Comprobar y administrar el inicio de sesión único con AD FS

  • Artículo

Actualizado: 25 de junio de 2015

Se aplica a: Azure, Office 365, Power BI, Windows Intune

Nota

Puede que este tema no sea totalmente aplicable a los usuarios de Microsoft Azure en China. Para más información sobre el servicio de Azure en China, consulte windowsazure.cn.

Como administrador, antes de comprobar y administrar el inicio de sesión único (también denominado federación de identidades), revise la información y realice los pasos descritos en Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único.

Una vez configurado el inicio de sesión único, debe comprobar que funciona correctamente. Además, existen varias tareas de administración que pueden realizarse ocasionalmente para que siga funcionando de forma correcta.

¿Qué desea hacer?

  • Comprobar que el inicio de sesión único se ha configurado correctamente

  • Administración del inicio de sesión único

Comprobar que el inicio de sesión único se ha configurado correctamente

Para comprobar que el inicio de sesión único se ha configurado correctamente, puede realizar el procedimiento siguiente para confirmar que puede iniciar sesión en el servicio en la nube con sus credenciales corporativas, Probar el inicio de sesión único para distintos escenarios de uso y Usar el Analizador de conectividad remota de Microsoft.

Nota

  • Si ha convertido un dominio, en lugar de agregar uno, puede tardar hasta 24 horas en configurar el inicio de sesión único.

  • Antes de comprobar el inicio de sesión único, debe terminar de configurar la sincronización de Active Directory, sincronizar los directorios y activar los usuarios sincronizados. Para más información, consulte Mapa de ruta de sincronización de directorios.

Para comprobar que el inicio de sesión único se ha configurado correctamente, siga estos pasos.

  1. En un equipo unido a dominio, inicie sesión en el servicio en la nube de Microsoft con el mismo nombre de inicio de sesión que usa para las credenciales corporativas.

  2. Haga clic dentro del cuadro de contraseña. Si el inicio de sesión único está configurado, se sombreará el cuadro de contraseña y verá el siguiente mensaje: "Ahora es necesario iniciar sesión en <su empresa>".

  3. Haga clic en el vínculo Iniciar sesión en <su empresa> .

    Si puede iniciar sesión, significa que el inicio de sesión único está configurado.

Probar el inicio de sesión único en distintas situaciones de uso

Una vez que haya comprobado que el inicio de sesión único está completo, pruebe los siguientes escenarios de inicio de sesión para asegurarse de que el inicio de sesión único y la implementación de AD FS 2.0 estén configurados correctamente. Pida a un grupo de usuarios que prueben su acceso a los servicios de servicio en la nube desde exploradores, así como aplicaciones cliente enriquecidas, como Microsoft Office 2010, en los siguientes entornos:

  • Desde un equipo unido al dominio

  • Desde un equipo no unido al dominio dentro de la red corporativa

  • Desde un equipo móvil unido al dominio fuera de la red corporativa

  • Entre los distintos sistemas operativos que usa en su compañía

  • Desde un equipo doméstico

  • Desde un quiosco de Internet (pruebe el acceso al servicio en la nube solo a través de un explorador)

  • Desde un teléfono inteligente (por ejemplo, un teléfono inteligente que usa Microsoft Exchange ActiveSync)

Usar el Analizador de conectividad remota de Microsoft

Para probar la conectividad de inicio de sesión único, puede utilizar el Analizador de conectividad remota de Microsoft. Haga clic en la pestaña Office 365, en Inicio de sesión único de Microsoft y en Siguiente. Siga los mensajes que aparecen en pantalla para realizar la prueba. El analizador valida la capacidad de iniciar sesión en el servicio en la nube con sus credenciales corporativas. También valida algunas configuraciones básicas de AD FS 2.0.

¿Qué desea hacer?

Programar tarea para actualizar Azure AD cuando se realiza un cambio en el certificado de firma de tokens ya no es la recomendación.

Si usa AD FS 2.0 o posterior, Office 365 y Azure AD actualizarán automáticamente el certificado antes de que expire.  No es necesario realizar ningún paso manual ni ejecutar un script como una tarea programada.  Para que esto funcione, ambos de los siguientes valores de configuración predeterminados de AD FS deben estar en vigor:

  1. La propiedad AutoCertificateRollover de AD FS debe establecerse en True, lo que indica que AD FS generará automáticamente nuevos certificados de firma de tokens y descifrado de tokens antes de que expiren los antiguos. Si el valor es False, está usando la configuración de certificado personalizada.  Vaya aquí para obtener instrucciones completas.

