Identidad federada para el entorno de prueba de Microsoft 365Federated identity for your Microsoft 365 test environment

Esta Guía del entorno de pruebas se puede usar tanto para entornos de prueba de Microsoft 365 para empresas como de Office 365 Enterprise.This Test Lab Guide can be used for both Microsoft 365 for enterprise and Office 365 Enterprise test environments.

Microsoft 365 admite la identidad federada. Esto significa que, en lugar de realizar la validación de las credenciales él mismo, Microsoft 365 dirige al usuario que se conecta a un servidor de autenticación federada en el que Microsoft 365 confía. Si las credenciales del usuario son correctas, el servidor de autenticación federada emite un token de seguridad que el cliente envía luego a Microsoft 365 como prueba de autenticación. La identidad federada permite la descarga y el escalado vertical de autenticación para una suscripción de Microsoft 365 y escenarios avanzados de seguridad y autenticación.Microsoft 365 supports federated identity. This means that instead of performing the validation of credentials itself, Microsoft 365 refers the connecting user to a federated authentication server that Microsoft 365 trusts. If the user's credentials are correct, the federated authentication server issues a security token that the client then sends to Microsoft 365 as proof of authentication. Federated identity allows for the offloading and scaling up of authentication for a Microsoft 365 subscription and advanced authentication and security scenarios.

En este artículo se describe cómo configurar la autenticación federada para su entorno de prueba de Microsoft 365, lo que da como resultado lo siguiente:This article describes how to configure federated authentication for your Microsoft 365 test environment, resulting in the following:

La autenticación federada para el entorno de pruebas de Microsoft 365

Esta configuración se compone de:This configuration consists of:

  • Una suscripción de prueba o producción de Microsoft 365 E5.A Microsoft 365 E5 trial or production subscription.

  • Una intranet de organización simplificada conectada a Internet, que consta de cinco máquinas virtuales en una subred de una red virtual de Azure (DC1, APP1, CLIENT1, ADFS1 y PROXY1).A simplified organization intranet connected to the internet, consisting of five virtual machines on a subnet of an Azure virtual network (DC1, APP1, CLIENT1, ADFS1, and PROXY1). Azure AD Connect se ejecuta en APP1 para sincronizar la lista de cuentas del dominio de Servicios de dominio de Active Directory con Microsoft 365.Azure AD Connect runs on APP1 to synchronize the list of accounts in the Active Directory Domain Services domain to Microsoft 365. PROXY1 recibe las solicitudes de autenticación entrantes.PROXY1 receives the incoming authentication requests. ADFS1 valida las credenciales con DC1 y emite tokens de seguridad.ADFS1 validates credentials with DC1 and issues security tokens.

La configuración de este entorno de prueba consta de cinco fases:Setting up this test environment involves five phases:

Nota

No puede configurar este entorno de prueba con una suscripción de prueba de Azure.You can't configure this test environment with an Azure Trial subscription.

Fase 1: configurar la sincronización de hash de contraseñas para el entorno de prueba de Microsoft 365Phase 1: Configure password hash synchronization for your Microsoft 365 test environment

Siga las instrucciones de sincronización de hash de contraseña para Microsoft 365.Follow the instructions in password hash synchronization for Microsoft 365. La configuración resultante tiene este aspecto:Your resulting configuration looks like this:

La empresa simulada con el entorno de prueba con la sincronización de hash de contraseñas

Esta configuración se compone de:This configuration consists of:

  • Suscripciones de prueba o de pago de Microsoft 365 E5.A Microsoft 365 E5 trial or paid subscriptions.
  • Una intranet de organización simplificada conectada a Internet, que consta de las máquinas virtuales DC1, APP1 y CLIENT1 en una subred de una red virtual de Azure.A simplified organization intranet connected to the internet, consisting of the DC1, APP1, and CLIENT1 virtual machines on a subnet of an Azure virtual network. Azure AD Connect se ejecuta en APP1 para sincronizar periódicamente el dominio TESTLAB de Active Directory Domain Services (AD DS) con el inquilino de Azure AD de las suscripciones de Microsoft 365.Azure AD Connect runs on APP1 to synchronize the TESTLAB Active Directory Domain Services (AD DS) domain to the Azure AD tenant of your Microsoft 365 subscriptions periodically.

