Inicio de sesión único en aplicaciones de Azure Active DirectorySingle sign-on to applications in Azure Active Directory

El inicio de sesión único (SSO) agrega seguridad y comodidad cuando los usuarios inician sesión en aplicaciones en Azure Active Directory (Azure AD).Single sign-on (SSO) adds security and convenience when users sign-on to applications in Azure Active Directory (Azure AD). Este artículo describe los métodos del inicio de sesión único y le ayuda a elegir el más apropiado al configurar las aplicaciones.This article describes the single sign-on methods, and helps you choose the most appropriate SSO method when configuring your applications.

  • Con el inicio de sesión único, los usuarios inician sesión una vez con una cuenta para acceder a dispositivos unidos a dominio, recursos de la empresa, aplicaciones de software como servicio (SaaS) y aplicaciones web.With single sign-on, users sign in once with one account to access domain-joined devices, company resources, software as a service (SaaS) applications, and web applications. Después de iniciar sesión, el usuario puede iniciar aplicaciones desde el portal de Office 365 o el panel de acceso Mis aplicaciones de Azure AD.After signing in, the user can launch applications from the Office 365 portal or the Azure AD MyApps access panel. Los administradores pueden centralizar la administración de cuentas de usuario y automáticamente agregar o quitar el acceso de usuario a aplicaciones basadas en la pertenencia a grupos.Administrators can centralize user account management, and automatically add or remove user access to applications based on group membership.

  • Sin el inicio de sesión único, los usuarios deben recordar las contraseñas específicas de las aplicaciones e iniciar sesión en cada aplicación.Without single sign-on, users must remember application-specific passwords and sign in to each application. El personal de TI necesita crear y actualizar las cuentas de usuario para cada aplicación como, por ejemplo, Office 365, Box y Salesforce.IT staff needs to create and update user accounts for each application such as Office 365, Box, and Salesforce. Los usuarios tienen que recordar sus contraseñas, además de dedicar tiempo a iniciar sesión en cada aplicación.Users need to remember their passwords, plus spend the time to sign in to each application.

Elección de un método de inicio de sesión únicoChoosing a single sign-on method

Hay varias maneras de configurar una aplicación para el inicio de sesión único.There are several ways to configure an application for single sign-on. La elección de un método de inicio de sesión único depende de cómo esté configurada la aplicación para la autenticación.Choosing a single sign-on method depends on how the application is configured for authentication.

  • Las aplicaciones en la nube pueden usar los métodos OpenID Connect, OAuth, SAML, basado en contraseñas, vinculado o deshabilitado para realizar el inicio de sesión único.Cloud applications can use OpenID Connect, OAuth, SAML, password-based, linked, or disabled methods for single sign-on.
  • Las aplicaciones locales pueden usar métodos de inicio de sesión único basados en contraseñas, de autenticación integrada, basados en encabezados, vinculados o deshabilitados.On-premises applications can use password-based, Integrated Windows Authentication, header-based, linked, or disabled methods for single sign-on. Las opciones locales funcionan si las aplicaciones están configuradas para el proxy de aplicación.The on-premises choices work when applications are configured for Application Proxy.

Este diagrama de flujo le ayuda a decidir qué método de inicio de sesión único es el mejor en su caso.This flowchart helps you decide which single sign-on method is best for your situation.

Diagrama de flujo de decisiones sobre el método de inicio de sesión único

En la tabla siguiente se resumen los métodos de inicio de sesión únicos y los vínculos para obtener más información.The following table summarizes the single sign-on methods, and links to more details.

