Inicio de sesión único de conexión directa de Azure Active DirectoryAzure Active Directory Seamless Single Sign-On

¿Qué es el inicio de sesión único de conexión directa de Azure Active Directory?What is Azure Active Directory Seamless Single Sign-On?

El inicio de sesión único de conexión directa de Azure Active Directory (SSO de conexión directa de Azure AD) permite iniciar sesión automáticamente a los usuarios en dispositivos corporativos conectados a la red de la empresa.Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. Si se habilita, los usuarios no tienen que escribir la contraseña para iniciar sesión en Azure AD y, generalmente, ni siquiera los nombres de usuario.When enabled, users don't need to type in their passwords to sign in to Azure AD, and usually, even type in their usernames. Esta característica proporciona a los usuarios un acceso sencillo a las aplicaciones en la nube sin necesidad de componentes locales adicionales.This feature provides your users easy access to your cloud-based applications without needing any additional on-premises components.

SSO de conexión directa se puede combinar con los métodos de inicio de sesión mediante sincronización de hash de contraseñas o autenticación de paso a través.Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods. El inicio de sesión único de conexión directa no se puede aplicar a Servicios de federación de Active Directory (AD FS).Seamless SSO is not applicable to Active Directory Federation Services (ADFS).

Inicio de sesión único de conexión directa

Importante

Un inicio de sesión único de conexión directa necesita que el dispositivo del usuario esté unido a un dominio, pero no que esté unido a Azure AD.Seamless SSO needs the user's device to be domain-joined, but doesn't need for the device to be Azure AD Joined.

Ventajas principalesKey benefits

  • Mejor experiencia del usuarioGreat user experience
    • Los usuarios inician sesión automáticamente tanto en las aplicaciones basadas en la nube como en las locales.Users are automatically signed into both on-premises and cloud-based applications.
    • Los usuarios no tienen que escribir sus contraseñas varias veces.Users don't have to enter their passwords repeatedly.
  • Es fácil de implementar y administrarEasy to deploy & administer
    • No se necesitan componentes adicionales en local para que esto funcione.No additional components needed on-premises to make this work.
    • Funciona con cualquier método de autenticación en la nube, ya sea sincronización de hash de contraseña o autenticación de paso a través.Works with any method of cloud authentication - Password Hash Synchronization or Pass-through Authentication.
    • Puede extenderse a algunos o a todos los usuarios mediante la directiva de grupo.Can be rolled out to some or all your users using Group Policy.
    • Se pueden registrar dispositivos que no tengan Windows 10 en Azure AD sin necesidad de contar con ninguna infraestructura de AD FS.Register non-Windows 10 devices with Azure AD without the need for any AD FS infrastructure. Esta funcionalidad necesita la versión 2.1 o posterior del cliente para unirse al área de trabajo.This capability needs you to use version 2.1 or later of the workplace-join client.

