Configuración del inicio de sesión único basado en SAML en aplicaciones que no están en la galeríaConfigure SAML-based single sign-on to non-gallery applications

Al agregar una aplicación de la galería o una aplicación web que no está en la galería a sus aplicaciones empresariales de Azure AD, una de las opciones de inicio de sesión único disponibles es el inicio de sesión único basado en SAML.When you add a gallery app or a non-gallery web app to your Azure AD Enterprise Applications, one of the single sign-on options available to you is SAML-based single sign-on. Elija SAML siempre que sea posible para las aplicaciones que realizan la autenticación mediante uno de los protocolos SAML.Choose SAML whenever possible for applications that authenticate using one of the SAML protocols. Con el inicio de sesión único de SAML, Azure AD se autentica en la aplicación mediante el uso de la cuenta de Azure AD del usuario.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. Azure AD comunica la información de inicio de sesión a la aplicación a través de un protocolo de conexión.Azure AD communicates the sign-on information to the application through a connection protocol. Puede asignar los usuarios a roles de aplicación específicos según las reglas que defina en las notificaciones de SAML.You can map users to specific application roles based on rules you define in your SAML claims. En este artículo se describe cómo configurar el inicio de sesión único basado en SAML para una aplicación que no es de la galería.This article describes how to configure SAML-based single sign-on for a non-gallery app.

Nota

¿Desea agregar una aplicación de galería?Adding a gallery app? Consulte las instrucciones de configuración paso a paso en la lista de tutoriales de aplicaciones SaaSFind step-by-step setup instructions in the list of SaaS app tutorials

Para configurar un inicio de sesión único de SAML para una aplicación que no esté en la galería sin escribir código, debe tener una suscripción o Azure AD Premium, y la aplicación debe ser compatible con SAML 2.0.To configure SAML single sign-on for a non-gallery application without writing code, you need to have a subscription or Azure AD Premium and the application must support SAML 2.0. Para más información acerca de las versiones de Azure AD, visite Precios de Azure AD.For more information about Azure AD versions, visit Azure AD pricing.

Antes de empezarBefore you begin

Si la aplicación no se ha agregado a su inquilino de Azure AD, consulte Incorporación de una aplicación que no es de la galería.If the application hasn't been added to your Azure AD tenant, see Add a non-gallery app.

Paso 1.Step 1. Edición de la configuración básica de SAMLEdit the Basic SAML Configuration

  1. Inicie sesión en Azure Portal como administrador de aplicaciones en la nube o administrador de aplicaciones para el inquilino de Azure AD.Sign in to the Azure portal as a cloud application admin, or an application admin for your Azure AD tenant.

  2. Vaya a Azure Active Directory > Aplicaciones empresariales y seleccione la aplicación en la lista.Navigate to Azure Active Directory > Enterprise applications and select the application from the list.

    • Para buscar la aplicación, en el menú Tipo de aplicación, seleccione Todas las aplicaciones y, después, Aplicar.To search for the application, in the Application Type menu, select All applications, and then select Apply. Escriba el nombre de la aplicación en el cuadro de búsqueda y seleccione la aplicación en los resultados.Enter the name of the application in the search box, and then select the application from the results.
  3. En la sección Administrar, seleccione Inicio de sesión único.Under the Manage section, select Single sign-on.

  4. Seleccione SAML.Select SAML. Se muestra la página Configurar el inicio de sesión único con SAML (versión preliminar) .The Set up Single Sign-On with SAML - Preview page appears.

    Paso 1: Edición de la configuración básica de SAML

  5. Para editar las opciones de configuración básicas de SAML, seleccione el icono Editar (un lápiz) en la esquina superior derecha de la sección Configuración básica de SAML.To edit the basic SAML configuration options, select the Edit icon (a pencil) in the upper-right corner of the Basic SAML Configuration section.

  6. Escriba la siguiente configuración.Enter the following settings. El proveedor de la aplicación le proporcionará estos valores.You should get the values from the application vendor. Puede especificar los valores manualmente o cargar un archivo de metadatos para extraer el valor de los campos.You can manually enter the values or upload a metadata file to extract the value of the fields.

