Configuración de una relación de confianza entre AD FS y Azure AD

  • Artículo

Actualizado: 25 de junio de 2015

Se aplica a: Azure, Office 365, Power BI, Windows Intune

Cada dominio que desee federar debe agregarse como dominio de inicio de sesión único o se debe convertir para que sea un dominio de inicio de sesión único a partir de un dominio estándar. Agregar o convertir un dominio configura una confianza entre AD FS y Microsoft Azure Active Directory (Microsoft Azure AD).

Importante

  • Si está utilizando un subdominio (por ejemplo, corp.contoso.com) además de un dominio de nivel superior (por ejemplo, contoso.com), debe añadir el dominio de nivel superior en su servicio en la nube para poder agregar subdominios. Cuando el dominio de primer nivel se configura para el inicio de sesión único, todos los subdominios también se configuran automáticamente.

  • La configuración de una confianza es una operación única y no es necesario volver a ejecutar el módulo de Microsoft Azure Active Directory para Windows PowerShell cmdlets si agrega más servidores de AD FS a la granja de servidores.

  • Si agrega y comprueba un dominio con el módulo Microsoft Azure Active Directory, debe especificar varias configuraciones adicionales. Estas configuraciones son obligatorias para que pueda ver los registros de DNS que debe configurar para permitir a su dominio trabajar con su servicio en la nube.

Si necesita admitir varios dominios de nivel superior, deberá utilizar el conmutador SupportMultipleDomain con cualquier cmdlet, como los cmdlets utilizados en los procedimientos “Agregar un dominio” y “Convertir un dominio”.

Por ejemplo, para agregar contoso.com y fabrikam.com como dominios de inicio de sesión únicos, debe llevar a cabo el procedimiento "Agregar un dominio" para contoso.com utilizando el conmutador SupportMultipleDomain en cada paso que dispone de un cmdlet. Por lo tanto, en el paso 5, usaría New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Después de completar todos los pasos del procedimiento de contoso.com, debería repetir el procedimiento nuevo para el dominio fabrikam.com. En el paso 5, usaría New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Para más información, consulte Support for Multiple Top Level Domains(Compatibilidad con varios dominios de nivel superior).

Complete uno de los procedimientos siguientes para configurar la confianza federada con Azure AD, en función de si necesita agregar un dominio nuevo o convertir un dominio existente.

  • Agregar un dominio

  • Convertir un dominio

Agregar un dominio

  1. Abra el módulo Microsoft Azure Active Directory.

  2. Ejecute $cred=Get-Credential. Cuando el cmdlet solicite las credenciales, especifique las de su cuenta de administrador de servicio de nube.

  3. Ejecute Connect-MsolService –Credential $cred. Este cmdlet le conecta a Azure AD. Es necesario crear un contexto que le conecte a Azure AD antes de ejecutar cualquiera de los cmdlets adicionales instalados por la herramienta.

  4. Ejecute Set-MsolAdfscontext -Computer <AD FS primary server>, donde <el servidor> principal de AD FS es el nombre de FQDN interno del servidor de AD FS principal. Este cmdlet crea un contexto que le permite conectarse a AD FS.

    Nota

    Si ha instalado el módulo Microsoft Azure Active Directory en el servidor de AD FS principal, no es necesario ejecutar este cmdlet.

  5. Ejecute New-MsolFederatedDomain –DomainName <domain>, donde <domain> es el dominio que se va a agregar y habilitar para el inicio de sesión único. Este cmdlet agrega un nuevo dominio de nivel superior o un subdominio que se configurará para la autenticación federada.

    Nota

    Una vez que ha utilizado el cmdlet New-MsolFederatedDomain para agregar un dominio de nivel superior no podrá usar el cmdlet New-MsolDomain para agregar dominios estándar (no federados).

  6. Con la información proporcionada por los resultados del cmdlet New-MsolFederatedDomain, póngase en contacto con su registrador de dominios para crear el registro DNS necesario. De este modo, se comprobará si es el propietario del dominio. Tenga en cuenta que la propagación puede tardar hasta 15 minutos, dependiendo de su registrador de dominios. La propagación de los cambios en el sistema puede durar hasta 72 horas. Para obtener más información, vea Comprobar un dominio en cualquier registrador de nombres de dominio.

  7. Ejecute New-MsolFederatedDomain otra vez, especificando el mismo nombre de dominio para finalizar el proceso.

Convertir un dominio

Al convertir un dominio existente en un dominio de inicio de sesión único, cada usuario con licencia se convertirá en un usuario federado, con sus credenciales corporativas de Active Directory existentes (nombre de usuario y contraseña) para acceder a los servicios en la nube. Actualmente no es posible realizar un lanzamiento preconfigurado del inicio de sesión único; Sin embargo, puede probar el inicio de sesión único con un conjunto de usuarios de producción desde el bosque de Active Directory de producción. Para obtener más información, consulte Ejecución de un piloto para probar el inicio de sesión único antes de configurarlo (opcional).

Nota

Conviene realizar una conversión cuando hay menos usuarios, como durante un fin de semana, para reducir el impacto en ellos.

Para convertir un dominio existente en un dominio de inicio de sesión único, siga estos pasos.

  1. Abra el módulo Microsoft Azure Active Directory.

  2. Ejecute $cred=Get-Credential. Cuando el cmdlet solicite las credenciales, especifique las de su cuenta de administrador de servicio de nube.

  3. Ejecute Connect-MsolService –Credential $cred. Este cmdlet le conecta a Azure AD. Es necesario crear un contexto que le conecte a Azure AD antes de ejecutar cualquiera de los cmdlets adicionales instalados por la herramienta.

  4. Ejecute Set-MsolAdfscontext -Computer <AD FS primary server>, donde <el servidor> principal de AD FS es el nombre de FQDN interno del servidor de AD FS principal. Este cmdlet crea un contexto que le permite conectarse a AD FS.

    Nota

    Si ha instalado el módulo Microsoft Azure Active Directory en el servidor de AD FS principal, no es necesario ejecutar este cmdlet.

  5. Ejecute Convert-MsolDomainToFederated –DomainName <domain>, donde <domain> es el dominio que se va a convertir. Este cmdlet cambia el dominio de autenticación estándar a inicio de sesión único.

Nota

Para comprobar que la conversión ha funcionado, compare la configuración en el servidor de AD FS y en Azure AD mediante la ejecución Get-MsolFederationProperty –DomainName <domain>de , donde <domain es el dominio> para el que desea ver la configuración. Si no coinciden, puede ejecutar Update-MsolFederatedDomain –DomainName <domain> para sincronizar la configuración.

Paso siguiente

Ahora que ha configurado una relación de confianza entre AD FS y Azure AD, debe configurar la sincronización de Active Directory. Para más información, consulte Mapa de ruta de sincronización de directorios. Después de configurar la sincronización de Active Directory, consulte Comprobar y administrar el inicio de sesión único con AD FS.

Consulte también

Conceptos

Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único
Guía para el inicio de sesión único