Tutorial: Administración de certificados para el inicio de sesión único federado

  • Artículo

En este artículo se aborda información y preguntas comunes relacionadas con los certificados que crea Microsoft Entra ID para establecer el inicio de sesión único (SSO) federado para las aplicaciones de software como servicio (SaaS). Estas aplicaciones se agregan desde la galería de aplicaciones de Microsoft Entra o mediante una plantilla de aplicación ajena a la galería. Configure la aplicación mediante la opción de inicio de sesión único federado.

Este artículo solo es de interés para las aplicaciones que están configuradas para usar el inicio de sesión único de Microsoft Entra mediante federación de Lenguaje de marcado de aserción de seguridad (SAML).

En este tutorial, un administrador de la aplicación aprende lo siguiente:

  • Generación de certificados para aplicaciones de la galería y ajenas a la galería
  • Personalización de las fechas de expiración de los certificados
  • Adición de direcciones de notificación de correo electrónico a las fechas de expiración de los certificados
  • Renovar certificados

Requisitos previos

  • Una cuenta de Azure con una suscripción activa. Si no tiene ninguna cuenta, cree una gratuita.
  • Uno de los siguientes roles: Administrador global, Administrador de roles con privilegios, Administrador de aplicaciones en la nube o Administrador de aplicaciones.
  • Una aplicación empresarial configurada en el inquilino de Microsoft Entra.

Al agregar una nueva aplicación desde la galería y configurar el inicio de sesión basado en SAML (mediante la selección de Inicio de sesión único>SAML desde la página de información general de la aplicación), Microsoft Entra ID genera un certificado autofirmado para la aplicación con una validez de tres años. Para descargar el certificado activo como un archivo de certificado de seguridad ( .cer), vuelva a esa página (inicio de sesión basado en SAML) y seleccione un vínculo de descarga en el encabezado Certificado de firma de SAML. Puede elegir entre el certificado sin formato (binario) o el certificado base 64 (texto codificado en base 64). Para las aplicaciones de la galería, en esta sección es posible que también se muestre un vínculo para descargar el certificado como XML de metadatos de federación (un archivo .xml), según el requisito de la aplicación.

También puede descargar un certificado activo o inactivo seleccionando el icono Editar (con forma de lápiz) del encabezado del certificado de firma de SAML, que muestra la página del certificado de firma de SAML. Seleccione los puntos suspensivos ( ... ) junto al certificado que quiere descargar y, a continuación, elija el formato de certificado que quiera. Tiene la opción adicional de descargar el certificado en formato de correo con privacidad mejorada (PEM). Este formato es idéntico a Base64, pero con una extensión de nombre de archivo .pem, que no se reconoce en Windows como formato de certificado.

SAML signing certificate download options (active and inactive).

Personalizar la fecha de expiración para el certificado de federación y sustituirlo por un certificado nuevo

De forma predeterminada, Azure configura un certificado para que expire después de tres años al crearlo automáticamente durante la configuración de inicio de sesión único de SAML. Dado que no se puede cambiar la fecha de un certificado después de guardarlo, tendrá que:

  1. Crear un certificado nuevo con la fecha deseada.
  2. Guardar el certificado nuevo.
  3. Descargar el certificado nuevo en el formato correcto.
  4. Cargar el certificado nuevo en la aplicación.
  5. Active el nuevo certificado en el Centro de administración de Microsoft Entra.

Las dos secciones siguientes le ayudan a realizar estos pasos.

Crear un nuevo certificado

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

En primer lugar, cree y guarde el nuevo certificado con una fecha de expiración diferente:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.
  3. Escriba el nombre de la aplicación existente en el cuadro de búsqueda y seleccione la aplicación existente en los resultados de la búsqueda.
  4. En la sección Administrar, seleccione Inicio de sesión único.
  5. Si aparece la página Seleccione un método de inicio de sesión único, seleccione SAML.
  6. En la página Configurar inicio de sesión único con SAML, busque el encabezado Certificado de firma de SAML y seleccione el icono Editar (un lápiz). Aparece la página del certificado de firma de SAML, que muestra el estado (Activo o Inactivo), la fecha de expiración y la huella digital (una cadena de hash) de cada certificado.
  7. Seleccione Nuevo certificado. Aparece una nueva fila debajo de la lista de certificados, donde se establece la fecha de expiración predeterminada en exactamente tres años después de la fecha actual. (Los cambios aún no se guardan, por lo que aún puede modificar la fecha de expiración.)
  8. En la nueva fila del certificado, pase el ratón por encima de la columna de fecha de expiración y seleccione el icono Seleccionar fecha (un calendario). Aparece un control de calendario que muestra los días de un mes de la fecha de expiración actual de la nueva fila.
  9. Use el control del calendario para establecer una nueva fecha. Puede establecer cualquier fecha del período entre la fecha actual y los tres años posteriores.
  10. Seleccione Guardar. El nuevo certificado aparece ahora con el estado Inactivo, la fecha de expiración que ha elegido y una huella digital.

    Nota

    Si tiene un certificado que ya ha caducado y genera uno nuevo, el nuevo certificado se tendrá en cuenta para la firma de tokens, aunque aún no lo haya activado.