    Opción de configuración básica de SAMLBasic SAML Configuration setting Iniciado por el proveedor de serviciosSP-Initiated Iniciado por IdPidP-Initiated DESCRIPCIÓNDescription
    Identificador (identificador de entidad)Identifier (Entity ID) Obligatorio para algunas aplicacionesRequired for some apps Obligatorio para algunas aplicacionesRequired for some apps Identifica de forma única la aplicación.Uniquely identifies the application. Azure AD envía el identificador a la aplicación como el parámetro Audiencia del token SAML.Azure AD sends the identifier to the application as the Audience parameter of the SAML token. Se espera que la aplicación lo valide.The application is expected to validate it. Este valor también aparece como el id. de entidad en los metadatos SAML proporcionados por la aplicación.This value also appears as the Entity ID in any SAML metadata provided by the application. Puede encontrar este valor como el elemento Issuer en el elemento AuthRequest (solicitud SAML) enviado por la aplicación.You can find this value as the Issuer element in the AuthnRequest (SAML request) sent by the application.
    URL de respuestaReply URL OpcionalOptional ObligatorioRequired Especifica el lugar donde la aplicación espera recibir el token SAML.Specifies where the application expects to receive the SAML token. La dirección URL de respuesta también se conoce como dirección URL del Servicio de consumidor de aserciones (ACS).The reply URL is also referred to as the Assertion Consumer Service (ACS) URL. Puede usar los campos adicionales de URL de respuesta para especificar varias direcciones URL de respuesta.You can use the additional reply URL fields to specify multiple reply URLs. Por ejemplo, puede que necesite direcciones URL de respuesta adicionales para varios subdominios.For example, you might need additional reply URLs for multiple subdomains. O bien, con fines de prueba, puede especificar varias direcciones URL de respuesta (host local y direcciones URL públicas) al mismo tiempo.Or, for testing purposes you can specify multiple reply URLs (local host and public URLs) at one time.
    URL de inicio de sesiónSign-on URL ObligatorioRequired No especificarDon't specify Cuando un usuario abre esta dirección URL, el proveedor de servicios lo redirige a Azure AD para autenticar el usuario e iniciar sesión.When a user opens this URL, the service provider redirects to Azure AD to authenticate and sign on the user. Azure AD usa la dirección URL para iniciar la aplicación desde el Panel de acceso de Azure AD u Office 365.Azure AD uses the URL to start the application from Office 365 or the Azure AD Access Panel. Si está en blanco, Azure AD realiza un inicio de sesión iniciado por IdP cuando el usuario inicia la aplicación desde Office 365, el Panel de acceso de Azure AD o la dirección URL de inicio de sesión único de Azure AD.When blank, Azure AD performs IdP-initiated sign-on when a user launches the application from Office 365, the Azure AD Access Panel, or the Azure AD SSO URL.
    Estado de la retransmisiónRelay State OpcionalOptional OpcionalOptional Especifica a la aplicación a dónde debe redirigir al usuario una vez completada la autenticación.Specifies to the application where to redirect the user after authentication is completed. Normalmente, el valor es una dirección URL válida para la aplicación.Typically the value is a valid URL for the application. Sin embargo, algunas aplicaciones usan este campo de forma diferente.However, some applications use this field differently. Para más información, pregunte al proveedor de la aplicación.For more information, ask the application vendor.
    Dirección URL de cierre de sesiónLogout URL OpcionalOptional OpcionalOptional Se usa para devolver las respuestas de cierre de sesión SAML a la aplicación.Used to send the SAML Logout responses back to the application.

Para más información, consulte Protocolo SAML de inicio de sesión único.For more information, see Single sign-on SAML protocol.

Paso 2.Step 2. Configuración de atributos y notificaciones de usuarioConfigure User attributes and claims

Cuando un usuario se autentique en la aplicación, Azure AD emite un token SAML a la aplicación con información (o notificaciones) sobre el usuario que lo identifica de forma única.When a user authenticates to the application, Azure AD issues the application a SAML token with information (or claims) about the user that uniquely identifies them. De forma predeterminada, dicha información incluye el nombre de usuario, la dirección de correo electrónico, el nombre y los apellidos del usuario.By default, this information includes the user's username, email address, first name, and last name. Es posible que tenga que personalizar estas notificaciones si, por ejemplo, la aplicación requiere valores de notificación específicos o un formato de nombre distinto del nombre de usuario.You might need to customize these claims if, for example, the application requires specific claim values or a Name format other than username. Los requisitos para las aplicaciones de la galería se describen en los tutoriales específicos de cada aplicación, o puede solicitar la información al proveedor de la aplicación.Requirements for gallery apps are described in the application-specific tutorials, or you can ask the application vendor. A continuación se describen los pasos generales para configurar los atributos y las notificaciones de usuario.The general steps for configuring user attributes and claims are described below.