Fase 2: Crear el servidor de AD FSPhase 2: Create the AD FS server

Un servidor de AD FS proporciona autenticación federada entre Microsoft 365 y las cuentas del dominio corp.contoso.com hospedado en DC1.An AD FS server provides federated authentication between Microsoft 365 and the accounts in the corp.contoso.com domain hosted on DC1.

Para crear una máquina virtual de Azure para ADFS1, indique el nombre de la suscripción y del grupo de recursos y una ubicación de Azure para la configuración básica. Después, ejecute estos comandos en el símbolo del sistema de Azure PowerShell en el equipo local.To create an Azure virtual machine for ADFS1, fill in the name of your subscription and the resource group and Azure location for your Base Configuration, and then run these commands at the Azure PowerShell command prompt on your local computer.

$subscrName="<your Azure subscription name>"
$rgName="<the resource group name of your Base Configuration>"
$vnetName="TlgBaseConfig-01-VNET"
# NOTE: If you built your simulated intranet with Azure PowerShell, comment the previous line with a "#" and remove the "#" from the next line.
#$vnetName="TestLab"
Connect-AzAccount
Select-AzSubscription -SubscriptionName $subscrName
$staticIP="10.0.0.100"
$locName=(Get-AzResourceGroup -Name $rgName).Location
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$pip = New-AzPublicIpAddress -Name ADFS1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$nic = New-AzNetworkInterface -Name ADFS1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName ADFS1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for ADFS1."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName ADFS1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name "ADFS-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "Standard_LRS"
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Después, vaya a Azure Portal para conectarse a la máquina virtual de ADFS1 con el nombre y contraseña de la cuenta de administrador local de ADFS1 y abra un símbolo del sistema de Windows PowerShell.Next, use the Azure portal to connect to the ADFS1 virtual machine using the ADFS1 local administrator account name and password, and then open a Windows PowerShell command prompt.

Para comprobar la comunicación de red y la resolución de nombres entre ADFS1 y DC1, ejecute el comando ping dc1.corp.contoso.com y compruebe que hay cuatro respuestas.To check name resolution and network communication between ADFS1 and DC1, run the ping dc1.corp.contoso.com command and check that there are four replies.

A continuación, una la máquina virtual de ADFS1 al dominio CORP con estos comandos en un símbolo del sistema de Windows PowerShell en ADFS1.Next, join the ADFS1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on ADFS1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

La configuración resultante tiene este aspecto:Your resulting configuration looks like this:

Servidor de AD FS agregado a DirSync para el entorno de prueba de Microsoft 365

Fase 3: Crear el servidor proxy webPhase 3: Create the web proxy server

PROXY1 permite crear conexiones proxy de mensajes de autenticación entre usuarios que intentan autenticarse y ADFS1.PROXY1 provides proxying of authentication messages between users trying to authenticate and ADFS1.

Para crear una máquina virtual de Azure para PROXY1, indique el nombre de su grupo de recursos y una ubicación de Azure y, después, ejecute estos comandos en el símbolo del sistema de Azure PowerShell en el equipo local.To create an Azure virtual machine for PROXY1, fill in the name of your resource group and Azure location, and then run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
$vnetName="TlgBaseConfig-01-VNET"
# NOTE: If you built your simulated intranet with Azure PowerShell, comment the previous line with a "#" and remove the "#" from the next line.
#$vnetName="TestLab"
$staticIP="10.0.0.101"
$locName=(Get-AzResourceGroup -Name $rgName).Location
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$pip = New-AzPublicIpAddress -Name PROXY1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Static
$nic = New-AzNetworkInterface -Name PROXY1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName PROXY1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for PROXY1."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName PROXY1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name "PROXY1-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "Standard_LRS"
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Nota

PROXY1 se asigna como una dirección IP pública estática porque creará un registro DNS público que la señale y no debe cambiarse cuando reinicie la máquina virtual de PROXY1.PROXY1 is assigned a static public IP address because you will create a public DNS record that points to it and it must not change when you restart the PROXY1 virtual machine.

