Preparar el inicio de sesión único

  • Artículo

Actualizado: 25 de junio de 2015

Se aplica a: Azure, Office 365, Power BI, Windows Intune

Nota

Puede que este tema no sea totalmente aplicable a los usuarios de Microsoft Azure en China. Para más información sobre el servicio de Azure en China, consulte windowsazure.cn.

Para prepararse para el inicio de sesión único, completa los pasos siguientes:

  • Paso 1: Revisión de los requisitos para el inicio de sesión único

  • Paso 2: Preparación de Active Directory

Paso 1: Revisión de los requisitos para el inicio de sesión único

A fin de implementar esta solución de SSO, debes cumplir los siguientes requisitos:

  • Implementar y ejecutar Active Directory en Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2 con un nivel funcional de modo mixto o nativo.

  • Si tienes pensado usar AD FS como STS, deberás seguir uno de los procedimientos siguientes:

    • Descargue, instale e implemente AD FS 2.0 en un servidor Windows Server 2008 o Windows Server 2008 R2. Además, si los usuarios se conectarán desde fuera de la red de la empresa, debe implementar un proxy de AD FS 2.0.

    • Instalar el servicio del rol de AD FS en un servidor Windows Server 2012 o Windows Server 2012 R2.

  • Si tienes pensado usar Shibboleth Identity Provider como STS, deberás instalar y preparar un Shibboleth Identity Provider operativo.

    Importante

    Microsoft admite esta experiencia de inicio de sesión único como la integración de un servicio en la nube de Microsoft, como Microsoft Intune o Office 365, con el proveedor de identidades shibboleth ya instalado y operativo. Shibboleth Identity Provider es un producto de otro fabricante y por lo tanto Microsoft no ofrece soporte para la implementación, configuración, resolución de problemas, prácticas recomendadas, ni para los problemas y preguntas relativos a Shibboleth Identity Provider. Para obtener más información sobre el proveedor de identidades de Shibboleth, consulte https://go.microsoft.com/fwlink/?LinkID=256497.

  • En función del tipo de STS que configurará, use el módulo de Microsoft Azure Active Directory para Windows PowerShell para establecer una confianza federada entre el STS local y Azure AD.

  • Instala las actualizaciones requeridas para tus suscripciones al servicio en la nube de Microsoft para asegurarse de que los usuarios ejecuten las actualizaciones más recientes de Windows 7, Windows Vista o Windows XP. Algunas características podrían no funcionar correctamente sin las versiones adecuadas de sistemas operativos, exploradores y software. Para obtener más información, vea Apéndice A: Revisar los requisitos de software.

Paso 2: Preparación de Active Directory

Active Directory debe tener determinadas opciones configuradas para funcionar correctamente con el inicio de sesión único. En concreto, se debe configurar el nombre principal del usuario (UPN), también conocido como "nombre de inicio de sesión de usuario", para cada usuario de una forma concreta.

Nota

Para preparar el entorno de Active Directory para el inicio de sesión único, se recomienda ejecutar microsoft Deployment Readiness Tool. Esta herramienta inspecciona el entorno de Active Directory y proporciona un informe que incluye información sobre si está listo o no para configurar el inicio de sesión único. Si no está listo, el informe muestra los cambios necesarios para prepararse para el inicio de sesión único. Por ejemplo, inspecciona si los usuarios tienen UPN y si están en el formato correcto.

En función de los dominios, es posible que tenga que hacer lo siguiente:

  • El usuario debe establecer y conocer el nombre principal del usuario (UPN).

  • El sufijo del dominio del UPN debe estar bajo el dominio elegido para configurar el inicio de sesión único.

  • El dominio que elija federar debe estar registrado como dominio público en un registrador de dominios o dentro de sus propios servidores DNS públicos.

  • Para crear UPN, siga las instrucciones del tema de Active Directory Agregar sufijos de nombre principal de usuario. Tenga presente que los nombres UPN usados para el inicio de sesión único solo pueden contener letras, números, puntos, guiones y caracteres de subrayado.

  • Si el nombre de dominio de Active Directory no es un dominio de Internet público (por ejemplo, termina con un sufijo ".local"), debe configurar un UPN para que tenga un sufijo de dominio que esté bajo un nombre de dominio de Internet que se pueda registrar públicamente. Le recomendamos que use algo que resulte familiar para los usuarios, como el dominio del correo electrónico.

  • Si ya ha configurado la sincronización de Active Directory, es posible que el UPN del usuario no coincida con el UPN local del usuario definido en Active Directory. Para corregirlo, cambie el nombre del UPN del usuario mediante el cmdlet Set-MsolUserPrincipalName del módulo Microsoft Azure Active Directory para Windows PowerShell.

Consulte también

Conceptos

Sincronización de directorios con inicio de sesión único