Método de inicio de sesión únicoSingle sign-on method Tipos de aplicaciónApplication types Cuándo se usaWhen to use
OpenID Connect y OAuthOpenID Connect and OAuth solo en la nubecloud only OpenID Connect y OAuth se usan cuando se desarrollan aplicaciones nuevas.Use OpenID Connect and OAuth when developing a new application. Este protocolo simplifica la configuración de la aplicación, tiene SDK fáciles de usar y permite que la aplicación use MS Graph.This protocol simplifies application configuration, has easy-to-use SDKs, and enables your application to use MS Graph.
SAMLSAML En la nube y localescloud and on-premises Elija SAML siempre que sea posible para las aplicaciones existentes que no utilizan OpenID Connect o OAuth.Choose SAML whenever possible for existing applications that do not use OpenID Connect or OAuth. SAML funciona con las aplicaciones realizan la autenticación mediante uno de los protocolos SAML.SAML works for applications that authenticate using one of the SAML protocols.
Basado en contraseñasPassword-based En la nube y localescloud and on-premises Elija el método basado en contraseña cuando la aplicación se autentique con nombre de usuario y contraseña.Choose password-based when the application authenticates with username and password. El inicio de sesión único basado en contraseña permite el almacenamiento seguro de contraseñas de las aplicaciones y la reproducción mediante una extensión de explorador web o aplicación móvil.Password-based single sign-on enables secure application password storage and replay using a web browser extension or mobile app. Este método usa el proceso de inicio de sesión existente proporcionado por la aplicación, pero permite que un administrador administre las contraseñas.This method uses the existing sign-in process provided by the application, but enables an administrator to manage the passwords.
VinculadoLinked En la nube y localescloud and on-premises Elija el inicio de sesión vinculado si la aplicación está configurada para el inicio de sesión único en otro servicio de proveedor de identidades.Choose linked sign-on when the application is configured for single sign-on in another identity provider service. Esta opción no agrega el inicio de sesión único a la aplicación.This option doesn't add single sign-on to the application. No obstante, es posible que ya se haya implementado el inicio de sesión único en la aplicación mediante otro servicio, como los Servicios de federación de Active Directory.However, the application might already have single sign-on implemented using another service such as Active Directory Federation Services.
DeshabilitadaDisabled En la nube y localescloud and on-premises Elija un inicio de sesión único deshabilitado si la aplicación no está lista para configurarse para el inicio de sesión único.Choose disabled single sign-on when the app isn't ready to be configured for single sign-on. Este modo es la opción predeterminada cuando se crea la aplicación.This mode is the default when you create the app.
Autenticación integrada de Windows (IWA)Integrated Windows Authentication (IWA) Solo en entornos localeson-premises only Elija el inicio de sesión único IWA para aplicaciones que usen la autenticación integrada de Windows (IWA) o aplicaciones compatibles con notificaciones.Choose IWA single sign-on for applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Para la autenticación integrada de Windows, los conectores del proxy de aplicación utilizan la delegación restringida de Kerberos (KCD) para autenticar a los usuarios en la aplicación.For IWA, the Application Proxy connectors use Kerberos Constrained Delegation (KCD) to authenticate users to the application.
Basado en encabezadosHeader-based Solo en entornos localeson-premises only Use el inicio de sesión único basado en encabezados si la aplicación usa encabezados para la autenticación.Use header-based single sign-on when the application uses headers for authentication. El inicio de sesión único basado en encabezados requiere PingAccess para Azure AD.Header-based single sign-on requires PingAccess for Azure AD. El proxy de aplicación usa Azure AD para autenticar al usuario y, a continuación, pasa el tráfico a través del servicio de conector.Application Proxy uses Azure AD to authenticate the user and then passes traffic through the connector service.

OpenID Connect y OAuthOpenID Connect and OAuth

Al desarrollar nuevas aplicaciones, use protocolos modernos como OpenID Connect y OAuth para lograr la mejor experiencia de inicio de sesión única para la aplicación en varias plataformas de dispositivo.When developing new applications, use modern protocols like OpenID Connect and OAuth to achieve the best single sign-on experience for your app across multiple device platforms. OAuth permite a los usuarios o administradores conceder consentimiento para recursos protegidos como Microsoft Graph.OAuth enables users or admins to grant consent for protected resources like Microsoft Graph. Se proporciona un SDK de fácil adopción para la aplicación y, además, la aplicación estará lista para usar Microsoft Graph.We provide easy to adopt SDKs for your app, and additionally, your app will be ready to use Microsoft Graph.