A continuación, agregue una regla al grupo de seguridad de red para la subred corpnet para permitir el tráfico entrante no solicitado desde Internet a la dirección IP privada de PROXY1 y al puerto TCP 443.Next, add a rule to the network security group for the CorpNet subnet to allow unsolicited inbound traffic from the internet to PROXY1's private IP address and TCP port 443. Ejecute estos comandos desde el símbolo del sistema de Azure PowerShell en su equipo local.Run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
Get-AzNetworkSecurityGroup -Name CorpNet -ResourceGroupName $rgName | Add-AzNetworkSecurityRuleConfig -Name "HTTPS-to-PROXY1" -Description "Allow TCP 443 to PROXY1" -Access "Allow" -Protocol "Tcp" -Direction "Inbound" -Priority 101 -SourceAddressPrefix "Internet" -SourcePortRange "*" -DestinationAddressPrefix "10.0.0.101" -DestinationPortRange "443" | Set-AzNetworkSecurityGroup

Después, use Azure Portal para conectarse a la máquina virtual de PROXY1 con el nombre y contraseña de la cuenta de administrador local de PROXY1 y luego abra un símbolo del sistema de Windows PowerShell en PROXY1.Next, use the Azure portal to connect to the PROXY1 virtual machine using the PROXY1 local administrator account name and password, and then open a Windows PowerShell command prompt on PROXY1.

Para comprobar la comunicación de red y la resolución de nombres entre PROXY1 y DC1, ejecute el comando ping dc1.corp.contoso.com y compruebe que hay cuatro respuestas.To check name resolution and network communication between PROXY1 and DC1, run the ping dc1.corp.contoso.com command and check that there are four replies.

A continuación, una la máquina virtual de PROXY1 al dominio CORP con estos comandos en un símbolo del sistema de Windows PowerShell en PROXY1.Next, join the PROXY1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on PROXY1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

Muestra la dirección IP pública de PROXY1 con estos comandos de Azure PowerShell en el equipo local.Display the public IP address of PROXY1 with these Azure PowerShell commands on your local computer.

Write-Host (Get-AzPublicIpaddress -Name "PROXY1-PIP" -ResourceGroup $rgName).IPAddress

Después, trabaje con su proveedor de DNS público y cree un nuevo registro DNS A público para fs.testlab.<your DNS domain name> se resuelva en la dirección IP mostrada mediante el comando Write-Host. En lo sucesivo, se hace referencia a fs.testlab.<your DNS domain name> como el FQDN del servicio de federación.Next, work with your public DNS provider and create a new public DNS A record for fs.testlab.<your DNS domain name> that resolves to the IP address displayed by the Write-Host command. The fs.testlab.<your DNS domain name> is hereafter referred to as the federation service FQDN.

Después, use Azure Portal para conectarse a la máquina virtual de DC1 con las credenciales de CORP\User1 y ejecute los siguientes comandos en un símbolo del sistema de Windows PowerShell con nivel de administrador:Next, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then run the following commands at an administrator-level Windows PowerShell command prompt:

Add-DnsServerPrimaryZone -Name corp.contoso.com -ZoneFile corp.contoso.com.dns
Add-DnsServerResourceRecordA -Name "fs" -ZoneName corp.contoso.com -AllowUpdateAny -IPv4Address "10.0.0.100" -TimeToLive 01:00:00

Estos comandos crean un registro A de DNS interno para que las máquinas virtuales de la red virtual de Azure puedan resolver el FQDN del servicio de federación interno en la dirección IP privada de ADFS1.These commands create an internal DNS A record so that virtual machines on the Azure virtual network can resolve the internal federation service FQDN to ADFS1's private IP address.

