Administrar certificados para inicio de sesión único federado en Azure Active DirectoryManage certificates for federated single sign-on in Azure Active Directory

En este artículo se aborda información y preguntas comunes relacionadas con los certificados que crea Azure Active Directory (Azure AD) para establecer el inicio de sesión único (SSO) federado para las aplicaciones de software como servicio (SaaS).In this article, we cover common questions and information related to certificates that Azure Active Directory (Azure AD) creates to establish federated single sign-on (SSO) to your software as a service (SaaS) applications. Estas aplicaciones se agregan desde la galería de aplicaciones de Azure AD o mediante una plantilla de aplicación ajena a la galería.Add applications from the Azure AD app gallery or by using a non-gallery application template. Configure la aplicación mediante la opción de inicio de sesión único federado.Configure the application by using the federated SSO option.

Este artículo solo es relevante para las aplicaciones que están configuradas para usar el inicio de sesión único de Azure AD mediante la federación de Lenguaje de marcado de aserción de seguridad (SAML).This article is relevant only to apps that are configured to use Azure AD SSO through Security Assertion Markup Language (SAML) federation.

Al agregar una nueva aplicación desde la galería y configurar el inicio de sesión basado en SAML (mediante la selección de Inicio de sesión único > SAML desde la página de información general de la aplicación), Azure AD genera un certificado para la aplicación con una validez de tres años.When you add a new application from the gallery and configure a SAML-based sign-on (by selecting Single sign-on > SAML from the application overview page), Azure AD generates a certificate for the application that is valid for three years. Para descargar el certificado activo como un archivo de certificado de seguridad ( .cer), vuelva a esa página (inicio de sesión basado en SAML) y seleccione un vínculo de descarga en el encabezado Certificado de firma de SAML.To download the active certificate as a security certificate (.cer) file, return to that page (SAML-based sign-on) and select a download link in the SAML Signing Certificate heading. Puede elegir entre el certificado sin formato (binario) o el certificado de Base64 (texto cifrado en Base64).You can choose between the raw (binary) certificate or the Base64 (base 64-encoded text) certificate. Para las aplicaciones de la galería, en esta sección es posible que también se muestre un vínculo para descargar el certificado como XML de metadatos de federación (un archivo .xml), según el requisito de la aplicación.For gallery applications, this section might also show a link to download the certificate as federation metadata XML (an .xml file), depending on the requirement of the application.

Opciones de descarga del certificado de firma de SAML activo

También puede descargar un certificado activo o inactivo seleccionando el icono Editar (con forma de lápiz) del encabezado del certificado de firma de SAML, que muestra la página del certificado de firma de SAML.You can also download an active or inactive certificate by selecting the SAML Signing Certificate heading's Edit icon (a pencil), which displays the SAML Signing Certificate page. Seleccione los puntos suspensivos ( ... ) junto al certificado que quiere descargar y, a continuación, elija el formato de certificado que quiera.Select the ellipsis (...) next to the certificate you want to download, and then choose which certificate format you want. Tiene la opción adicional de descargar el certificado en formato de correo con privacidad mejorada (PEM).You have the additional option to download the certificate in privacy-enhanced mail (PEM) format. Este formato es idéntico a Base64, pero con una extensión de nombre de archivo .pem, que no se reconoce en Windows como formato de certificado.This format is identical to Base64 but with a .pem file name extension, which isn't recognized in Windows as a certificate format.

Opciones de descarga del certificado de firma de SAML (activo e inactivo)

Personalizar la fecha de expiración para el certificado de federación y sustituirlo por un certificado nuevoCustomize the expiration date for your federation certificate and roll it over to a new certificate

De manera predeterminada, Azure configura un certificado para que expire después de tres años cuando se crea automáticamente durante la configuración de inicio de sesión único de SAML.By default, Azure configures a certificate to expire after three years when it is created automatically during SAML single sign-on configuration. Dado que no se puede cambiar la fecha de un certificado después de guardarlo, tendrá que:Because you can't change the date of a certificate after you save it, you have to:

  1. Crear un certificado nuevo con la fecha deseada.Create a new certificate with the desired date.
  2. Guardar el certificado nuevo.Save the new certificate.
  3. Descargar el certificado nuevo en el formato correcto.Download the new certificate in the correct format.
  4. Cargar el certificado nuevo en la aplicación.Upload the new certificate to the application.
  5. Activar el certificado nuevo en el portal de Azure Active Directory.Make the new certificate active in the Azure Active Directory portal.

Las dos secciones siguientes le ayudan a realizar estos pasos.The following two sections help you perform these steps.