  1. En la esquina superior derecha de la sección Atributos y notificaciones de usuario, seleccione el icono Editar (un lápiz).In the User Attributes and Claims section, select the Edit icon (a pencil) in the upper-right corner.

    Paso 2: Configuración de atributos y notificaciones de usuario

  2. Compruebe el Valor de identificador de nombre.Verify the Name Identifier Value. El valor predeterminado es user.principalname.The default value is user.principalname. El identificador de usuario permite identificar de manera exclusiva a cada usuario dentro de la aplicación.The user identifier uniquely identifies each user within the application. Por ejemplo, si la dirección de correo electrónico es a la vez el nombre de usuario y el identificador único, establezca el valor en user.mail.For example, if the email address is both the username and the unique identifier, set the value to user.mail.

  3. Para modificar el valor de identificador de nombre, seleccione el icono Editar (un lápiz) del campo Valor de identificador de nombre.To modify the Name Identifier Value, select the Edit icon (a pencil) for the Name Identifier Value field. Realice los cambios que considere necesarios en el formato y el origen del identificador.Make the appropriate changes to the identifier format and source, as needed. Para más información, consulte Edición de NameId.For details, see Editing NameId. Al acabar, guarde los cambios.Save the changes when you're done.

  4. Para configurar notificaciones de grupo, seleccione el icono Editar para el campo Grupos devueltos en la notificación.To configure group claims, select the Edit icon for the Groups returned in claim field. Para más información, consulte Configuración de notificaciones de grupos.For details, see Configure group claims.

  5. Para agregar una notificación, seleccione Agregar nueva notificación en la parte superior de la página.To add a claim, select Add new claim at the top of the page. Escriba el nombre y seleccione el origen adecuado.Enter the Name and select the appropriate source. Si selecciona el origen Atributo, deberá elegir el Atributo de origen que quiere usar.If you select the Attribute source, you'll need to choose the Source attribute you want to use. Si selecciona el origen Traducción, deberá elegir los valores de Transformación y Parámetro 1 que quiere usar.If you select the Translation source, you'll need to choose the Transformation and Parameter 1 you want to use. Para más información consulte Incorporación de notificaciones específicas de la aplicación.For details, see Adding application-specific claims. Al acabar, guarde los cambios.Save the changes when you're done.

  6. Seleccione Guardar.Select Save. La nueva notificación aparece en la tabla.The new claim appears in the table.

    Nota

    Para más formas de personalizar el token SAML desde Azure AD a la aplicación, consulte los siguientes recursos.For additional ways to customize the SAML token from Azure AD to your application, see the following resources.

Paso 3.Step 3. Administración del certificado de firma SAMLManage the SAML signing certificate

Azure AD usa un certificado para firmar los tokens SAML que envía a la aplicación.Azure AD uses a certificate to sign the SAML tokens it sends to the application. Necesita este certificado para establecer la confianza entre Azure AD y la aplicación.You need this certificate to set up the trust between Azure AD and the application. Para obtener detalles sobre el formato del certificado, consulte la documentación de SAML de la aplicación.For details on the certificate format, see the application’s SAML documentation. Para más información, consulte Administración de certificados para el inicio de sesión único federado y Opciones avanzadas de firma de certificados en el token SAML.For more information, see Manage certificates for federated single sign-on and Advanced certificate signing options in the SAML token.

Desde Azure AD, puede descargar el certificado activo en formato Base64 o Raw directamente desde la página principal Configurar el inicio de sesión único con SAML.From Azure AD, you can download the active certificate in Base64 or Raw format directly from the main Set up Single Sign-On with SAML page. Además, puede obtener el certificado activo al descargar el archivo XML de metadatos de la aplicación o mediante el uso de la URL de metadatos de la federación de aplicaciones.Alternatively, you can get the active certificate by downloading the application metadata XML file or by using the App federation metadata URL. Para ver, crear o descargar certificados (activos o inactivos), siga estos pasos.To view, create, or download your certificates (active or inactive), follow these steps.