Características destacadasFeature highlights

  • El nombre de usuario de inicio de sesión puede ser el predeterminado local (userPrincipalName) u otro atributo Alternate ID) configurado en Azure AD Connect.Sign-in username can be either the on-premises default username (userPrincipalName) or another attribute configured in Azure AD Connect (Alternate ID). Ambos casos de uso funcionan porque SSO de conexión directa usa la notificación securityIdentifier en el vale Kerberos para buscar el objeto de usuario correspondiente en Azure AD.Both use cases work because Seamless SSO uses the securityIdentifier claim in the Kerberos ticket to look up the corresponding user object in Azure AD.
  • SSO de conexión directa es una característica oportunista.Seamless SSO is an opportunistic feature. Si, por algún motivo, genera un error, la experiencia de inicio de sesión del usuario se revierte a su comportamiento habitual; es decir, el usuario deberá escribir su contraseña en la página de inicio de sesión.If it fails for any reason, the user sign-in experience goes back to its regular behavior - i.e, the user needs to enter their password on the sign-in page.
  • Si una aplicación, (por ejemplo, https://myapps.microsoft.com/contoso.com) reenvía un parámetro domain_hint (OpenID Connect) o whr (SAML) que identifica el inquilino, o bien el parámetro login_hint que identifica el usuario, en la solicitud de inicio de sesión de Azure AD, los usuarios inician sesión automáticamente sin necesidad de escribir nombres de usuario ni contraseñas.If an application (for example, https://myapps.microsoft.com/contoso.com) forwards a domain_hint (OpenID Connect) or whr (SAML) parameter - identifying your tenant, or login_hint parameter - identifying the user, in its Azure AD sign-in request, users are automatically signed in without them entering usernames or passwords.
  • Los usuarios también obtienen una experiencia de inicio de sesión silenciosa si una aplicación (por ejemplo, https://contoso.sharepoint.com) envía solicitudes de inicio de sesión a los puntos de conexión configurados como inquilinos de Azure AD; es decir, https://login.microsoftonline.com/contoso.com/<..> o https://login.microsoftonline.com/<tenant_ID>/<..>, en lugar del punto de conexión común de Azure AD; es decir, https://login.microsoftonline.com/common/<...>.Users also get a silent sign-on experience if an application (for example, https://contoso.sharepoint.com) sends sign-in requests to Azure AD's endpoints set up as tenants - that is, https://login.microsoftonline.com/contoso.com/<..> or https://login.microsoftonline.com/<tenant_ID>/<..> - instead of Azure AD's common endpoint - that is, https://login.microsoftonline.com/common/<...>.
  • Se admite el cierre de sesión.Sign out is supported. Esto permite que los usuarios elijan otra cuenta de Azure AD con la cual iniciar sesión, en lugar de iniciar sesión automáticamente con SSO de conexión directa.This allows users to choose another Azure AD account to sign in with, instead of being automatically signed in using Seamless SSO automatically.
  • Se admiten los clientes Win32 de Office 365 (Outlook, Word, Excel, etc.) con las versiones 16.0.8730 y posteriores mediante un flujo no interactivo.Office 365 Win32 clients (Outlook, Word, Excel, and others) with versions 16.0.8730.xxxx and above are supported using a non-interactive flow. En OneDrive, tendrá que activar la función de configuración silenciosa de OneDrive para disfrutar de una experiencia de inicio de sesión silenciosa.For OneDrive, you will have to activate the OneDrive silent config feature for a silent sign-on experience.
  • Puede habilitarse a través de Azure AD Connect.It can be enabled via Azure AD Connect.
  • Es una característica gratuita y no es necesario usar ninguna versión de pago de Azure AD para usarla.It is a free feature, and you don't need any paid editions of Azure AD to use it.
  • Se admite en clientes basados en el explorador web y en clientes de Office que admiten la autenticación moderna en plataformas con la funcionalidad de autenticación de Kerberos:It is supported on web browser-based clients and Office clients that support modern authentication on platforms and browsers capable of Kerberos authentication:
SO\ExploradorOS\Browser Internet ExplorerInternet Explorer Microsoft EdgeMicrosoft Edge Google ChromeGoogle Chrome Mozilla FirefoxMozilla Firefox SafariSafari
Windows 10Windows 10 Sí*Yes* Yes Yes Sí***Yes*** N/DN/A
Windows 8.1Windows 8.1 Sí*Yes* N/DN/A Yes Sí***Yes*** N/DN/A
Windows 8Windows 8 Sí*Yes* N/DN/A Yes Sí***Yes*** N/DN/A
Windows 7Windows 7 Sí*Yes* N/DN/A Yes Sí***Yes*** N/DN/A
Windows Server 2012 R2 o versiones posterioresWindows Server 2012 R2 or above Sí**Yes** N/DN/A Yes Sí***Yes*** N/DN/A
Mac OS XMac OS X N/DN/A N/DN/A Sí***Yes*** Sí***Yes*** Sí***Yes***

*Requiere Internet Explorer versión 10 o versiones posteriores*Requires Internet Explorer versions 10 or above

**Requiere Internet Explorer versión 10 o versiones posteriores.**Requires Internet Explorer versions 10 or above. Deshabilitar el modo de protección mejoradaDisable Enhanced Protected Mode

***Requiere configuración adicional***Requires additional configuration

Nota

En el caso de Windows 10, la recomendación es usar Azure AD Join para que la experiencia de inicio de sesión único con Azure AD sea óptima.For Windows 10, the recommendation is to use Azure AD Join for the optimal single sign-on experience with Azure AD.

Pasos siguientesNext steps