online.If your SAML 2.0 STS implements an active end point similar to Shibboleth’s ECP implementation of an active end point it may be possible for these rich clients to interact with the Exchange Online service.

Una vez configurada la federación, puede cambiar de nuevo a "no federado" (o "administrado"); sin embargo, este cambio tarda hasta dos horas en realizarse y requiere la asignación de nuevas contraseñas aleatorias para el inicio de sesión basado en la nube de cada usuario.Once federation has been configured you can switch back to “non-federated” (or “managed”), however this change takes up to two hours to complete and it requires assigning new random passwords for cloud-based sign-in to each user. Volver a cambiar a "administrado" puede ser necesario en algunos escenarios para restablecer un error de la configuración.Switching back to “managed” may be required in some scenarios to reset an error in your settings. Para obtener más información sobre la conversión de dominios, consulte: /previous-versions/azure/dn194122(v=azure.100).For more information on Domain conversion see: /previous-versions/azure/dn194122(v=azure.100).

Aprovisionamiento de entidades de seguridad de usuario en Azure AD y Microsoft 365Provision user principals to Azure AD / Microsoft 365

Antes de poder autenticar a los usuarios en Microsoft 365, debe aprovisionar Azure AD con entidades de seguridad de usuario que correspondan a la aserción en la notificación de SAML 2.0.Before you can authenticate your users to Microsoft 365, you must provision Azure AD with user principals that correspond to the assertion in the SAML 2.0 claim. Si Azure AD no conoce estas entidades de seguridad de usuario de antemano, no se podrán usar para el inicio de sesión federado.If these user principals are not known to Azure AD in advance, then they cannot be used for federated sign-in. Se puede usar Azure AD Connect o Windows PowerShell para aprovisionar a las entidades de seguridad de usuario.Either Azure AD Connect or Windows PowerShell can be used to provision user principals.

Azure AD Connect se puede usar para aprovisionar a las entidades de seguridad en los dominios en Azure Active Directory desde el entorno local de Active Directory.Azure AD Connect can be used to provision principals to your domains in your Azure AD Directory from the on-premises Active Directory. Para más información, consulte Integrate your on-premises directories with Azure Active Directory (Integración de los directorios locales con Azure Active Directory).For more detailed information, see Integrate your on-premises directories with Azure Active Directory.

También se puede usar Windows PowerShell para automatizar la adición de nuevos usuarios a Azure AD y sincronizar los cambios desde el directorio local.Windows PowerShell can also be used to automate adding new users to Azure AD and to synchronize changes from the on-premises directory. Para usar los cmdlets de Windows PowerShell, debe descargar los módulos de Azure Active Directory.To use the Windows PowerShell cmdlets, you must download the Azure Active Directory Modules.

Este procedimiento muestra cómo agregar un único usuario a Azure AD.This procedure shows how to add a single user to Azure AD.

  1. Conéctese a su instancia de Azure AD Directory como administrador de inquilinos: Connect-MsolService.Connect to your Azure AD Directory as a tenant administrator: Connect-MsolService.

  2. Cree una nueva entidad de seguridad de usuario:Create a new user principal:

    New-MsolUser `
      -UserPrincipalName elwoodf1@contoso.com `
      -ImmutableId ABCDEFG1234567890 `
      -DisplayName "Elwood Folk" `
      -FirstName Elwood `
      -LastName Folk `
      -AlternateEmailAddresses "Elwood.Folk@contoso.com" `
      -LicenseAssignment "samlp2test:ENTERPRISEPACK" `
      -UsageLocation "US" 
    

Para obtener más información sobre "New-MsolUser", consulte /previous-versions/azure/dn194096(v=azure.100).For more information about “New-MsolUser” checkout, /previous-versions/azure/dn194096(v=azure.100)

Nota

El valor "UserPrincipalName" debe coincidir con el valor que se enviará para "IDPEmail" en la notificación de SAML 2.0, y el valor "ImmutableID" debe coincidir con el valor enviado en la aserción "NameID".The “UserPrincipalName” value must match the value that you will send for “IDPEmail” in your SAML 2.0 claim and the “ImmutableID” value must match the value sent in your “NameID” assertion.