Crear un nuevo certificadoCreate a new certificate

En primer lugar, cree y guarde el certificado nuevo con otra fecha de expiración:First, create and save new certificate with a different expiration date:

  1. Inicie sesión en el portal de Azure Active Directory.Sign in to the Azure Active Directory portal. Aparecerá la página del Centro de administración de Azure Active Directory.The Azure Active Directory admin center page appears.
  2. En el panel izquierdo, seleccione Aplicaciones empresariales.In the left pane, select Enterprise applications. Aparecerá una lista de las aplicaciones empresariales de su cuenta.A list of the enterprise applications in your account appears.
  3. Seleccione la aplicación afectada.Select the affected application. Aparecerá una página de información general de la aplicación.An overview page for the application appears.
  4. En el panel izquierdo de la página de información general de la aplicación, seleccione Inicio de sesión único.In the left pane of the application overview page, select Single sign-on.
  5. Si aparece la página Seleccione un método de inicio de sesión único, seleccione SAML.If the Select a single sign-on method page appears, select SAML.
  6. En la página Configurar el inicio de sesión único con SAML (versión preliminar) , busque el encabezado Certificado de firma de SAML y seleccione el icono Editar (con forma de lápiz).In the Set up Single Sign-On with SAML - Preview page, find the SAML Signing Certificate heading and select the Edit icon (a pencil). Aparece la página del certificado de firma de SAML, que muestra el estado (Activo o Inactivo), la fecha de expiración y la huella digital (una cadena de hash) de cada certificado.The SAML Signing Certificate page appears, which displays the status (Active or Inactive), expiration date, and thumbprint (a hash string) of each certificate.
  7. Seleccione Nuevo certificado.Select New Certificate. Aparece una nueva fila debajo de la lista de certificados, donde se establece la fecha de expiración predeterminada en exactamente tres años después de la fecha actual.A new row appears below the certificate list, where the expiration date defaults to exactly three years after the current date. (Los cambios todavía no se han guardado, por lo que aún se puede modificar la fecha de expiración).(Your changes haven't been saved yet, so you can still modify the expiration date.)
  8. En la nueva fila del certificado, pase el ratón por encima de la columna de fecha de expiración y seleccione el icono Seleccionar fecha (un calendario).In the new certificate row, hover over the expiration date column and select the Select Date icon (a calendar). Aparece un control de calendario que muestra los días de un mes de la fecha de expiración actual de la nueva fila.A calendar control appears, displaying the days of a month of the new row's current expiration date.
  9. Use el control del calendario para establecer una nueva fecha.Use the calendar control to set a new date. Puede establecer cualquier fecha del período entre la fecha actual y los tres años posteriores.You can set any date between the current date and three years after the current date.
  10. Seleccione Guardar.Select Save. El nuevo certificado aparece ahora con el estado Inactivo, la fecha de expiración que ha elegido y una huella digital.The new certificate now appears with a status of Inactive, the expiration date that you chose, and a thumbprint.
  11. Seleccione la X para volver a la página Configurar el inicio de sesión único con SAML (versión preliminar) .Select the X to return to the Set up Single Sign-On with SAML - Preview page.

Cargar y activar un certificadoUpload and activate a certificate

A continuación, descargue el nuevo certificado en el formato correcto, cárguelo en la aplicación y actívelo en Azure Active Directory:Next, download the new certificate in the correct format, upload it to the application, and make it active in Azure Active Directory:

  1. Puede ver las instrucciones de configuración de inicio de sesión de SAML adicionales de la aplicación mediante una de las siguientes formas:View the application's additional SAML sign-on configuration instructions by either:

    • Seleccione el vínculo de la guía de configuración para verlas en una pestaña o ventana del explorador independiente.Selecting the configuration guide link to view in a separate browser window or tab, or
    • Vaya al encabezado de configuración y seleccione Ver instrucciones detalladas para verlas en una barra lateral.Going to the set up heading and selecting View step-by-step instructions to view in a sidebar.
  2. En las instrucciones, tenga en cuenta el formato de codificación necesario para la carga del certificado.In the instructions, note the encoding format required for the certificate upload.

  3. Siga las instrucciones de la sección anterior Generación automática de certificado para aplicaciones de la galería y ajenas a la misma.Follow the instructions in the Auto-generated certificate for gallery and non-gallery applications section earlier. Mediante este paso se descarga el certificado en el formato de codificación que se requiere para la carga de la aplicación.This step downloads the certificate in the encoding format required for upload by the application.

  4. Cuando quiera sustituir el certificado nuevo, vuelva a la página Certificado de firma de SAML y, en la fila de certificado que se acaba de guardar, seleccione los puntos suspensivos ( ... ) y seleccione Activar el certificado.When you want to roll over to the new certificate, go back to the SAML Signing Certificate page, and in the newly saved certificate row, select the ellipsis (...) and select Make certificate active. El estado del nuevo certificado cambia a Activo y el certificado activo anteriormente se cambia a un estado de Inactivo.The status of the new certificate changes to Active, and the previously active certificate changes to a status of Inactive.