Para más información, consulte:For more information, see:

SSO de SAMLSAML SSO

Con el inicio de sesión único de SAML, Azure AD se autentica en la aplicación mediante el uso de la cuenta de Azure AD del usuario.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. Azure AD comunica la información de inicio de sesión a la aplicación a través de un protocolo de conexión.Azure AD communicates the sign-on information to the application through a connection protocol. Con el inicio de sesión único basado en SAML puede asignar usuarios a roles de aplicación específicos según las reglas que defina en las notificaciones SAML.With SAML-based single sign-on, you can map users to specific application roles based on rules you define in your SAML claims.

Elija el inicio de sesión único basado en SAML cuando la aplicación lo admita.Choose SAML-based single sign-on when the application supports it.

El inicio de sesión único basado en SAML es compatible con aplicaciones que usan cualquiera de estos protocolos:SAML-based single sign-on is supported for applications that use any of these protocols:

  • SAML 2.0SAML 2.0
  • El certificado del proveedor de identidades de WS-FederationWS-Federation

Para configurar una aplicación SaaS para el inicio de sesión único basado en SAML, consulte Configuración del inicio de sesión único basado en SAML.To configure a SaaS application for SAML-based single sign-on, see Configure SAML-based single sign-on. Además, muchas aplicaciones de software como servicio (SaaS) tienen un tutorial específico de la aplicación que le guía por la configuración del inicio de sesión único basado en SAML.Also, many Software as a Service (SaaS) applications have an application-specific tutorial that step you through the configuration for SAML-based single sign-on.

Para configurar una aplicación para WS-Federation, siga las mismas instrucciones que para configurar la aplicación para un inicio de sesión único basado en SAML, consulte Configuración del inicio de sesión único basado en SAML.To configure an application for WS-Federation, follow the same guidance to configure application for SAML-based single sign-on, see Configure SAML-based single sign-on. En el paso para configurar la aplicación para usar Azure AD, tendrá que reemplazar la dirección URL de inicio de sesión de Azure AD para el punto de conexión de WS-Federation https://login.microsoftonline.com/<tenant-ID>/wsfed.In the step to configure the application to use Azure AD, you will need to replace the Azure AD login URL for the WS-Federation end-point https://login.microsoftonline.com/<tenant-ID>/wsfed.

Para configurar una aplicación local para el inicio de sesión único basado en SAML, consulte Inicio de sesión único en SAML para aplicaciones locales con Application Proxy.To configure an on-premises application for SAML-based single sign-on, see SAML single-sign-on for on-premises applications with Application Proxy.

Para más información acerca del protocolo SAML, consulte Protocolo SAML de inicio de sesión único.For more information about the SAML protocol, see Single sign-on SAML protocol.

Inicio de sesión único basado en contraseñasPassword-based SSO

Con el inicio de sesión con contraseña, los usuarios inician sesión con nombre de usuario y contraseña la primera vez que acceden a ella.With password-based sign-on, users sign on to the application with a username and password the first time they access it. Después del primer inicio de sesión, Azure AD proporciona el nombre de usuario y la contraseña a la aplicación.After the first sign-on, Azure AD supplies the username and password to the application.

El inicio de sesión único basado en contraseñas usa el proceso de autenticación existente que proporciona la aplicación.Password-based single sign-on uses the existing authentication process provided by the application. Cuando se habilita el inicio de sesión único con contraseña para una aplicación, Azure AD recopila y almacena de forma segura los nombres de usuario y contraseñas de la aplicación.When you enable password single sign-on for an application, Azure AD collects and securely stores user names and passwords for the application. Las credenciales de usuario se almacenan en un estado cifrado en el directorio.User credentials are stored in an encrypted state in the directory.

Elija el inicio de sesión único basado en contraseñas si:Choose password-based single sign-on when:

  • Una aplicación no admite el protocolo de inicio de sesión único de SAML.An application doesn't support SAML single sign-on protocol.
  • Una aplicación se autentica con un nombre de usuario y una contraseña en lugar de con tokens de acceso y encabezados.An application authenticates with a username and password instead of access tokens and headers.

