Inicio de sesión único de conexión directa de Azure Active Directory: Guía de inicio rápidoAzure Active Directory Seamless Single Sign-On: Quickstart

Implementación del inicio de sesión único de conexión directaDeploy Seamless Single Sign-On

El inicio de sesión único de conexión directa (SSO de conexión directa) de Azure Active Directory (Azure AD) permite iniciar sesión automáticamente a los usuarios en equipos de escritorio corporativos conectados a la red de la empresa.Azure Active Directory (Azure AD) Seamless Single Sign-On (Seamless SSO) automatically signs in users when they are on their corporate desktops that are connected to your corporate network. El inicio de sesión único de conexión directa proporciona a los usuarios un acceso sencillo a las aplicaciones en la nube sin necesidad de otros componentes locales.Seamless SSO provides your users with easy access to your cloud-based applications without needing any additional on-premises components.

Para implementar SSO de conexión directa, siga estos pasos.To deploy Seamless SSO, follow these steps.

Paso 1: Comprobar los requisitos previosStep 1: Check the prerequisites

Asegúrese de que se cumplen los siguientes requisitos previos:Ensure that the following prerequisites are in place:

  • Configuración del servidor de Azure AD Connect: si usa la autenticación de paso a través como método de inicio de sesión, no es necesaria ninguna otra comprobación de requisitos previos.Set up your Azure AD Connect server: If you use Pass-through Authentication as your sign-in method, no additional prerequisite check is required. Si va a usar la sincronización de hash de contraseña como método de inicio de sesión y hay un firewall entre Azure AD Connect y Azure AD, asegúrese de que:If you use password hash synchronization as your sign-in method, and if there is a firewall between Azure AD Connect and Azure AD, ensure that:

    • Usa Azure AD Connect 1.1.644.0 o cualquier versión posterior.You use version 1.1.644.0 or later of Azure AD Connect.

    • Si el firewall o el proxy lo permiten, agregue las conexiones a la lista de permitidos para las direcciones URL *.msappproxy.net en el puerto 443.If your firewall or proxy allows, add the connections to the allowed list for *.msappproxy.net URLs over port 443. En caso contrario, permita el acceso a los intervalos de direcciones IP del centro de datos de Azure, que se actualizan cada semana.If not, allow access to the Azure datacenter IP ranges, which are updated weekly. Este requisito solo es aplicable cuando se habilita la característica.This prerequisite is applicable only when you enable the feature. No es necesario para los inicios de sesión de usuarios reales.It is not required for actual user sign-ins.

      Nota

      Las versiones de Azure AD Connect 1.1.557.0, 1.1.558.0, 1.1.561.0 y 1.1.614.0 tienen un problema relacionado con la sincronización de hash de contraseña.Azure AD Connect versions 1.1.557.0, 1.1.558.0, 1.1.561.0, and 1.1.614.0 have a problem related to password hash synchronization. Si no tiene pensado utilizar la sincronización de hash de contraseña junto con la autenticación de paso a través, consulte las notas del historial de versiones de Azure AD Connect para más información.If you don't intend to use password hash synchronization in conjunction with Pass-through Authentication, read the Azure AD Connect release notes to learn more.

  • Uso de una topología de Azure AD Connect: asegúrese de que usa una de las topologías compatibles con Azure AD Connect que se describen aquí.Use a supported Azure AD Connect topology: Ensure that you are using one of Azure AD Connect's supported topologies described here.

    Nota

    El inicio de sesión único de conexión directa es compatible con varios bosques de AD, así haya relaciones de confianza de AD entre ellos o no.Seamless SSO supports multiple AD forests, whether there are AD trusts between them or not.

  • Configuración de credenciales del administrador de dominio: debe tener credenciales de administrador de dominio para cada bosque de Active Directory que:Set up domain administrator credentials: You need to have domain administrator credentials for each Active Directory forest that:

    • Sincronice en Azure AD mediante Azure AD Connect.You synchronize to Azure AD through Azure AD Connect.
    • Contenga usuarios para los que desea habilitar el SSO de conexión directa.Contains users you want to enable for Seamless SSO.
  • Habilitación de la autenticación moderna: para que esta característica funcione, es preciso que habilite la autenticación moderna en el inquilino.Enable modern authentication: You need to enable modern authentication on your tenant for this feature to work.