  2. Los metadatos de federación deben estar disponibles para la red pública de Internet.

Administración del inicio de sesión único

Existen otras tareas opcionales u ocasionales que puede realizar para que el inicio de sesión único siga funcionando correctamente.

En esta sección

  • Agregar direcciones URL a la lista de Sitios de confianza de Internet Explorer

  • Restricción a usuarios del inicio de sesión en el servicio de nube

  • Visualización de la configuración actual

  • Actualizar las propiedades de confianza

  • Recuperar un servidor de AD FS

  • Personalización del tipo de autenticación local

Agregar direcciones URL a la lista de Sitios de confianza de Internet Explorer

Después de agregar o convertir los dominios como parte de la configuración del inicio de sesión único, quizás quiera agregar el nombre de dominio completo del servidor de AD FS a la lista de sitios de confianza en Internet Explorer. Así se asegurará de que a los usuarios no se les solicita la contraseña del servidor de AD FS. Este cambio ha de hacerse en el cliente. También puede realizar este cambio para los usuarios especificando una opción de directiva de grupo que agregue automáticamente esta URL a la lista Sitios de confianza de equipos unidos al dominio. Para obtener más información, vea Opciones de directiva de Internet Explorer.

Restricción a usuarios del inicio de sesión en el servicio de nube

AD FS ofrece a los administradores la opción de definir reglas personalizadas que concederán o denegarán acceso a los usuarios. Para el inicio de sesión único, las reglas personalizadas se deben aplicar a la relación de confianza del usuario de confianza asociada al servicio en la nube. Ha creado esta confianza cuando ejecutó los cmdlets en Windows PowerShell para configurar el inicio de sesión único.

Para obtener más información acerca de cómo evitar que los usuarios inicien sesión en servicios, vea Create a Rule to Permit or Deny Users Based on an Incoming Claim (crear una regla para permitir o denegar a los usuarios en función de una notificación entrante). Para más información sobre cómo ejecutar cmdlets para configurar el inicio de sesión único, consulte Instalación de Windows PowerShell para el inicio de sesión único con AD FS.

Visualización de la configuración actual

Si en cualquier momento desea ver el servidor de AD FS actual y la configuración del servicio en la nube, puede abrir el módulo de Microsoft Azure Active Directory para Windows PowerShell y ejecutar y, a continuación, ejecute Connect-MSOLServiceGet-MSOLFederationProperty –DomainName <domain>. Esto le permite comprobar que la configuración del servidor de AD FS es coherente con las del servicio en la nube. Si no es así, puede ejecutar Update-MsolFederatedDomain –DomainName <domain>. Consulte la siguiente sección, “Actualizar las propiedades de confianza”, para obtener más información.

Nota:

Si necesita admitir varios dominios de nivel superior, por ejemplo, contoso.com y fabrikam.com, debe utilizar el modificador SupportMultipleDomain con cualquier cmdlet. Para más información, consulte Support for Multiple Top Level Domains(Compatibilidad con varios dominios de nivel superior).

¿Qué desea hacer?

Actualizar las propiedades de confianza

Debe actualizar las propiedades de confianza de inicio de sesión único en el servicio en la nube cuando:

  • La dirección URL cambia: Si realiza cambios en la dirección URL del servidor de AD FS, debe actualizar las propiedades de confianza.

  • Se ha cambiado el certificado de firma de tokens principal: Cambiar el certificado de firma de tokens principal desencadena el identificador de evento 334 o el identificador de evento 335 en Visor de eventos para el servidor de AD FS. Se recomienda que compruebe el Visor de eventos con regularidad, al menos una vez a la semana.

    Para ver los eventos del servidor de AD FS, siga estos pasos.

    1. Haga clic en Inicio y, a continuación, en Panel de control. En la vista Categoría, haga clic en Sistema y seguridad, en Herramientas administrativas y en Visor de eventos.

    2. Para ver los eventos de AD FS, en el panel izquierdo del Visor de eventos, haga clic en Registros de aplicaciones y servicios, en AD FS 2.0 y en Administrador.

  • El certificado de firma de tokens expira cada año: El certificado de firma de tokens es fundamental para la estabilidad del servicio de federación. En caso de que se cambie, Azure AD debe recibir una notificación sobre este cambio. De lo contrario, se producirá un error en las solicitudes realizadas a los servicios en la nube.

Para actualizar manualmente las propiedades de confianza, siga estos pasos.