La configuración resultante tiene este aspecto:Your resulting configuration looks like this:

El servidor proxy de la aplicación web agregado a DirSync para el entorno de prueba de Microsoft 365

Fase 4: Crear un certificado autofirmado y configurar ADFS1 y PROXY1Phase 4: Create a self-signed certificate and configure ADFS1 and PROXY1

En esta fase, crea un certificado digital autofirmado para su FQDN del Servicio de federación y configura ADFS1 y PROXY1 como una granja de servidores de AD FS.In this phase, you create a self-signed digital certificate for your federation service FQDN and configure ADFS1 and PROXY1 as an AD FS farm.

En primer lugar, use Azure Portal para conectarse a la máquina virtual de DC1 con las credenciales de CORP\User1 y luego abra un símbolo del sistema de Windows PowerShell con nivel de administrador. First, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then open an administrator-level Windows PowerShell command prompt.

A continuación, cree una cuenta de servicio de AD FS con este comando en el Windows PowerShell de comandos de DC1:Next, create an AD FS service account with this command at the Windows PowerShell command prompt on DC1:

New-ADUser -SamAccountName ADFS-Service -AccountPassword (read-host "Set user password" -assecurestring) -name "ADFS-Service" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false

Tenga en cuenta que este comando le pedirá que proporcione la contraseña de la cuenta.Note that this command prompts you to supply the account password. Elija una contraseña segura y grabe en una ubicación segura.Choose a strong password and record it in a secured location. La necesitará para esta fase y para la fase 5.You will need it for this phase and for Phase 5.

Use Azure Portal para conectarse a la máquina virtual de ADFS1 con las credenciales de CORP\User1. Abra un símbolo del sistema de Windows PowerShell con nivel de administrador en ADFS1, indique el FQDN del Servicio de federación y luego ejecute estos comandos para crear un certificado autofirmado:Use the Azure portal to connect to the ADFS1 virtual machine using the CORP\User1 credentials. Open an administrator-level Windows PowerShell command prompt on ADFS1, fill in your federation service FQDN, and then run these commands to create a self-signed certificate:

$fedServiceFQDN="<federation service FQDN>"
New-SelfSignedCertificate -DnsName $fedServiceFQDN -CertStoreLocation "cert:\LocalMachine\My"
New-Item -path c:\Certs -type directory
New-SmbShare -name Certs -path c:\Certs -changeaccess CORP\User1

Después, use estos pasos para guardar el nuevo certificado autofirmado como archivo.Next, use these steps to save the new self-signed certificate as a file.

  1. Seleccione Inicio, escriba mmc.exe y, a continuación, presione ENTRAR.Select Start, enter mmc.exe, and then press Enter.

  2. Seleccione Agregar > o quitar complemento de archivo.Select File > Add/Remove Snap-in.

  3. En Agregar o quitar complementos, haga doble clic en Certificados en la lista de complementos disponibles, seleccione Cuenta de equipo y, a continuación, seleccione Siguiente.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, select Computer account, and then select Next.

  4. En Seleccionar equipo, seleccione Finalizar y, a continuación, seleccione Aceptar.In Select Computer, select Finish, and then select OK.

  5. En el panel de árbol, abra Certificados (equipo local) > Personal > Certificados.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Seleccione y mantenga presionado (o haga clic con el botón secundario) el certificado con el FQDN del servicio de federación, seleccione Todas las tareas y, a continuación, seleccione Exportar.Select and hold (or right-click) the certificate with your federation service FQDN, select All tasks, and then select Export.

  7. En la página principal, seleccione Siguiente.On the Welcome page, select Next.

  8. En la página Exportar clave privada, seleccione y, a continuación, seleccione Siguiente.On the Export Private Key page, select Yes, and then select Next.

  9. En la página Exportar formato de archivo, seleccione Exportar todas las propiedades extendidas y, a continuación, seleccione Siguiente.On the Export File Format page, select Export all extended properties, and then select Next.