Comprobación del inicio de sesión único con el IDP SAML 2.0Verify single sign-on with your SAML 2.0 IDP

Como administrador, antes de comprobar y administrar el inicio de sesión único (también llamado federación de identidades), revise la información y realice los pasos que se describen en los siguientes artículos para configurar el inicio de sesión único con su proveedor de identidades basado en SP-Lite de SAML 2.0:As the administrator, before you verify and manage single sign-on (also called identity federation), review the information and perform the steps in the following articles to set up single sign-on with your SAML 2.0 SP-Lite based identity provider:

  1. Ha revisado los requisitos del protocolo SAML 2.0 de Azure AD.You have reviewed the Azure AD SAML 2.0 Protocol Requirements
  2. Ha configurado el proveedor de identidades de SAML 2.0.You have configured your SAML 2.0 identity provider
  3. Instale Windows PowerShell para el inicio de sesión único con el proveedor de identidades de SAML 2.0.Install Windows PowerShell for single sign-on with SAML 2.0 identity provider
  4. Configure una relación de confianza entre el proveedor de identidades de SAML 2.0 y Azure AD.Set up a trust between SAML 2.0 identity provider and Azure AD
  5. Ha aprovisionado una entidad de seguridad de usuario de prueba conocida en Azure Active Directory (Microsoft 365) mediante Windows PowerShell o Azure AD Connect.Provisioned a known test user principal to Azure Active Directory (Microsoft 365) either through Windows PowerShell or Azure AD Connect.
  6. Configure la sincronización de directorios con Azure AD Connect.Configure directory synchronization using Azure AD Connect.

Después de configurar el inicio de sesión único con el proveedor de identidades basado en SP-Lite de SAML 2.0, debe comprobar que funciona correctamente.After setting up single sign-on with your SAML 2.0 SP-Lite based identity Provider, you should verify that it is working correctly.

Nota

Si ha convertido un dominio, en lugar de agregar uno, puede tardar hasta 24 horas en configurar el inicio de sesión único.If you converted a domain, rather than adding one, it may take up to 24 hours to set up single sign-on. Antes de comprobar el inicio de sesión único, debe finalizar la configuración de la sincronización de Active Directory, sincronizar los directorios y activar los usuarios sincronizados.Before you verify single sign-on, you should finish setting up Active Directory synchronization, synchronize your directories, and activate your synced users.

Use la herramienta para comprobar que el inicio de sesión único se ha configurado correctamenteUse the tool to verify that single sign-on has been set up correctly

Para comprobar que el inicio de sesión único se ha configurado correctamente, puede realizar el procedimiento siguiente para confirmar que puede iniciar sesión en el servicio en la nube con sus credenciales corporativas.To verify that single sign-on has been set up correctly, you can perform the following procedure to confirm that you are able to sign-in to the cloud service with your corporate credentials.

Microsoft ha proporcionado una herramienta que puede usar para comprobar el proveedor de identidades basado en SAML 2.0.Microsoft has provided a tool that you can use to test your SAML 2.0 based identity provider. Antes de ejecutar la herramienta de prueba, debe haber configurado un inquilino de Azure AD para federarlo con el proveedor de identidades.Before running the test tool, you must have configured an Azure AD tenant to federate with your identity provider.

Nota

El Analizador de conectividad requiere Internet Explorer 10 o una versión posterior.The Connectivity Analyzer requires Internet Explorer 10 or later.

  1. Descargue el Analizador de conectividad.Download the Connectivity Analyzer.

  2. Haga clic en Instalar ahora para empezar a descargar e instalar la herramienta.Click Install Now to begin downloading and installing the tool.