Se admite el inicio de sesión único basado en contraseñas para cualquier aplicación basada en la nube cuya página de inicio de sesión esté basada en HTML.Password-based single sign-on is supported for any cloud-based application that has an HTML-based sign-in page. Puede utilizar cualquiera de los siguientes exploradores:The user can use any of the following browsers:

  • Internet Explorer 11 en Windows 7 o posteriorInternet Explorer 11 on Windows 7 or later

    Nota

    Internet Explorer se encuentra en un periodo de compatibilidad limitada y ya no recibe nuevas actualizaciones de software.Internet Explorer is on limited support and no longer receives new software updates. Microsoft Edge es el explorador recomendado.Microsoft Edge is the recommended browser.

  • Microsoft Edge en Windows 10 Anniversary Edition o versión posteriorMicrosoft Edge on Windows 10 Anniversary Edition or later

  • Microsoft Edge para iOS y AndroidMicrosoft Edge for iOS and Android

  • Explorador administrado con IntuneIntune Managed Browser

  • Chrome en Windows 7 o posterior, y en Mac OS X o posteriorChrome on Windows 7 or later, and on MacOS X or later

  • Firefox 26.0 o posterior en Windows XP SP2 o posterior, y en Mac OS X 10.6 o posteriorFirefox 26.0 or later on Windows XP SP2 or later, and on Mac OS X 10.6 or later

Para configurar una aplicación en la nube para el inicio de sesión único basado en contraseñas, consulte Configuración del inicio de sesión único con contraseña.To configure an cloud application for password-based single sign-on, see Configure password single sign-on.

Para configurar una aplicación local para el inicio de sesión único a través del proxy de aplicación, consulte Almacén de contraseñas para el inicio de sesión único con el proxy de aplicaciónTo configure an on-premises application for single sign-on through Application Proxy, see Password vaulting for single sign-on with Application Proxy

Funcionamiento de la autenticación en el inicio de sesión único mediante contraseñaHow authentication works for password-based SSO

Para autenticar un usuario en una aplicación, Azure AD recupera sus credenciales del directorio y las especifica en la página de inicio de sesión de la aplicación.To authenticate a user to an application, Azure AD retrieves the user's credentials from the directory and enters them into the application's sign-on page. Azure AD pasa de forma segura las credenciales del usuario a través de una extensión de explorador web o una aplicación móvil.Azure AD securely passes the user credentials via a web browser extension or mobile app. Este proceso permite que un administrador administre las credenciales de usuario y no requiere que los usuarios recuerden sus contraseñas.This process enables an administrator to manage user credentials, and doesn't require users to remember their password.

Importante

Durante el proceso de inicio de sesión automático el usuario no ve las credenciales.The credentials are obfuscated from the user during the automated sign-on process. Sin embargo, las credenciales son detectables mediante el uso de herramientas de depuración web.However, the credentials are discoverable by using web-debugging tools. Los usuarios y administradores deben seguir las mismas directivas de seguridad como si el usuario especificara directamente las credenciales.Users and administrators need to follow the same security policies as if credentials were entered directly by the user.

Administración de credenciales para el inicio de sesión único basado en contraseñasManaging credentials for password-based SSO

El administrador de Azure AD o los usuarios pueden administrar las contraseñas de cada aplicación.Passwords for each application can either be managed by the Azure AD administrator or by the users.

Si el administrador de Azure AD administra las credenciales:When the Azure AD administrator manages the credentials:

  • El usuario no necesita restablecer ni recordar el nombre de usuario y la contraseña.The user doesn't need to reset or remember the user name and password. El usuario puede acceder a la aplicación haciendo clic en ella en su panel de acceso o a través de un vínculo proporcionado.The user can access the application by clicking on it in their access panel or via a provided link.
  • El administrador puede realizar tareas de administración de las credenciales.The administrator can do management tasks on the credentials. Por ejemplo, el administrador puede actualizar el acceso a las aplicaciones según la pertenencia a grupos de usuarios y el estado de los empleados.For example, the administrator can update application access according to user group memberships and employee status.
  • El administrador puede usar credenciales administrativas para proporcionar acceso a las aplicaciones que comparten muchos usuarios.The administrator can use administrative credentials to provide access to applications shared among many users. Por ejemplo, el administrador puede permitir que todos los usuarios que pueden acceder a una aplicación tengan acceso a una red social o aplicación que comparta documentos.For example, the administrator can allow everyone who can access an application to have access to a social media or document sharing application.