  10. En la página Seguridad, seleccione Contraseña y escriba una contraseña en Contraseña y Confirmar contraseña.On the Security page, select Password and enter a password in Password and Confirm password.

  11. En la página Archivo para exportar, seleccione Examinar.On the File to Export page, select Browse.

  12. Vaya a la carpeta C: \ Certs, escriba SSL en Nombre de archivo y, a continuación, seleccione Guardar.Browse to the C:\Certs folder, enter SSL in File name, and then select Save.

  13. En la página Archivo para exportar, seleccione Siguiente.On the File to Export page, select Next.

  14. En la página Finalización del Asistente para exportación de certificados, seleccione Finalizar.On the Completing the Certificate Export Wizard page, select Finish. Cuando se le solicite, seleccione Aceptar.When prompted, select OK.

Después, instale el servicio de AD FS con este comando en el símbolo del sistema de Windows PowerShell en ADFS1:Next, install the AD FS service with this command at the Windows PowerShell command prompt on ADFS1:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Espere a que termine la instalación.Wait for the installation to complete.

Después, configure el servicio de AD FS con estos pasos:Next, configure the AD FS service with these steps:

  1. Seleccione Inicio y, a continuación, seleccione el icono administrador del servidor.Select Start, and then select the Server Manager icon.

  2. En el panel de árbol del Administrador del servidor, seleccione AD FS.In the tree pane of Server Manager, select AD FS.

  3. En la barra de herramientas de la parte superior, seleccione el símbolo de precaución naranja y, a continuación, seleccione Configurar el servicio de federación en este servidor.In the tool bar at the top, select the orange caution symbol, and then select Configure the federation service on this server.

  4. En la página principal del Asistente para configuración de servicios de federación de Active Directory, seleccione Siguiente.On the Welcome page of the Active Directory Federation Services Configuration Wizard, select Next.

  5. En la página Conectarse a AD DS, seleccione Siguiente.On the Connect to AD DS page, select Next.

  6. En la página Especificar propiedades del servicio:On the Specify Service Properties page:

  • Para certificado SSL, seleccione la flecha abajo y, a continuación, seleccione el certificado con el nombre del FQDN del servicio de federación.For SSL Certificate, select the down arrow, and then select the certificate with the name of your federation service FQDN.

  • En Nombre para mostrar del servicio de federación, escriba el nombre de la organización ficticia.In Federation Service Display Name, enter the name of your fictional organization.

  • Seleccione Siguiente.Select Next.

  1. En la página Especificar cuenta de servicio, seleccione Seleccionar nombre de cuenta.On the Specify Service Account page, select Select for Account name.

  2. En Seleccionar cuenta de usuario o servicio, escriba ADFS-Service, seleccione Comprobar nombres y, a continuación, seleccione Aceptar.In Select User or Service Account, enter ADFS-Service, select Check Names, and then select OK.

  3. En Contraseña de la cuenta, escriba la contraseña de la cuenta ADFS-Service y, a continuación, seleccione Siguiente.In Account Password, enter the password for the ADFS-Service account, and then select Next.

  4. En la página Especificar base de datos de configuración, seleccione Siguiente.On the Specify Configuration Database page, select Next.

  5. En la página Opciones de revisión, seleccione Siguiente.On the Review Options page, select Next.

  6. En la página Comprobaciones de requisitos previos, seleccione Configurar.On the Pre-requisite Checks page, select Configure.

  7. En la página Resultados, seleccione Cerrar.On the Results page, select Close.

  8. Seleccione Inicio, seleccione el icono de energía, Reiniciar y, a continuación, seleccione Continuar.Select Start, select the power icon, select Restart, and then select Continue.

Desde Azure Portal, conéctese a PROXY1 con las credenciales de la cuenta CORP\User1.From the Azure portal, connect to PROXY1 with the CORP\User1 account credentials.

Después, siga estos pasos para instalar el certificado autofirmado en PROXY1 y APP1.Next, use these steps to install the self-signed certificate on both PROXY1 and APP1.