  • Uso de las versiones más recientes de los clientes de Office 365: para obtener una experiencia de inicio de sesión silenciosa con clientes de Office 365 (Outlook, Word, Excel, etc.), los usuarios deben usar las versiones 16.0.8730.xxxx o superiores.Use the latest versions of Office 365 clients: To get a silent sign-on experience with Office 365 clients (Outlook, Word, Excel, and others), your users need to use versions 16.0.8730.xxxx or above.

Paso 2: Habilitar la característicaStep 2: Enable the feature

Habilite el SSO de conexión directa mediante Azure AD Connect.Enable Seamless SSO through Azure AD Connect.

Nota

También puede habilitar el SSO de conexión directa con PowerShell si Azure AD Connect no cumple sus requisitos.You can also enable Seamless SSO using PowerShell if Azure AD Connect doesn't meet your requirements. Utilice esta opción si tiene más de un dominio por cada bosque de Active Directory y desea ser más específico sobre el dominio para el que quiere habilitar SSO de conexión directa.Use this option if you have more than one domain per Active Directory forest, and you want to be more targeted about the domain you want to enable Seamless SSO for.

Si va a realizar una instalación nueva de Azure AD Connect, elija la ruta de acceso de instalación personalizada.If you're doing a fresh installation of Azure AD Connect, choose the custom installation path. En la página Inicio de sesión de usuario, active la opción Habilitar el inicio de sesión único.At the User sign-in page, select the Enable single sign on option.

Nota

La opción solo estará disponible para seleccionarse si el método de inicio de sesión es Sincronización de hash de contraseñas o Autenticación de paso a través.The option will be available for selection only if the Sign On method is Password Hash Synchronization or Pass-through Authentication.

Azure AD Connect: Inicio de sesión de usuario

Si ya tiene una instalación de Azure AD Connect, seleccione la página Cambiar inicio de sesión de usuario en Azure AD Connect y después seleccione Siguiente.If you already have an installation of Azure AD Connect, select the Change user sign-in page in Azure AD Connect, and then select Next. Si usa Azure AD Connect 1.1.880.0 o versiones posteriores, la opción Habilitar inicio de sesión único estará seleccionada de forma predeterminada.If you are using Azure AD Connect versions 1.1.880.0 or above, the Enable single sign on option will be selected by default. Si usa versiones anteriores de Azure AD Connect, seleccione la opción Habilitar inicio de sesión único.If you are using older versions of Azure AD Connect, select the Enable single sign on option.

Azure AD Connect: Cambio del inicio de sesión de usuario

Continúe con el asistente hasta llegar a la página Habilitar el inicio de sesión único.Continue through the wizard until you get to the Enable single sign on page. Proporcione las credenciales de administrador de dominio para cada bosque de Active Directory que:Provide domain administrator credentials for each Active Directory forest that:

  • Sincronice en Azure AD mediante Azure AD Connect.You synchronize to Azure AD through Azure AD Connect.
  • Contenga usuarios para los que desea habilitar el SSO de conexión directa.Contains users you want to enable for Seamless SSO.

Cuando haya finalizado con el asistente, el SSO de conexión directa estará habilitado en su inquilino.After completion of the wizard, Seamless SSO is enabled on your tenant.

Nota

Las credenciales de administrador de dominio no se almacenan en Azure AD Connect ni en Azure AD.The domain administrator credentials are not stored in Azure AD Connect or in Azure AD. Solo se usan para habilitar la característica.They're used only to enable the feature.

Siga estas instrucciones para verificar que ha habilitado SSO de conexión directa correctamente:Follow these instructions to verify that you have enabled Seamless SSO correctly:

  1. Inicie sesión en el Centro de administración de Azure Active Directory con las credenciales de administrador global del inquilino.Sign in to the Azure Active Directory administrative center with the global administrator credentials for your tenant.
  2. Seleccione Azure Active Directory en el panel izquierdo.Select Azure Active Directory in the left pane.
  3. Seleccione Azure AD Connect.Select Azure AD Connect.
  4. Verifique que la característica Inicio de sesión único de conexión directa aparece como Habilitado.Verify that the Seamless single sign-on feature appears as Enabled.