Si el usuario final administra las credenciales:When the end user manages the credentials:

  • Los usuarios pueden administrar sus contraseñas, actualizándolas o eliminándolas según sea necesario.Users can manage their passwords by updating or deleting them as needed.
  • Los administradores pueden seguir estableciendo nuevas credenciales para la aplicación.Administrators are still able to set new credentials for the application.

Inicio de sesión vinculadoLinked sign-on

El inicio de sesión único vinculado permite a Azure AD proporcionar inicio de sesión único a una aplicación que ya está configurada para el inicio de sesión único en otro servicio.Linked sign-on enables Azure AD to provide single sign-on to an application that is already configured for single sign-on in another service. La aplicación vinculada puede aparecer a los usuarios finales en el portal de Office 365 o el portal Mis aplicaciones de Azure AD.The linked application can appear to end users in the Office 365 portal or Azure AD MyApps portal. Por ejemplo, un usuario puede iniciar una aplicación que está configurada para el inicio de sesión único en Servicios de federación de Active Directory (AD FS) 2.0 desde el portal de Office 365.For example, a user can launch an application that is configured for single sign-on in Active Directory Federation Services 2.0 (AD FS) from the Office 365 portal. También hay informes adicionales disponibles para aplicaciones vinculadas que se inician desde el portal de Office 365 o el portal Mis aplicaciones de Azure AD.Additional reporting is also available for linked applications that are launched from the Office 365 portal or the Azure AD MyApps portal. Para configurar una aplicación para el inicio de sesión vinculado, consulte Configuración del inicio de sesión vinculado.To configure an application for linked sign-on, see Configure linked sign-on.

Inicio de sesión vinculado para la migración de aplicacionesLinked sign-on for application migration

El inicio de sesión vinculado puede proporcionar una experiencia de usuario coherente durante la migración de aplicaciones durante un período de tiempo.Linked sign-on can provide a consistent user experience while you migrate applications over a period of time. Si va a migrar aplicaciones a Azure Active Directory, puede usar un inicio de sesión vinculado para publicar rápidamente los vínculos a todas las aplicaciones que pretende migrar.If you're migrating applications to Azure Active Directory, you can use linked sign-on to quickly publish links to all the applications you intend to migrate. Los usuarios pueden encontrar todos los vínculos en el portal Mis aplicaciones o en el iniciador de aplicaciones de Office 365.Users can find all the links in the MyApps portal or the Office 365 application launcher. Los usuarios no saben que están accediendo a una aplicación vinculada o una aplicación migrada.Users won't know they're accessing a linked application or a migrated application.

Una vez que el usuario se ha autenticado con una aplicación vinculada, se debe crear un registro de cuenta antes de proporcionar al usuario final el acceso de inicio de sesión único.Once a user has authenticated with a linked application, an account record needs to be created before the end user is provided single sign-on access. El aprovisionamiento de este registro de cuenta puede producirse automáticamente o bien lo puede realizar manualmente un administrador.Provisioning this account record can either occur automatically, or it can occur manually by an administrator.

Inicio de sesión único deshabilitadoDisabled SSO

El modo deshabilitado significa que el inicio de sesión único no se usa para la aplicación.Disabled mode means single sign-on isn't used for the application. Si el inicio de sesión único está deshabilitado, es posible que los usuarios tengan que autenticarse dos veces.When single sign-on is disabled, users might need to authenticate twice. Primero, los usuarios se autentican en Azure AD y, posteriormente, inician sesión en la aplicación.First, users authenticate to Azure AD, and then they sign in to the application.