  1. Seleccione Inicio, escriba mmc.exe y, a continuación, presione ENTRAR.Select Start, enter mmc.exe, and then press Enter.

  2. Seleccione Archivo > Agregar o quitar complemento.Select File > Add/Remove Snap-in.

  3. En Agregar o quitar complementos, haga doble clic en Certificados en la lista de complementos disponibles, seleccione Cuenta de equipo y, a continuación, seleccione Siguiente.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, select Computer account, and then select Next.

  4. En Seleccionar equipo, seleccione Finalizar y, a continuación, seleccione Aceptar.In Select Computer, select Finish, and then select OK.

  5. En el panel de árbol, abra Certificados (equipo > local) > Certificados personales.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Seleccione y mantenga presionado (o haga clic con el botón secundario) Personal, seleccione Todas las tareas y, a continuación, seleccione Importar.Select and hold (or right-click) Personal, select All tasks, and then select Import.

  7. En la página principal, seleccione Siguiente.On the Welcome page, select Next.

  8. En la página Archivo para importar, escriba \ \ adfs1 \ certs \ ssl.pfx y, a continuación, seleccione Siguiente.On the File to Import page, enter \\adfs1\certs\ssl.pfx, and then select Next.

  9. En la página Protección de claves privadas, escriba la contraseña del certificado en Contraseña y, a continuación, seleccione Siguiente.On the Private key protection page, enter the certificate password in Password, and then select Next.

  10. En la página Almacén de certificados, seleccione Siguiente.On the Certificate store page, select Next.

  11. En la página Completando, seleccione Finalizar.On the Completing page, select Finish.

  12. En la página Almacén de certificados, seleccione Siguiente.On the Certificate Store page, select Next.

  13. Cuando se le solicite, seleccione Aceptar.When prompted, select OK.

  14. En el panel de árbol, seleccione Certificados.In the tree pane, select Certificates.

  15. Seleccione y mantenga presionado (o haga clic con el botón secundario) el certificado y, a continuación, seleccione Copiar.Select and hold (or right-click) the certificate, and then select Copy.

  16. En el panel de árbol, abra Certificados de entidades de certificación raíz de > confianza.In the tree pane, open Trusted Root Certification Authorities > Certificates.

  17. Mueva el puntero del mouse debajo de la lista de certificados instalados, seleccione y mantenga presionado (o haga clic con el botón secundario) y, a continuación, seleccione Pegar.Move your mouse pointer below the list of installed certificates, select and hold (or right-click), and then select Paste.

Abra un símbolo del sistema de PowerShell con el nivel de administrador y ejecute el comando siguiente:Open an administrator-level PowerShell command prompt and run the following command:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Espere a que termine la instalación.Wait for the installation to complete.

Use estos pasos para configurar el servicio proxy de aplicación web para usar ADFS1 como su servidor de federación:Use these steps to configure the web application proxy service to use ADFS1 as its federation server:

  1. Seleccione Inicio y, a continuación, seleccione Administrador del servidor.Select Start, and then select Server Manager.

  2. En el panel de árbol, seleccione Acceso remoto.In the tree pane, select Remote Access.

  3. En la barra de herramientas de la parte superior, seleccione el símbolo de precaución naranja y, a continuación, seleccione Abrir el Asistente para proxy de aplicación web.In the tool bar at the top, select the orange caution symbol, and then select Open the Web Application Proxy Wizard.

  4. En la página principal del Asistente para configuración de proxy de aplicación web, seleccione Siguiente.On the Welcome page of the Web Application Proxy Configuration Wizard, select Next.

  5. En la página Servidor de federación:On the Federation Server page:

  • En el cuadro Nombre del servicio de federación, escriba el FQDN del servicio de federación.In the Federation service name box, enter your federation service FQDN.

  • En el cuadro Nombre de usuario, escriba Corp \ User1.In the User name box, enter CORP\User1.

  • En el cuadro Contraseña, escriba la contraseña de la cuenta User1.In the Password box, enter the password for the User1 account.

  • Seleccione Siguiente.Select Next.