Azure Portal: Panel de Azure AD Connect

Importante

SSO de conexión directa crea una cuenta de equipo llamada AZUREADSSOACC en la instancia local de Active Directory (AD) de cada bosque de AD.Seamless SSO creates a computer account named AZUREADSSOACC in your on-premises Active Directory (AD) in each AD forest. La cuenta de equipo AZUREADSSOACC precisa de una gran protección por motivos de seguridad.The AZUREADSSOACC computer account needs to be strongly protected for security reasons. Solo los administradores de dominio deben poder administrar la cuenta de equipo.Only Domain Admins should be able to manage the computer account. Asegúrese de que la delegación de Kerberos de la cuenta de equipo está deshabilitada y de que ninguna otra cuenta de Active Directory tiene permisos de delegación en la cuenta de equipo AZUREADSSOACC.Ensure that Kerberos delegation on the computer account is disabled, and that no other account in Active Directory has delegation permissions on the AZUREADSSOACC computer account. Almacene la cuenta de equipo en una unidad organizativa (OU) donde esté a salvo de eliminaciones accidentales y donde solo los administradores de dominio tengan acceso.Store the computer account in an Organization Unit (OU) where they are safe from accidental deletions and where only Domain Admins have access.

Nota

Si utiliza las arquitecturas Pass-the-Hash y Credential Theft Mitigation en su entorno local, realice los cambios adecuados para asegurarse de que la cuenta de equipo AZUREADSSOACC no termine en el contenedor de cuarentena.If you are using Pass-the-Hash and Credential Theft Mitigation architectures in your on-premises environment, make appropriate changes to ensure that the AZUREADSSOACC computer account doesn't end up in the Quarantine container.

Paso 3: Implementación de la característicaStep 3: Roll out the feature

Puede implementar el inicio de sesión único de conexión directa gradualmente a los usuarios con las instrucciones que se proporcionan a continuación.You can gradually roll out Seamless SSO to your users using the instructions provided below. Para empezar, agregue la siguiente dirección URL de Azure AD a la configuración de la zona de la intranet de todos los usuarios, o de los seleccionados, mediante la directiva de grupo de Active Directory:You start by adding the following Azure AD URL to all or selected users' Intranet zone settings by using Group Policy in Active Directory:

  • https://autologon.microsoftazuread-sso.com

Además, tiene que habilitar a una configuración de directiva de zona de intranet denominada Permitir actualizaciones en la barra de estado a través de script mediante la directiva de grupo.In addition, you need to enable an Intranet zone policy setting called Allow updates to status bar via script through Group Policy.

Nota

Las siguientes instrucciones solo funcionan en Internet Explorer y Google Chrome en Windows (si comparte el mismo conjunto de direcciones URL de sitios de confianza que Internet Explorer).The following instructions work only for Internet Explorer and Google Chrome on Windows (if it shares a set of trusted site URLs with Internet Explorer). Lea la sección siguiente para obtener instrucciones acerca de cómo configurar Mozilla Firefox y Google Chrome en macOS.Read the next section for instructions on how to set up Mozilla Firefox and Google Chrome on macOS.

¿Por qué es necesario modificar la configuración de zona de Intranet de los usuarios?Why do you need to modify users' Intranet zone settings?

De forma predeterminada, el explorador calcula automáticamente la zona correcta (Internet o intranet) de una dirección URL específica.By default, the browser automatically calculates the correct zone, either Internet or Intranet, from a specific URL. Por ejemplo, http://contoso/ se asigna a la zona de intranet, mientras que http://intranet.contoso.com/ se asigna a la zona de Internet (porque la dirección URL contiene un punto).For example, http://contoso/ maps to the Intranet zone, whereas http://intranet.contoso.com/ maps to the Internet zone (because the URL contains a period). Los exploradores no enviarán vales de Kerberos a un punto de conexión en la nube, como la dirección URL de Azure AD, a menos que agregue explícitamente la dirección URL a la zona de intranet del explorador.Browsers will not send Kerberos tickets to a cloud endpoint, like the Azure AD URL, unless you explicitly add the URL to the browser's Intranet zone.

Hay dos formas de modificar la configuración de zona de intranet de los usuarios:There are two ways to modify users' Intranet zone settings:

OpciónOption Consideración de administradorAdmin consideration Experiencia del usuarioUser experience
Directiva de grupoGroup policy El administrador bloquea la edición de la configuración de la zona de intranetAdmin locks down editing of Intranet zone settings Los usuarios no pueden modificar su propia configuraciónUsers cannot modify their own settings
Preferencia de directiva de grupoGroup policy preference El administrador permite la edición de la configuración de la zona de intranetAdmin allows editing on Intranet zone settings Los usuarios pueden modificar su propia configuraciónUsers can modify their own settings

Opción "Directiva de grupo": pasos detallados"Group policy" option - Detailed steps

  1. Abra la herramienta Editor de administración de directivas de grupo.Open the Group Policy Management Editor tool.

  2. Edite la directiva de grupo que se aplica a algunos o todos los usuarios.Edit the group policy that's applied to some or all your users. En este ejemplo se usa la directiva de dominio predeterminada.This example uses Default Domain Policy.