  11. Seleccione la X para volver a la página Configurar el inicio de sesión único con SAML.

Cargar y activar un certificado

A continuación, descargue el nuevo certificado en el formato correcto, cárguelo en la aplicación y actívelo en Microsoft Entra ID:

  1. Vea más instrucciones de configuración de inicio de sesión de SAML para la aplicación con cualquiera de las siguientes opciones.

    • Seleccione la guía de configuración vínculo para verlo en una ventana o pestaña del explorador independiente.
    • Vaya al configurar encabezado y seleccione Ver instrucciones paso a paso ver en una barra lateral.

  2. En las instrucciones, tenga en cuenta el formato de codificación necesario para la carga del certificado.

  3. Siga las instrucciones de la sección certificado generado automáticamente para aplicaciones de galería y no de galería anteriormente. Mediante este paso se descarga el certificado en el formato de codificación que se requiere para la carga de la aplicación.

  4. Cuando quiera sustituir el certificado nuevo, vuelva a la página Certificado de firma de SAML y, en la fila de certificado que se acaba de guardar, seleccione los puntos suspensivos ( ... ) y seleccione Activar el certificado. El estado del nuevo certificado cambia a Activo y el certificado activo anteriormente se cambia a un estado de Inactivo.

  5. Siga las instrucciones de configuración de inicio de sesión de SAML de la aplicación que se mostraron anteriormente para que pueda cargar el certificado de firma de SAML en el formato de codificación correcto.

Si la aplicación no tiene validación de expiración del certificado y el certificado coincide con Microsoft Entra ID y la aplicación, sigue siendo accesible a pesar de que ha expirado. Asegúrese de que la aplicación pueda validar la fecha de expiración del certificado.

Si tiene previsto mantener deshabilitada la validación de expiración del certificado, el nuevo certificado no se debe crear hasta la ventana de mantenimiento programada para la sustitución del certificado. Si existe un certificado válido expirado y inactivo en la aplicación, Microsoft Entra ID utiliza automáticamente el certificado válido. En este caso, los usuarios podrían experimentar una interrupción de la aplicación.

Adición de direcciones de notificación de correo electrónico a la expiración del certificado

Microsoft Entra ID envía una notificación por correo electrónico 60, 30 y 7 días antes de que expire el certificado SAML. Puede agregar varias direcciones de correo electrónico para recibir notificaciones. Para especificar una o varias direcciones de correo electrónico, quiere que las notificaciones se envíen a:

  1. En la página Certificado de firma de SAML, vaya al encabezado Direcciones de correo electrónico de notificación. De manera predeterminada, este encabezado solo usa la dirección de correo electrónico del administrador que agregó la aplicación.
  2. Debajo de la dirección de correo electrónico final, escriba la dirección de correo electrónico que debe recibir el aviso de expiración del certificado y, a continuación, presione ENTRAR.
  3. Repita el paso anterior para cada dirección de correo electrónico que quiere agregar.
  4. Para cada dirección de correo electrónico que quiera eliminar, seleccione el icono Eliminar (un cubo de basura) junto a la dirección de correo electrónico.
  5. Seleccione Guardar.

Puede agregar hasta cinco direcciones de correo electrónico a la lista de notificaciones (incluida la dirección de correo electrónico del administrador que agregó la aplicación). Si necesita enviar notificaciones a más personas, use los mensajes de correo electrónico de la lista de distribución.

Recibirá el correo electrónico de notificación de azure-noreply@microsoft.com. Para evitar que el correo electrónico vaya a la ubicación de correo no deseado, agregue este correo electrónico a los contactos.

Renovación de un certificado que está establecido en expirar pronto

Si un certificado está a punto de expirar, se puede renovar mediante un procedimiento que no da como resultado ningún tiempo de inactividad considerable para los usuarios. Para renovar un certificado que va a expirar:

  1. Siga las instrucciones de la sección anterior Crear un nuevo certificado, con una fecha que se superponga con el certificado existente. Esa fecha limita la cantidad de tiempo de inactividad causado por la expiración del certificado.

  2. Si la aplicación puede revertir automáticamente un certificado, establezca el nuevo certificado en activo siguiendo estos pasos.

    1. Vuelva a la página Certificado de firma de SAML.
    2. En la fila de certificado recién guardada, seleccione los puntos suspensivos ( ... ) y, a continuación, seleccione Activar el certificado.
    3. Omita los dos pasos siguientes.

  3. Si la aplicación solo puede controlar un certificado a la vez, elija un intervalo de tiempo de inactividad para realizar el paso siguiente. (De lo contrario, si la aplicación no recoge automáticamente el nuevo certificado, pero puede controlar más de un certificado de firma, puede realizar el siguiente paso en cualquier momento).

  4. Antes de que expire el certificado antiguo, siga las instrucciones de la sección anterior Cargar y activar un certificado. Si el certificado de aplicación no se actualiza después de actualizar un nuevo certificado en Microsoft Entra ID, es posible que se produzca un error en la autenticación en la aplicación.

  5. Inicie sesión en la aplicación para asegurarse de que el certificado funciona correctamente.

Si la aplicación no tiene validación de expiración del certificado y el certificado coincide con Microsoft Entra ID y la aplicación, sigue siendo accesible a pesar de que ha expirado. Asegúrese de que la aplicación pueda validar la expiración del certificado.