  1. En la página Certificado de proxy de AD FS, seleccione la flecha abajo, seleccione el certificado con el FQDN del servicio de federación y, a continuación, seleccione Siguiente.On the AD FS Proxy Certificate page, select the down arrow, select the certificate with your federation service FQDN, and then select Next.

  2. En la página Confirmación, seleccione Configurar.On the Confirmation page, select Configure.

  3. En la página Resultados, seleccione Cerrar.On the Results page, select Close.

Fase 5: Configurar Microsoft 365 con identidad federadaPhase 5: Configure Microsoft 365 for federated identity

Use Azure Portal para conectarse a la máquina virtual de APP1 con las credenciales de la cuenta CORP\User1.Use the Azure portal to connect to the APP1 virtual machine with the CORP\User1 account credentials.

Siga estos pasos para configurar Azure AD Connect y la suscripción de Microsoft 365 con autenticación federada:Use these steps to configure Azure AD Connect and your Microsoft 365 subscription for federated authentication:

  1. En el escritorio, haga doble clic en Azure AD Connect.From the desktop, double-click Azure AD Connect.

  2. En la página Principal de Azure AD Connect, seleccione Configurar.On the Welcome to Azure AD Connect page, select Configure.

  3. En la página Tareas adicionales, seleccione Cambiar inicio de sesión de usuario y, a continuación, seleccione Siguiente.On the Additional tasks page, select Change user sign-in, and then select Next.

  4. En la página Conectarse a Azure AD, escriba el nombre y la contraseña de la cuenta de administrador global y, a continuación, seleccione Siguiente.On the Connect to Azure AD page, enter your global administrator account name and password, and then select Next.

  5. En la página Inicio de sesión de usuario, seleccione Federación con AD FS y, a continuación, seleccione Siguiente.On the User sign-in page, select Federation with AD FS, and then select Next.

  6. En la página de la granja de AD FS, seleccione Usar una granja de AD FS existente, escriba ADFS1 en el cuadro Nombre del servidor y, a continuación, seleccione Siguiente.On the AD FS farm page, select Use an existing AD FS farm, enter ADFS1 in the Server Name box, and then select Next.

  7. Cuando se le soliciten las credenciales del servidor, escriba las credenciales de la cuenta Corp \ User1 y, a continuación, seleccione Aceptar.When prompted for server credentials, enter the credentials of the CORP\User1 account, and then select OK.

  8. En la página Credenciales de administrador de dominio, escriba Corp \ User1 en el cuadro Nombre de usuario, escriba la contraseña de la cuenta en el cuadro Contraseña y, a continuación, seleccione Siguiente. On the Domain Administrator credentials page, enter CORP\User1 in the Username box, enter the account password in the Password box, and then select Next.

  9. En la página de la cuenta de servicio de AD FS, escriba CORP \ ADFS-Service en el cuadro Nombre de usuario de dominio, escriba la contraseña de la cuenta en el cuadro Contraseña de usuario de dominio y, a continuación, seleccione Siguiente.On the AD FS service account page, enter CORP\ADFS-Service in the Domain Username box, enter the account password in the Domain User Password box, and then select Next.

  10. En la página Dominio de Azure AD, en Dominio, seleccione el nombre del dominio que creó y agregó anteriormente a la suscripción en la fase 1 y, a continuación, seleccione Siguiente.On the Azure AD Domain page, in Domain, select the name of the domain that you previously created and added to your subscription in Phase 1, and then select Next.

  11. En la página Listo para configurar, seleccione Configurar.On the Ready to configure page, select Configure.

  12. En la página Instalación completada, seleccione Comprobar.On the Installation complete page, select Verify.

    Debería ver mensajes que indican que se ha comprobado la configuración de intranet e Internet.You should see messages indicating that both the intranet and internet configuration was verified.

  13. En la página Instalación completada, seleccione Salir.On the Installation complete page, select Exit.

Para demostrar que la autenticación federada funciona:To demonstrate that federated authentication is working:

  1. Abra una nueva instancia privada del explorador en el equipo local y vaya ahttps://admin.microsoft.com.Open a new private instance of your browser on your local computer and go to https://admin.microsoft.com.