Use el modo de inicio de sesión único deshabilitado en estos casos:Use disabled single sign-on mode:

  • Si no está preparado para integrar esta aplicación con el inicio de sesión único de Azure AD, oIf you're not ready to integrate this application with Azure AD single sign-on, or
  • Si va a probar otros aspectos de la aplicación, oIf you're testing other aspects of the application, or
  • Como una capa de seguridad en una aplicación local que no requiere que los usuarios se autentiquen.As a layer of security to an on-premises application that doesn't require users to authenticate. Con el modo deshabilitado, el usuario debe autenticarse.With disabled, the user needs to authenticate.

Tenga en cuenta que si ha configurado la aplicación para el inicio de sesión único basado en SAML iniciado por SP y cambia el modo SSO para deshabilitarlo, no impedirá que los usuarios firmen a la aplicación fuera del portal Mis aplicaciones.Note that if you have configured the application for SP-initiated SAML based single sign-on and you change the SSO mode to disable, it won't stop users from signing to the application outside the MyApps portal. Para ello, debe deshabilitar la capacidad de inicio de sesión de los usuarios.To achieve this, you need to disable the ability for users to sign-in

Inicio de sesión único con autenticación integrada de Windows (IWA)Integrated Windows Authentication (IWA) SSO

El proxy de la aplicación proporciona el inicio de sesión único (SSO) a las aplicaciones que usan la autenticación integrada de Windows (IWA), o bien a las aplicaciones compatibles con notificaciones.Application Proxy provides single sign-on (SSO) to applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Si la aplicación utiliza IWA, el proxy de la aplicación se autentica en la aplicación mediante la delegación restringida de Kerberos (KCD).If your application uses IWA, Application Proxy authenticates to the application by using Kerberos Constrained Delegation (KCD). Para una aplicación compatible con notificaciones que confía en Azure Active Directory, el inicio de sesión único funciona porque el usuario ya se ha autenticado con Azure AD.For a claims-aware application that trusts Azure Active Directory, single sign-on works because the user was already authenticated by using Azure AD.

Elija el modo de inicio de sesión único de autenticación integrada para proporcionar inicio de sesión único a una aplicación local que se autentica con IWA.Choose Integrated Windows Authentication single sign-on mode to provide single sign-on to an on-premises app that authenticates with IWA.

Para configurar una aplicación local para IWA, consulte Delegación restringida de Kerberos para el inicio de sesión único para las aplicaciones con Proxy de aplicación.To configure an on-premises app for IWA, see Kerberos Constrained Delegation for single sign-on to your applications with Application Proxy.

Cómo funciona el inicio de sesión único con KCDHow single sign-on with KCD works

En este diagrama se explica el flujo cuando un usuario accede a una aplicación local que usa IWA.This diagram explains the flow when a user accesses an on-premises application that uses IWA.

Diagrama de flujos de autenticación de Microsoft Azure AD

  1. El usuario escribe la dirección URL para tener acceso a la aplicación local mediante Application Proxy.The user enters the URL to access the on premises application through Application Proxy.
  2. Proxy de aplicación redirige la solicitud a los servicios de autenticación de Azure AD para realizar la autenticación previa.Application Proxy redirects the request to Azure AD authentication services to preauthenticate. En este momento, Azure AD aplica cualquier autenticación correspondiente, así como directivas de autorización, como la autenticación multifactor.At this point, Azure AD applies any applicable authentication and authorization policies, such as multifactor authentication. Si se valida el usuario, Azure AD crea un token y lo envía al usuario.If the user is validated, Azure AD creates a token and sends it to the user.
  3. El usuario pasa el token a Proxy de aplicación.The user passes the token to Application Proxy.
  4. El proxy de aplicación valida el token y recupera el nombre principal de usuario (UPN) del token.Application Proxy validates the token and retrieves the User Principal Name (UPN) from the token. A continuación, envía la solicitud, el nombre principal de usuario y el nombre de entidad de seguridad de servicio (SPN) al conector mediante un canal seguro con autenticación dual.It then sends the request, the UPN, and the Service Principal Name (SPN) to the Connector through a dually authenticated secure channel.
  5. El conector usa la negociación de la delegación restringida de Kerberos (KCD) con el AD local, suplantando al usuario para obtener un token de Kerberos para la aplicación.The connector uses Kerberos Constrained Delegation (KCD) negotiation with the on premises AD, impersonating the user to get a Kerberos token to the application.
  6. Active Directory envía el token de Kerberos para la aplicación al conector.Active Directory sends the Kerberos token for the application to the connector.
  7. El conector envía la solicitud original al servidor de aplicaciones, con el token de Kerberos que recibió de AD.The connector sends the original request to the application server, using the Kerberos token it received from AD.
  8. La aplicación envía la respuesta al conector y, después, se devuelve al servicio del proxy de aplicación y, por último, al usuario.The application sends the response to the connector, which is then returned to the Application Proxy service and finally to the user.