  3. Vaya a Configuración de usuario > Directiva > Plantillas administrativas > Componentes de Windows > Internet Explorer > Panel de control de Internet > Página de seguridad.Browse to User Configuration > Policy > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page. A continuación, seleccione Lista de asignación de sitio a zona.Then select Site to Zone Assignment List. Inicio de sesión únicoSingle sign-on

  4. Habilite la directiva y escriba los valores siguientes en el cuadro de diálogo:Enable the policy, and then enter the following values in the dialog box:

    • Nombre de valor: dirección URL de Azure AD a la que se reenvían los vales de Kerberos.Value name: The Azure AD URL where the Kerberos tickets are forwarded.

    • Valor (datos): 1 indica la zona de intranet.Value (Data): 1 indicates the Intranet zone.

      El resultado tiene el aspecto siguiente:The result looks like this:

      Nombre de valor: https://autologon.microsoftazuread-sso.comValue name: https://autologon.microsoftazuread-sso.com

      Valor (datos): 1Value (Data): 1

    Nota

    Si no desea permitir que algunos usuarios utilicen SSO de conexión directa (por ejemplo, si estos usuarios inician sesión en quioscos compartidos) establezca los valores anteriores en 4.If you want to disallow some users from using Seamless SSO (for instance, if these users sign in on shared kiosks), set the preceding values to 4. De este modo, agrega la dirección URL de Azure AD a la zona Sitios restringidos, y el SSO de conexión directa no puede conectar a esos usuarios.This action adds the Azure AD URL to the Restricted zone, and fails Seamless SSO all the time.

  5. Seleccione Aceptar y, después, otra vez Aceptar.Select OK, and then select OK again.

    Inicio de sesión único

  6. Vaya a Configuración de usuario > Directiva > Plantillas administrativas > Componentes de Windows > Internet Explorer > Panel de control de Internet > Página de seguridad > Zona Intranet.Browse to User Configuration > Policy > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone. Después, seleccione Permitir actualizaciones en la barra de estado a través de script.Then select Allow updates to status bar via script.

    Inicio de sesión único

  7. Habilite la configuración de directiva y después seleccione Aceptar.Enable the policy setting, and then select OK.

    Inicio de sesión único

Opción "Preferencia de directiva de grupo": pasos detallados"Group policy preference" option - Detailed steps

  1. Abra la herramienta Editor de administración de directivas de grupo.Open the Group Policy Management Editor tool.

  2. Edite la directiva de grupo que se aplica a algunos o todos los usuarios.Edit the group policy that's applied to some or all your users. En este ejemplo se usa la directiva de dominio predeterminada.This example uses Default Domain Policy.

  3. Vaya a Configuración de usuario > Preferencias > Configuración de Windows > Registro > Nuevo > Elemento del Registro.Browse to User Configuration > Preferences > Windows Settings > Registry > New > Registry item.

    Inicio de sesión único

  4. Escriba los siguientes valores en los campos apropiados y haga clic en Aceptar.Enter the following values in appropriate fields and click OK.

    • Ruta de acceso de la clave: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologonKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Nombre de valor: https.Value name: https

    • Tipo de valor: REG_DWORDValue type: REG_DWORD

    • Información del valor: 00000001Value data: 00000001

      Inicio de sesión único

      Inicio de sesión único

Consideraciones sobre el exploradorBrowser considerations

Mozilla Firefox (todas las plataformas)Mozilla Firefox (all platforms)

Mozilla Firefox no realiza automáticamente la autenticación Kerberos.Mozilla Firefox doesn't automatically use Kerberos authentication. Cada usuario debe agregar manualmente la dirección URL de Azure AD a su configuración de Firefox mediante estos pasos:Each user must manually add the Azure AD URL to their Firefox settings by using the following steps:

  1. Ejecute Firefox y escriba about:config en la barra de direcciones.Run Firefox and enter about:config in the address bar. Descarte las notificaciones que vea.Dismiss any notifications that you see.
  2. Busque la preferencia network.negotiate-auth.trusted-URI.Search for the network.negotiate-auth.trusted-uris preference. Esta preferencia enumera los sitios de confianza de Firefox para la autenticación Kerberos.This preference lists Firefox's trusted sites for Kerberos authentication.
  3. Haga clic con el botón derecho y seleccione Modificar.Right-click and select Modify.
  4. Escriba https://autologon.microsoftazuread-sso.com en el campo.Enter https://autologon.microsoftazuread-sso.com in the field.
  5. Seleccione Aceptar y después vuelva a abrir el explorador.Select OK and then reopen the browser.

