Sincronización de directorios con inicio de sesión único

  • Artículo

Actualizado: 25 de junio de 2015

Se aplica a: Azure, Office 365, Power BI, Windows Intune

El inicio de sesión único, también denominado federación de identidades, es un escenario de integración de directorios basado en híbrido de Azure Active Directory que puede implementar cuando quiera simplificar la capacidad del usuario para acceder sin problemas a los servicios en la nube, como Office 365 o Microsoft Intune, con sus credenciales corporativas de Active Directory existentes. Sin el inicio de sesión único, los usuarios tendrían que mantener nombres de usuario y contraseñas independientes para las cuentas en línea y locales.

Un STS permite la federación de identidades, lo que amplía la noción de autenticación, autorización y SSO centralizados en aplicaciones web y servicios ubicados virtualmente en cualquier lugar, incluidas redes perimetrales, redes de socios y la nube. Al configurar un STS para proporcionar acceso de inicio de sesión único con un servicio en la nube de Microsoft, va a crear una confianza federada entre su STS local y el dominio federado que especificó en el inquilino de Azure AD.

Azure AD admite escenarios de inicio de sesión único que usan alguno de los servicios de token de seguridad siguientes:

  • Active Directory Federation Services (AD FS)

  • Shibboleth Identity Provider

  • Proveedores de identidad de otros fabricantes

El diagrama siguiente ilustra la interacción entre, por un lado, su Active Directory local y la granja de servidores STS y, por otro, el sistema de autenticación de Azure AD para proporcionar acceso a uno o varios servicios en la nube. Cuando configura el inicio de sesión único, establece una relación de confianza federada entre su STS y el sistema de autenticación de Azure AD. Los usuarios del Active Directory local pueden obtener tokens de autenticación del STS local que redirigen las solicitudes de los usuarios a través de la relación de confianza federada. Esto permite que los usuarios tengan acceso sin problemas a los servicios en la nube a los que te hayas suscrito sin la necesidad de iniciar sesión con credenciales diferentes.

Directory sync with single sign-on scenario

Ventajas de implementar este escenario

Hay una ventaja clara para los usuarios al implementar el inicio de sesión único: les permite usar sus credenciales corporativas para acceder al servicio en la nube al que se ha suscrito su empresa. Los usuarios no tienen que volver a iniciar sesión ni recordar varias contraseñas.

Además de las ventajas para el usuario, ofrece muchas ventajas a los administradores.

  • Control de directivas: El administrador puede controlar las directivas de cuenta a través de Active Directory, lo que proporciona al administrador la capacidad de administrar directivas de contraseña, restricciones de estación de trabajo, controles de bloqueo, etc. sin tener que realizar tareas adicionales en la nube.

  • Control de acceso: El administrador puede restringir el acceso al servicio en la nube para que se pueda acceder a los servicios a través del entorno corporativo, a través de servidores en línea o ambos.

  • Llamadas de soporte técnico reducidas: Las contraseñas olvidadas son una fuente común de llamadas de soporte técnico en todas las empresas. Si los usuarios tienen que recordar menos contraseñas, es menos probable que las olviden.

  • Seguridad: Las identidades de usuario y la información están protegidas porque todos los servidores y servicios usados en el inicio de sesión único se masteran y controlan en el entorno local.

  • Compatibilidad con la autenticación segura: Puede usar la autenticación segura (también denominada autenticación en dos fases) con el servicio en la nube. Sin embargo, si usa la autenticación sólida, debe emplear el inicio de sesión único. El uso de la autenticación segura tiene ciertas restricciones. Si tiene previsto usar AD FS para el STS, consulte Configuring Advanced Options for AD FS 2.0 (Configuración de opciones avanzadas para AD FS 2.0 ) para obtener más información.

Cómo afecta este escenario a la experiencia de los usuarios de inicio de sesión basado en la nube

La experiencia de un usuario con el inicio de sesión único varía en función de cómo se conecte el equipo del usuario a la red de su compañía, qué sistema operativo se ejecute en el equipo del usuario y cómo haya configurado el administrador la infraestructura de STS para interactuar con Azure AD.

A continuación, se describen experiencias del usuario con el inicio de sesión único dentro de la red:

  • Equipo de trabajo en una red corporativa: cuando los usuarios están en el trabajo e inician sesión en la red corporativa, el inicio de sesión único les permite acceder al servicio en la nube sin iniciar sesión de nuevo.

Si el usuario se conecta desde fuera de la red de la compañía o accede a servicios desde dispositivos o aplicaciones en particular, como en las situaciones siguientes, debes implementar un proxy de STS. Si tiene previsto usar AD FS para el STS, consulte Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único para obtener más información sobre cómo configurar un proxy de AD FS.

  • Equipo de trabajo, itinerancia: Los usuarios que han iniciado sesión en equipos unidos a un dominio con sus credenciales corporativas, pero que no están conectados a la red corporativa (por ejemplo, un equipo de trabajo en casa o en un hotel), pueden acceder al servicio en la nube.

  • Equipo principal o público: Cuando el usuario usa un equipo que no está unido al dominio corporativo, el usuario debe iniciar sesión con sus credenciales corporativas para acceder al servicio en la nube.

  • Teléfono inteligente: En un teléfono inteligente, para acceder al servicio en la nube, como Microsoft Exchange Online mediante Microsoft Exchange ActiveSync, el usuario debe iniciar sesión con sus credenciales corporativas.

  • Microsoft Outlook u otros clientes de correo electrónico: el usuario debe iniciar sesión con sus credenciales corporativas para acceder a su correo electrónico si usa Outlook o un cliente de correo electrónico que no forma parte de Office; por ejemplo, un cliente IMAP o POP.

    Si utilizas Shibboleth como STS, asegúrate de instalar la extensión ECP de Shibboleth Identity Provider para que el inicio de sesión único funcione con un smartphone, Microsoft Outlook u otros clientes. Para más información, consulte Configuración de Shibboleth para su uso con el inicio de sesión único.

¿Estás listo para implementar este escenario para tu organización?

Si es así, se recomienda comenzar siguiendo los pasos proporcionados en El mapa de ruta de inicio de sesión único.

Consulte también

Conceptos

Integración de directorios
Determinación de qué escenario de integración de directorios usar