  1. Vaya a la sección Certificado de firma de SAML.Go to the SAML Signing Certificate section.

    Paso 3: Administración del certificado de firma SAML

  2. Compruebe que el certificado tiene:Verify the certificate has:

    • La fecha de expiración deseada.The desired expiration date. Puede configurar la fecha de expiración hasta tres años en el futuro.You can configure the expiration date for up to three years into the future.
    • Un estado de activo para el certificado que desee.A status of active for the desired certificate. Si el estado es Inactivo, cambie el estado a Activo.If the status is Inactive, change the status to Active. Para cambiar el estado, haga clic con el botón derecho en la fila del certificado deseado y seleccione Activar el certificado.To change the status, right-click the desired certificate's row and select Make certificate active.
    • La opción de firma y el algoritmo correctos.The correct signing option and algorithm.
    • Los correos electrónicos de notificación correctos.The correct notification email address(es). Cuando el certificado activo esté cerca de la fecha de expiración, Azure AD envía una notificación a la dirección de correo electrónico configurada en este campo.When the active certificate is near the expiration date, Azure AD sends a notification to the email address configured in this field.
  3. Para descargar el certificado, seleccione una de las opciones de formato Base64, formato sin procesar o XML de metadatos de federación.To download the certificate, select one of the options for Base64 format, Raw format, or Federation Metadata XML. Azure AD también proporciona la dirección URL de metadatos de federación de la aplicación, en donde puede acceder a los https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>metadatos específicos de la aplicación en el formato.Azure AD also provides the App Federation Metadata Url where you can access the metadata specific to the application in the format https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.

  4. Para administrar, crear o importar un certificado, seleccione el icono de edición (un lápiz) en la esquina superior derecha de la sección Certificado de firma de SAML.To manage, create, or import a certificate, select the Edit icon (a pencil) in the upper-right corner of the SAML Signing Certificate section.

    Certificado de firma de SAML

    Para ello, realice cualquiera de las siguientes acciones:Take any of the following actions:

    • Para crear un certificado nuevo, seleccione Nuevo certificado, seleccione la Fecha de expiración y, a continuación, seleccione Guardar.To create a new certificate, select New Certificate, select the Expiration Date, and then select Save. Para activar el certificado, seleccione el menú contextual ( ... ) y seleccione Activar el certificado.To activate the certificate, select the context menu (...) and select Make certificate active.
    • Para cargar un certificado con una clave privada y credenciales pfx, seleccione Importar certificado y búsquelo.To upload a certificate with private key and pfx credentials, select Import Certificate and browse to the certificate. Escriba la Contraseña PFX, y seleccione Agregar.Enter the PFX Password, and then select Add.
    • Para configurar las opciones avanzadas de firma de certificados, utilice las opciones siguientes.To configure advanced certificate signing options, use the following options. Para ver las descripciones de estas opciones consulte el artículo Opciones avanzadas de firma de certificado.For descriptions of these options, see the Advanced certificate signing options article.
      • En la lista desplegable Opción de firma, seleccione Firmar respuesta SAML, Firmar aserción SAML o Firmar respuesta y aserción SAML.In the Signing Option drop-down list, choose Sign SAML response, Sign SAML assertion, or Sign SAML response and assertion.
      • En la lista desplegable Algoritmo de firma, elija SHA-1 o SHA-256.In the Signing Algorithm drop-down list, choose SHA-1 or SHA-256.
    • Para notificar a otras personas cuando el certificado activo esté cerca de su fecha de expiración, escriba las direcciones de correo electrónico en los campos Direcciones de correo electrónico de notificación.To notify additional people when the active certificate is near its expiration date, enter the email addresses in the Notification email addresses fields.
  5. Si realizó cambios, seleccione Guardar en la parte superior de Certificado de firma de SAML.If you made changes, select Save at the top of the SAML Signing Certificate section.