Safari (macOS)Safari (macOS)

Asegúrese de que la máquina que ejecuta macOS se ha unido a AD.Ensure that the machine running the macOS is joined to AD. Las instrucciones para unir su dispositivo macOS a AD están fuera del ámbito de este artículo.Instructions for AD-joining your macOS device is outside the scope of this article.

Microsoft Edge basado en Chromium (todas las plataformas)Microsoft Edge based on Chromium (all platforms)

Si ha reemplazado la configuración de las directivas AuthNegotiateDelegateAllowlist o AuthServerAllowlist en el entorno, asegúrese de agregar también la dirección URL de Azure AD (https://autologon.microsoftazuread-sso.com).If you have overridden the AuthNegotiateDelegateAllowlist or the AuthServerAllowlist policy settings in your environment, ensure that you add Azure AD's URL (https://autologon.microsoftazuread-sso.com) to them as well.

Microsoft Edge basado en Chromium (macOS y otras plataformas que no son de Windows)Microsoft Edge based on Chromium (macOS and other non-Windows platforms)

En Microsoft Edge basado en Chromium en macOS y otras plataformas que no son de Windows, consulte la lista de directivas de Microsoft Edge basado en Chromium para obtener información sobre cómo agregar la dirección URL de Azure AD para la autenticación integrada a la lista de permitidos.For Microsoft Edge based on Chromium on macOS and other non-Windows platforms, refer to the Microsoft Edge based on Chromium Policy List for information on how to add the Azure AD URL for integrated authentication to your allow-list.

Google Chrome (todas las plataformas)Google Chrome (all platforms)

Si ha reemplazado la configuración de las directivas AuthNegotiateDelegateWhitelist o AuthServerWhitelist en su entorno, asegúrese de agregar también la dirección URL de Azure AD (https://autologon.microsoftazuread-sso.com).If you have overridden the AuthNegotiateDelegateWhitelist or the AuthServerWhitelist policy settings in your environment, ensure that you add Azure AD's URL (https://autologon.microsoftazuread-sso.com) to them as well.

Google Chrome (macOS y otras plataformas que no son Windows)Google Chrome (macOS and other non-Windows platforms)

En el caso de Google Chrome para macOS y otras plataformas que no son de Windows, consulte la lista de directivas del proyecto Chromium para obtener información sobre cómo controlar la lista de permitidos para la dirección URL de Azure AD para la autenticación integrada.For Google Chrome on macOS and other non-Windows platforms, refer to The Chromium Project Policy List for information on how to control the allow list for the Azure AD URL for integrated authentication.

El uso de las extensiones de directiva de grupo de Active Directory de terceros para implementar la dirección URL de AD Azure de Firefox y Google Chrome para los usuarios de Mac está fuera del ámbito de este artículo.The use of third-party Active Directory Group Policy extensions to roll out the Azure AD URL to Firefox and Google Chrome on Mac users is outside the scope of this article.

Limitaciones de exploradores conocidosKnown browser limitations

La opción SSO de conexión directa no funciona en modo de exploración privada en los navegadores Firefox y Microsoft Edge.Seamless SSO doesn't work in private browsing mode on Firefox and Microsoft Edge browsers. Tampoco funciona en Internet Explorer si el navegador se ejecuta en modo de protección mejorada.It also doesn't work on Internet Explorer if the browser is running in Enhanced Protected mode. En el caso de la versión siguiente de Microsoft Edge basado en Chromium, no funciona en modo InPrivate e Invitado por diseño.For the next version of Microsoft Edge based on Chromium, it will not work in InPrivate and Guest mode by design.

Paso 4: Prueba de la característicaStep 4: Test the feature

Para probar la característica con un usuario específico, asegúrese de que se cumplen todas las condiciones siguientes:To test the feature for a specific user, ensure that all the following conditions are in place:

  • El usuario inicia sesión en un dispositivo corporativo.The user signs in on a corporate device.
  • El dispositivo se une a su dominio de Active Directory.The device is joined to your Active Directory domain. El dispositivo no debe estar unido a Azure AD.The device doesn't need to be Azure AD Joined.
  • El dispositivo tiene una conexión directa a su controlador de dominio (DC), en la red cableada o inalámbrica de la empresa o mediante una conexión de acceso remoto, como una conexión VPN.The device has a direct connection to your domain controller (DC), either on the corporate wired or wireless network or via a remote access connection, such as a VPN connection.
  • Ha implantado la característica para este usuario mediante la directiva de grupo.You have rolled out the feature to this user through Group Policy.