  3. Seleccione “I can’t set up federation with Office 365, Azure, or other services that use Azure Active Directory” (No se puede configurar la federación con Office 365, Azure u otros servicios que usan Azure Active Directory).Select “I can’t set up federation with Office 365, Azure, or other services that use Azure Active Directory”.

  4. Una vez que haya descargado la herramienta y esté en funcionamiento, verá la ventana de diagnóstico de conectividad.Once the tool is downloaded and running, you will see the Connectivity Diagnostics window. La herramienta le lleva por los pasos para probar la conexión de federación.The tool will step you through testing your federation connection.

  5. El Analizador de conectividad abre el IDP de SAML 2.0 para que inicie sesión; escriba las credenciales de la entidad de seguridad de usuario que va a probar:The Connectivity Analyzer will open your SAML 2.0 IDP for you to sign-in, enter the credentials for the user principal you are testing:

    Captura de pantalla que muestra la ventana de inicio de sesión del IDP de SAML 2.0.

  6. En la ventana de inicio de sesión de la prueba de federación, debe escribir un nombre de cuenta y una contraseña para el inquilino de Azure AD que está configurado para federarse con el proveedor de identidades de SAML 2.0.At the Federation test sign-in window, you should enter an account name and password for the Azure AD tenant that is configured to be federated with your SAML 2.0 identity provider. La herramienta intentará iniciar sesión con esas credenciales y se mostrará una salida con resultados detallados de las pruebas realizadas durante el intento de inicio de sesión.The tool will attempt to sign-in using those credentials and detailed results of tests performed during the sign-in attempt will be provided as output.

    SAML

  7. En esta ventana se muestra un resultado erróneo de las pruebas.This window shows a failed result of testing. Al hacer clic en Review detailed results (Revisar resultados detallados), se muestra información sobre los resultados de cada prueba que se ha realizado.Clicking on Review detailed results will show information about the results for each test that was performed. También puede guardar los resultados en el disco para compartirlos.You can also save the results to disk in order to share them.

Nota

El Analizador de conectividad también prueba la federación activa mediante los protocolos ECP/PAOS y basados en WS*.The Connectivity analyzer also tests Active Federation using the WS*-based and ECP/PAOS protocols. Si no los está usando, puede omitir el siguiente error: Se está probando el flujo de inicio de sesión activo con el punto de conexión de federación activa de su proveedor de identidades.If you are not using these you can disregard the following error: Testing the Active sign-in flow using your identity provider’s Active federation endpoint.

Comprobación manual de que el inicio de sesión único se ha configurado correctamenteManually verify that single sign-on has been set up correctly

La comprobación manual proporciona pasos adicionales que puede realizar para asegurarse de que el proveedor de identidades de SAML 2.0 funciona correctamente en muchos escenarios.Manual verification provides additional steps that you can take to ensure that your SAML 2.0 identity Provider is working properly in many scenarios. Para comprobar que ese inicio de sesión único se ha configurado correctamente, realice los pasos siguientes:To verify that single sign-on has been set up correctly, complete the following steps:

  1. En un equipo unido a un dominio, inicie sesión en su servicio en la nube con el mismo nombre de inicio de sesión que usa en las credenciales corporativas.On a domain-joined computer, sign-in to your cloud service using the same sign-in name that you use for your corporate credentials.
  2. Haga clic dentro del cuadro de contraseña.Click inside the password box. Si el inicio de sesión único está configurado, el cuadro de contraseña aparecerá sombreado y verá el siguiente mensaje: "Ahora debe iniciar sesión en <su empresa>".If single sign-on is set up, the password box will be shaded, and you will see the following message: “You are now required to sign-in at <your company>.”
  3. Haga clic en Iniciar sesión en el vínculo de <su empresa>.Click the Sign-in at <your company> link. Si puede iniciar sesión, significa que el inicio de sesión único está configurado.If you are able to sign-in, then single sign-on has been set up.

Pasos siguientesNext Steps