Inicio de sesión único basado en encabezadosHeader-based SSO

El inicio de sesión único basado en encabezados funciona con aquellas aplicaciones que usan encabezados para la autenticación.Header-based single sign-on works for applications that use HTTP headers for authentication. Este método de inicio de sesión usa un servicio de autenticación de terceros denominado PingAccess.This sign-on method uses a third-party authentication service called PingAccess. Un usuario solo necesita autenticarse en Azure AD.A user only needs to authenticate to Azure AD.

Elija el inicio de sesión único basado en encabezados cuando el proxy de aplicación y PingAccess estén configurados para la aplicación.Choose header-based single sign-on when Application Proxy and PingAccess are configured for the application.

Para configurar la autenticación basada en encabezados, consulte Autenticación basada en el encabezado para el inicio de sesión único con el proxy de aplicación.To configure header-based authentication, see Header-based authentication for single sign-on with Application Proxy.

¿Qué es PingAccess para Azure AD?What is PingAccess for Azure AD?

Mediante el uso de PingAccess para Azure AD los usuarios pueden acceder y realizar un inicio de sesión único en las aplicaciones que usan encabezados para la autenticación.Using PingAccess for Azure AD, users can access and single sign-on to applications that use headers for authentication. El proxy de aplicación trata estas aplicaciones como a las demás, usa Azure AD para autenticar el acceso y, después, pasa el tráfico a través del servicio de conector.Application Proxy treats these applications like any other, using Azure AD to authenticate access and then passing traffic through the connector service. Después de que se produce la autenticación, el servicio PingAccess traslada el token de acceso de Azure AD a un formato de encabezado que se envía a la aplicación.After authentication occurs, the PingAccess service translates the Azure AD access token into a header format that is sent to the application.

Los usuarios no notarán ninguna diferencia al iniciar sesión para usar las aplicaciones corporativas.Your users won’t notice anything different when they sign in to use your corporate applications. Podrán seguir trabajando desde cualquier lugar y en cualquier dispositivo.They can still work from anywhere on any device. Los conectores del proxy de aplicación dirigen el tráfico remoto a todas las aplicaciones y seguirán equilibrando la carga de forma automática.The Application Proxy connectors direct remote traffic to all applications, and they’ll continue to load balance automatically.

¿Cómo se puede obtener una licencia de PingAccess?How do I get a license for PingAccess?

Dado que este escenario se ofrece a través de una asociación entre Azure AD y PingAccess, se necesitarán licencias de ambos servicios.Since this scenario is offered through a partnership between Azure AD and PingAccess, you need licenses for both services. Sin embargo, las suscripciones Azure AD Premium incluyen una licencia básica de PingAccess que abarca hasta 20 aplicaciones.However, Azure AD Premium subscriptions include a basic PingAccess license that covers up to 20 applications. Si tiene que publicar más de 20 aplicaciones basadas en encabezados, puede adquirir una licencia adicional de PingAccess.If you need to publish more than 20 header-based applications, you can acquire an additional license from PingAccess.

Para obtener más información, consulte Ediciones de Azure Active Directory.For more information, see Azure Active Directory editions.