Para probar el escenario en el que el usuario escribe solo su nombre de usuario, pero no la contraseña:To test the scenario where the user enters only the username, but not the password:

  • Inicie sesión en https://myapps.microsoft.com/ es una sesión de explorador privada nueva.Sign in to https://myapps.microsoft.com/ in a new private browser session.

Para probar el escenario en el que el usuario no tiene que escribir ni su nombre de usuario ni su contraseña, realice alguno de estos pasos:To test the scenario where the user doesn't have to enter the username or the password, use one of these steps:

  • Inicie sesión en https://myapps.microsoft.com/contoso.onmicrosoft.com es una sesión de explorador privada nueva.Sign in to https://myapps.microsoft.com/contoso.onmicrosoft.com in a new private browser session. Reemplace contoso con el nombre de su inquilino.Replace contoso with your tenant's name.
  • Inicie sesión en https://myapps.microsoft.com/contoso.com es una sesión de explorador privada nueva.Sign in to https://myapps.microsoft.com/contoso.com in a new private browser session. Reemplace contoso.com con un dominio comprobado (no un dominio federado) en el inquilino.Replace contoso.com with a verified domain (not a federated domain) on your tenant.

Paso 5: Sustitución de clavesStep 5: Roll over keys

En el paso 2, Azure AD Connect crea cuentas de equipo (que representan a Azure AD) en todos los bosques de Active Directory en que se ha habilitado SSO de conexión directa.In Step 2, Azure AD Connect creates computer accounts (representing Azure AD) in all the Active Directory forests on which you have enabled Seamless SSO. Para más información, consulte Azure Active Directory Seamless Single Sign-On: Technical deep dive (Inicio de sesión único de conexión directa de Azure Active Directory: información técnica detallada).To learn more, see Azure Active Directory Seamless Single Sign-On: Technical deep dive.

Importante

Si se pierde la clave de descifrado de Kerberos de la cuenta de un equipo, se puede usar para generar vales de Kerberos para todos los usuarios de su bosque de AD.The Kerberos decryption key on a computer account, if leaked, can be used to generate Kerberos tickets for any user in its AD forest. En ese caso, actores malintencionados pueden suplantar los inicios de sesión de Azure AD de los usuarios en peligro.Malicious actors can then impersonate Azure AD sign-ins for compromised users. Se recomienda encarecidamente cambiar las claves de descifrado de Kerberos de manera periódica (al menos cada 30 días).We highly recommend that you periodically roll over these Kerberos decryption keys - at least once every 30 days.

Para obtener instrucciones sobre cómo sustituir las claves, consulte Azure Active Directory Seamless Single Sign-On: Frequently asked questions (inicio de sesión único de conexión directa de Azure Active Directory: preguntas más frecuentes).For instructions on how to roll over keys, see Azure Active Directory Seamless Single Sign-On: Frequently asked questions. Estamos trabajando en una funcionalidad para introducir el cambio automático de claves.We are working on a capability to introduce automated roll over of keys.

Importante

No es necesario realizar este paso inmediatamente después de haber habilitado la característica.You don't need to do this step immediately after you have enabled the feature. Sustituya las claves de descifrado de Kerberos al menos cada treinta días.Roll over the Kerberos decryption keys at least once every 30 days.

Pasos siguientesNext steps

  • Profundización técnica: comprenda cómo funciona la característica de inicio de sesión único de conexión directa.Technical deep dive: Understand how the Seamless Single Sign-On feature works.
  • Preguntas más frecuentes: obtenga respuestas a las preguntas más frecuentes sobre el inicio de sesión único de conexión directa.Frequently asked questions: Get answers to frequently asked questions about Seamless Single Sign-On.
  • Solución de problemas: aprenda a resolver problemas comunes con la característica de inicio de sesión único de conexión directa.Troubleshoot: Learn how to resolve common problems with the Seamless Single Sign-On feature.
  • UserVoice: Use el foro de Azure Active Directory para solicitar nuevas características.UserVoice: Use the Azure Active Directory Forum to file new feature requests.