  5. Siga las instrucciones de configuración de inicio de sesión de SAML de la aplicación que se mostraron anteriormente para que pueda cargar el certificado de firma de SAML en el formato de codificación correcto.Continue following the application's SAML sign-on configuration instructions that you displayed earlier, so that you can upload the SAML signing certificate in the correct encoding format.

Adición de direcciones de notificación de correo electrónico a la expiración del certificadoAdd email notification addresses for certificate expiration

Azure AD enviará una notificación por correo electrónico 60, 30 y 7 días antes de que expire el certificado de SAML.Azure AD will send an email notification 60, 30, and 7 days before the SAML certificate expires. Puede agregar varias direcciones de correo electrónico para recibir notificaciones.You may add more than one email address to receive notifications. Para especificar las direcciones de correo electrónico a las que quiere que se envíen las notificaciones:To specify the email address(es) you want the notifications to be sent to:

  1. En la página Certificado de firma de SAML, vaya al encabezado Direcciones de correo electrónico de notificación.In the SAML Signing Certificate page, go to the notification email addresses heading. De manera predeterminada, este encabezado solo usa la dirección de correo electrónico del administrador que agregó la aplicación.By default, this heading uses only the email address of the admin who added the application.
  2. Debajo de la dirección de correo electrónico final, escriba la dirección de correo electrónico que debe recibir el aviso de expiración del certificado y, a continuación, presione ENTRAR.Below the final email address, type the email address that should receive the certificate's expiration notice, and then press Enter.
  3. Repita el paso anterior para cada dirección de correo electrónico que quiere agregar.Repeat the previous step for each email address you want to add.
  4. Para cada dirección de correo electrónico que quiere eliminar, seleccione el icono Eliminar (un cubo de basura) junto a la dirección de correo electrónico.For each email address you want to delete, select the Delete icon (a garbage can) next to the email address.
  5. Seleccione Guardar.Select Save.

Recibirá el correo electrónico de notificación de aadnotification@microsoft.com.You will receive the notification email from aadnotification@microsoft.com. Para evitar que el correo electrónico vaya a la ubicación de correo no deseado, agregue este correo electrónico a los contactos.To avoid the email going to your spam location, add this email to your contacts.

Renovar un certificado que expirará prontoRenew a certificate that will soon expire

Si un certificado está a punto de expirar, se puede renovar mediante un procedimiento que no da como resultado ningún tiempo de inactividad considerable para los usuarios.If a certificate is about to expire, you can renew it using a procedure that results in no significant downtime for your users. Para renovar un certificado que va a expirar:To renew an expiring certificate:

  1. Siga las instrucciones de la sección anterior Crear un nuevo certificado, con una fecha que se superponga con el certificado existente.Follow the instructions in the Create a new certificate section earlier, using a date that overlaps with the existing certificate. Esa fecha limita la cantidad de tiempo de inactividad causado por la expiración del certificado.That date limits the amount of downtime caused by the certificate expiration.

  2. Si la aplicación puede sustituir automáticamente un certificado, siga estos pasos para definir el nuevo certificado como activo:If the application can automatically roll over a certificate, set the new certificate to active by following these steps:

    1. Vuelva a la página Certificado de firma de SAML.Go back to the SAML Signing Certificate page.
    2. En la fila de certificado recién guardada, seleccione los puntos suspensivos ( ... ) y, a continuación, seleccione Activar el certificado.In the newly saved certificate row, select the ellipsis (...) and then select Make certificate active.
    3. Omita los dos pasos siguientes.Skip the next two steps.
  3. Si la aplicación solo puede controlar un certificado a la vez, elija un intervalo de tiempo de inactividad para realizar el paso siguiente.If the app can only handle one certificate at a time, pick a downtime interval to perform the next step. (En caso contrario, si la aplicación no elige automáticamente el nuevo certificado, pero puede controlar más de un certificado de firma, puede realizar el paso siguiente en cualquier momento).(Otherwise, if the application doesn’t automatically pick up the new certificate but can handle more than one signing certificate, you can perform the next step anytime.)

  4. Antes de que expire el certificado antiguo, siga las instrucciones de la sección anterior Cargar y activar un certificado.Before the old certificate expires, follow the instructions in the Upload and activate a certificate section earlier.

  5. Inicie sesión en la aplicación para asegurarse de que el certificado funciona correctamente.Sign in to the application to make sure that the certificate works correctly.