Compartir a través de

Inicio de sesión único (SSO) de Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) para aplicaciones en el entorno local con proxy de aplicación

  • Artículo

Proporcione el inicio de sesión único (SSO) a las aplicaciones locales protegidas con la autenticación del Lenguaje de Marcado para Confirmaciones de Seguridad (SAML). Proporcione acceso remoto a las aplicaciones de inicio de sesión único basadas en SAML a través del proxy de aplicación. Con el inicio de sesión único de SAML, Microsoft Entra se autentica en la aplicación mediante la cuenta de Microsoft Entra del usuario. Microsoft Entra ID comunica la información de inicio de sesión a la aplicación a través de un protocolo de conexión. También puede asignar los usuarios a roles de aplicación específicos según las reglas que defina en las notificaciones de SAML. Al habilitar el proxy de aplicación además del SSO de SAML, los usuarios tienen acceso externo a la aplicación y una experiencia fluida de SSO.

Las aplicaciones deben ser capaces de consumir los tokens SAML emitidos por Microsoft Entra ID. Esta configuración no es aplicable a las aplicaciones que usan un proveedor de identidades en el entorno local. Para estos escenarios, se recomienda revisar los recursos para migrar aplicaciones a Microsoft Entra ID.

El SSO de SAML con el proxy de aplicación también funciona con la característica de cifrado de tokens de SAML. Para más información, consulte Configuración del cifrado de tokens SAML de Microsoft Entra.

Los diagramas de protocolos describen la secuencia de inicio de sesión único para un flujo iniciado por el proveedor de servicios y un flujo iniciado por el proveedor de identidades. El proxy de aplicación funciona con el SSO de SAML mediante el almacenamiento en caché de la solicitud y la respuesta de SAML en la aplicación local y desde esta.

Diagram shows interactions of Application, application proxy, Client, and Microsoft Entra ID for S P-Initiated single sign-on.

Diagram shows interactions of Application, application proxy, Client, and Microsoft Entra ID for I d P-Initiated single sign-on.

Creación de una aplicación y configuración del inicio de sesión único de SAML

  1. En el centro de administración de Microsoft Entra, seleccione Microsoft Entra ID>Aplicaciones empresariales y seleccione Nueva aplicación.

  2. Escriba el nombre para mostrar de la nueva aplicación, seleccione Integrar cualquier otra aplicación que no se encuentre en la galería y, después, seleccione Crear.

  3. En la página Información general de la aplicación, seleccione Inicio de sesión único.

  4. Seleccione SAML como método de inicio de sesión único.

  5. En primer lugar, configure el inicio de sesión único de SAML para que funcione en la red corporativa, consulte la sección configuración básica de SAML de Configuración del inicio de sesión único basado en SAML para configurar la autenticación basada en SAML para la aplicación.

  6. Agregue al menos un usuario a la aplicación y asegúrese de que la cuenta de prueba tenga acceso a la aplicación. Mientras esté conectado a la red corporativa, utilice la cuenta de prueba para ver si tiene inicio de sesión único en la aplicación.

    Nota:

    Después de configurar el proxy de aplicación, volverá y actualizará la Dirección URL de respuesta de SAML.

Publicación de la aplicación en el entorno local con el proxy de aplicación

Para proporcionar SSO para aplicaciones locales, habilite el proxy de aplicación e instale un conector. Obtenga más información sobre cómo preparar el entorno local, instalar y registrar un conector y probarlo. Una vez configurado el conector, siga estos pasos para publicar la nueva aplicación con el proxy de aplicación.

  1. Con la aplicación abierta en el centro de administración de Microsoft Entra, seleccione Proxy de aplicación. Proporcione la dirección URL interna para la aplicación. Si utiliza un dominio personalizado, también debe cargar el certificado TLS/SSL para la aplicación.

    Nota:

    Como procedimiento recomendado, use dominios personalizados siempre que sea posible para obtener la mejor experiencia de usuario. Más información acerca del uso de dominios personalizados en el proxy de aplicación de Microsoft Entra.

  2. Seleccione Microsoft Entra ID como método de autenticación previa para la aplicación.

  3. Copie la dirección URL externa para la aplicación. Necesita esta dirección URL para completar la configuración de SAML.

  4. Mediante la cuenta de prueba, puede probar a abrir la aplicación con la Dirección URL externa para comprobar que el proxy de aplicación esté configurado correctamente. Si hay problemas, consulte Solución de problemas y mensajes de error del proxy de aplicación.

Actualización de la configuración de SAML

  1. Con la aplicación aún abierta en el centro de administración de Microsoft Entra, seleccione Inicio de sesión único.

  2. En la página Configurar el inicio de sesión único con SAML, vaya al encabezado Configuración básica de SAML, y seleccione el icono de edición (un lápiz). Asegúrese de que la Dirección URL externa que configuró en el proxy de aplicación rellene los campos Identificador, Dirección URL de respuesta y Dirección URL de cierre de sesión. Estas direcciones URL son necesarias para que el proxy de aplicación funcione correctamente.

  3. Edite la Dirección URL de respuesta configurada anteriormente para que el proxy de aplicación pueda acceder a su dominio a través de Internet. Por ejemplo, si la dirección URL externa es https://contosotravel-f128.msappproxy.net y la URL de respuesta original era https://contosotravel.com/acs, debe actualizar la URL de respuesta original a https://contosotravel-f128.msappproxy.net/acs.

    Enter basic SAML configuration data

  4. Seleccione la casilla situada junto a la URL de respuesta actualizada para marcarla como predeterminada.

    • Después de marcar la Dirección URL de respuesta como el valor predeterminado, también puede eliminar la Dirección URL de respuesta configurada anteriormente que usó la dirección URL interna.

    • Con un flujo iniciado por el proveedor de servicios, asegúrese de que la aplicación de back-end especifica el valor de URL de respuesta correcto o la URL del Servicio de consumidor de aserciones que se utilizará para recibir el token de autenticación.

    Nota:

    Si la aplicación de back-end espera que la URL de respuesta sea la dirección URL interna, debe usar dominios personalizados para tener direcciones URL internas y externas que coincidan o instalar la extensión de inicio de sesión segura de Mis aplicaciones en los dispositivos de los usuarios. Esta extensión le redireccionará automáticamente al servicio de proxy de aplicación adecuado. Para instalar la extensión, consulte Extensión de inicio de sesión seguro de mis aplicaciones.

Prueba de la aplicación

La aplicación está en funcionamiento. Para probar la aplicación:

  1. Abra un explorador y vaya a la dirección URL externa que creó al publicar la aplicación.
  2. Inicie sesión con la cuenta de prueba que asignó a la aplicación. Debe ser capaz de cargar la aplicación y tener el inicio de sesión único en la aplicación.

Pasos siguientes