Paso 4Step 4. Configuración de la aplicación para que use Azure ADSet up the application to use Azure AD

En la sección Configurar <applicationName> se enumeran los valores que tienen que configurarse en la aplicación para que use Azure AD como proveedor de identidades de SAML.The Set up <applicationName> section lists the values that need to be configured in the application so it will use Azure AD as a SAML identity provider. Los valores necesarios varían dependiendo de la aplicación.The required values vary according to the application. Para más información, consulte la documentación de SAML de la aplicación.For details, see the application's SAML documentation. Para encontrar la documentación, vaya al encabezado Configurar <nombreDeAplicación> y seleccione Ver instrucciones detalladas.To find the documentation, go to the Set up <application name> heading and select View step-by-step instructions. La documentación aparece en la página Configurar inicio de sesión.The documentation appears in the Configure sign-on page. Esta página le guiará para rellenar los valores de Dirección URL de inicio de sesión, Identificador de Azure AD y URL de cierre de sesión en el encabezado Configurar <nombreDeAplicación> .That page guides you in filling out the Login URL, Azure AD Identifier, and Logout URL values in the Set up <application name> heading.

  1. Desplácese hacia abajo hasta la sección Configurar <applicationName> .Scroll down to the Set up <applicationName> section.

    Paso 4: Configuración de la aplicación

  2. Copie el valor de cada fila en esta sección según sea necesario, y siga las instrucciones específicas de la aplicación para agregar el valor a la aplicación.Copy the value from each row in this section as needed and follow the application-specific instructions for adding the value to the application. En el caso de las aplicaciones de la galería, puede ver la documentación seleccionando Ver instrucciones detalladas.For gallery apps, you can view the documentation by selecting View step-by-step instructions.

    • Los valores Dirección URL de inicio de sesión y URL de cierre de sesión se resuelven en el mismo punto de conexión, que es el punto de conexión de control de solicitudes SAML de su instancia de Azure AD.The Login URL and Logout URL values both resolve to the same endpoint, which is the SAML request-handling endpoint for your instance of Azure AD.
    • Identificador de Azure AD es el valor del Emisor en el token SAML emitido a la aplicación.The Azure AD Identifier is the value of the Issuer in the SAML token issued to the application.
  3. Cuando haya pegado todos los valores en los campos correspondientes, seleccione Guardar.When you've pasted all the values into the appropriate fields, select Save.

Paso 5.Step 5. Validación del inicio de sesión únicoValidate single sign-on

Una vez que haya configurado la aplicación para que use Azure AD como proveedor de identidades basado en SAML, puede probar la configuración para ver si el inicio de sesión único funciona para su cuenta.Once you've configured your application to use Azure AD as a SAML-based identity provider, you can test the settings to see if single sign-on works for your account.

  1. Desplácese hasta la sección Validate single sign-on with (Validar el inicio de sesión único con ).Scroll to the Validate single sign-on with section.

    Paso 5: Validación del inicio de sesión único

  2. Seleccione Validar.Select Validate. Aparecen las opciones de pruebas.The testing options appear.

  3. Seleccione Iniciar sesión en nombre del usuario actual.Select Sign in as current user.

Si el inicio de sesión se realiza correctamente, está listo para asignar usuarios y grupos a la aplicación SAML.If sign-on is successful, you're ready to assign users and groups to your SAML application. Si aparece un mensaje de error, realice los pasos siguientes:If an error message appears, complete the following steps:

  1. Copie y pegue los detalles en el cuadro What does the error look like? (¿Qué aspecto tiene el error?).Copy and paste the specifics into the What does the error look like? box.

    Obtención de instrucciones para la resolución

  2. Seleccione Obtenga instrucciones para la resolución.Select Get resolution guidance. Se muestran la causa principal e instrucciones para la resolución.The root cause and resolution guidance appear. En este ejemplo, el usuario no se asignó a la aplicación.In this example, the user wasn't assigned to the application.

  3. Lea las instrucciones de resolución y, después, si es posible, solucione el problema.Read the resolution guidance and then, if possible, fix the issue.

  4. Vuelva a ejecutar la prueba hasta que se complete correctamente.Run the test again until it completes successfully.

Para más información, consulte Depuración del inicio de sesión único basado en SAML en aplicaciones de Azure Active Directory.For more information, see Debug SAML-based single sign-on to applications in Azure Active Directory.

Pasos siguientesNext steps