Nota:

Si necesita admitir varios dominios de nivel superior, por ejemplo, contoso.com y fabrikam.com, debe utilizar el modificador SupportMultipleDomain con cualquier cmdlet. Para más información, consulte Support for Multiple Top Level Domains(Compatibilidad con varios dominios de nivel superior).

  1. Abra el módulo Microsoft Azure Active Directory para Windows PowerShell.

  2. Ejecute $cred=Get-Credential. Cuando este cmdlet le solicite las credenciales, escriba sus credenciales de cuenta de administrador de servicios en la nube.

  3. Ejecute Connect-MsolService –Credential $cred. Este cmdlet le permite conectarse al servicio en la nube. Es necesario crear un contexto que le permita conectarse con el servicio en la nube antes de ejecutar cualquiera de los cmdlets adicionales que instala la herramienta.

  4. Ejecute Set-MSOLAdfscontext -Computer <AD FS primary server>, donde <el servidor> principal de AD FS es el nombre de FQDN interno del servidor de AD FS principal. Este cmdlet crea un contexto que le permite conectarse a AD FS.

    Nota

    Si ha instalado el módulo Microsoft Azure Active Directory en el servidor principal, no es necesario ejecutar este cmdlet.

  5. Ejecute Update-MSOLFederatedDomain –DomainName <domain>. Este cmdlet actualiza la configuración de AD FS en el servicio en la nube y configura la relación de confianza entre los dos.

¿Qué desea hacer?

Recuperar un servidor de AD FS

En caso de que pierda el servidor principal y no pueda recuperarlo, tendrá que promocionar otro servidor para que se convierta en el servidor principal. Para obtener más información, vea AD FS 2.0 - How to Set the Primary Federation Server in a WID Farm (AD FS 2.0: Procedimiento para definir el servidor principal de federación en una granja de WID)

Nota

Si se produce un error en uno de los servidores de AD FS y ha configurado una configuración de granja de servidores de alta disponibilidad, los usuarios seguirán pudiendo acceder al servicio en la nube. Si el servidor que ha generado el error es el servidor principal, no podrá realizar ninguna actualización a la configuración de la granja hasta que promueva otro servidor para que se convierta en el servidor principal.

Si pierde todos los servidores de la granja, debe volver a crear la relación de confianza mediante los pasos siguientes.

Nota:

Si necesita admitir varios dominios de nivel superior, por ejemplo, contoso.com y fabrikam.com, debe utilizar el modificador SupportMultipleDomain con cualquier cmdlet. Al usar el conmutador SupportMultipleDomain, normalmente se ejecuta el procedimiento en cada uno de los dominios. Sin embargo, para recuperar el servidor de AD FS, solo tiene que seguir el procedimiento una vez para uno de los dominios. Una vez recuperado el servidor, todos los demás dominios de inicio de sesión único se conectarán al servicio en la nube. Para más información, consulte Support for Multiple Top Level Domains(Compatibilidad con varios dominios de nivel superior).

  1. Abra el módulo Microsoft Azure Active Directory.

  2. Ejecute $cred=Get-Credential. Cuando el cmdlet solicite las credenciales, especifique las de su cuenta de administrador de servicio de nube.

  3. Ejecute Connect-MsolService –Credential $cred. Este cmdlet le permite conectarse al servicio en la nube. Es necesario crear un contexto que le permita conectarse con el servicio en la nube antes de ejecutar cualquiera de los cmdlets adicionales que instala la herramienta.

  4. Ejecute Set-MSOLAdfscontext -Computer <AD FS primary server>, donde <el servidor> principal de AD FS es el nombre de FQDN interno del servidor de AD FS principal. Este cmdlet crea un contexto que le permite conectarse a AD FS.

    Nota

    Si ha instalado el módulo Microsoft Azure Active Directory en el servidor de AD FS principal, no es necesario ejecutar este cmdlet.

  5. Ejecute Update-MsolFederatedDomain –DomainName <domain>, donde <domain> es el dominio para el que desea actualizar las propiedades. Este cmdlet actualiza las propiedades y establece la relación de confianza.

  6. Ejecute Get-MsolFederationProperty –DomainName <domain>, donde <domain> es el dominio para el que desea ver las propiedades. A continuación, puede comparar las propiedades del servidor de AD FS principal y las propiedades del servicio en la nube para asegurarse de que coinciden. Si no coinciden, ejecute Update-MsolFederatedDomain –DomainName <domain> de nuevo para sincronizar las propiedades.

Consulte también

Conceptos

Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único
Guía para el inicio de sesión único