  2. Para las credenciales de inicio de sesión, escriba user1@ <the domain created in Phase 1> .For the sign-in credentials, enter user1@<the domain created in Phase 1>.

    Por ejemplo, si el dominio de prueba es testlab.contoso.com, escribiría "user1@testlab.contoso.com".For example, if your test domain is testlab.contoso.com, you would enter "user1@testlab.contoso.com". Presione la tecla TAB o permita que Microsoft 365 le redirija automáticamente.Press the Tab key or allow Microsoft 365 to automatically redirect you.

    Ahora debería ver que la conexión no es privada.You should now see a Your connection is not private page. Esto se ve porque ha instalado un certificado autofirmado en ADFS1 que el equipo de escritorio no puede validar.You are seeing this because you installed a self-signed certificate on ADFS1 that your desktop computer can't validate. En una implementación de producción de autenticación federada, usaría un certificado de una entidad de certificación de confianza y los usuarios no verían esta página.In a production deployment of federated authentication, you would use a certificate from a trusted certification authority and your users would not see this page.

  3. En la página Su conexión no es privada, seleccione Avanzadas y, a continuación, seleccione Continuar <your federation service FQDN> a.On the Your connection is not private page, select Advanced, and then select Proceed to <your federation service FQDN>.

  4. En la página con el nombre de su organización ficticia, inicie sesión con lo siguiente:On the page with the name of your fictional organization, sign in with the following:

  • CORP\User1 como nombreCORP\User1 for the name

  • Contraseña de la cuenta User1The password for the User1 account

    Debe ver la página principal de Microsoft Office.You should see the Microsoft Office Home page.

En este procedimiento, se muestra que su suscripción de prueba está federada con el dominio corp.contoso.com de AD DS hospedado en DC1. Estos son los conceptos básicos del proceso de autenticación:This procedure demonstrates that your trial subscription is federated with the AD DS corp.contoso.com domain hosted on DC1. Here are the basics of the authentication process:

  1. Cuando use el dominio federado que ha creado en la fase 1 en el nombre de cuenta de inicio de sesión, Microsoft 365 redirige su explorador al FQDN del Servicio de federación y a PROXY1.When you use the federated domain that you created in Phase 1 within the sign-in account name, Microsoft 365 redirects your browser to your federation service FQDN and PROXY1.

  2. PROXY1 envía a su equipo local la página de inicio de sesión de la compañía ficticia.PROXY1 sends your local computer the fictional company sign-in page.

  3. Cuando envía CORP\User1 y la contraseña a PROXY1, estos se reenvían a ADFS1.When you send CORP\User1 and the password to PROXY1, it forwards them to ADFS1.

  4. ADFS1 valida CORP\User1 y la contraseña con DC1 y envía a su equipo local un token de seguridad.ADFS1 validates CORP\User1 and the password with DC1 and sends your local computer a security token.

  5. El equipo local envía el token de seguridad a Microsoft 365.Your local computer sends the security token to Microsoft 365.

  6. Microsoft 365 valida que ese token de seguridad se haya creado mediante ADFS1 y permite el acceso.Microsoft 365 validates that the security token was created by ADFS1 and allows access.

Su suscripción de evaluación ahora está configurada con la autenticación federada. Puede usar este entorno de desarrollo y prueba para escenarios de autenticación avanzados.Your trial subscription is now configured with federated authentication. You can use this dev/test environment for advanced authentication scenarios.

Paso siguienteNext step

Cuando esté listo para implementar la autenticación federada lista para producción y de alta disponibilidad para Microsoft 365 en Azure, consulte Implementar la autenticación federada de alta disponibilidad para Microsoft 365 en Azure.When you are ready to deploy production-ready, high availability federated authentication for Microsoft 365 in Azure, see Deploy high availability federated authentication for Microsoft 365 in Azure.