Exportar (0) Imprimir
Expandir todo

Administración de identidades para entornos híbridos de bosque único mediante la autenticación local

Publicada: enero de 2014

Actualizado: agosto de 2014

Se aplica a: Windows Server 2012 R2

Los usuarios corporativos quieren usar aplicaciones que residan en la nube desde cualquier lugar y cualquier dispositivo, pero no pueden hacerlo porque no disponen de métodos de autenticación. El departamento de TI corporativo quiere habilitar a los usuarios para que se autentiquen en estas aplicaciones de nube y también quiere tener capacidad en tiempo real para controlar quién puede tener acceso a estas aplicaciones.

Esta guía ofrece instrucciones sobre cómo integrar un directorio local con un directorio de la nube, de modo que los usuarios puedan tener acceso fácilmente a las aplicaciones que residen en la nube desde cualquier lugar y cualquier dispositivo. Esto se logra mediante la autenticación local. Para obtener un ejemplo de uso de autenticación de nube, vea el tema sobre cómo administrar identidades para entornos híbridos de bosque único mediante la autenticación de nube.

On-premises problem

En esta guía de soluciones:

En esta sección, se describe el escenario, el problema y los objetivos de una organización de ejemplo.

La organización es una empresa de gran tamaño con oficinas distribuidas por todo el mundo, incluso en Norteamérica, Sudamérica, Europa y Asia. Los equipos de investigación y desarrollo (I+D) operan principalmente en Europa y Norteamérica. Desarrollan las fórmulas que se usarán en los centros de producción ubicados principalmente en Asia.

Los equipos de I+D trabajan en estrecha colaboración en el desarrollo de nuevas fórmulas o en la mejora de las existentes. Esto se hace ejecutando pruebas estandarizadas similares en las instalaciones de Norteamérica y Europa y, después, se comparten los resultados. Los resultados pasan a ser definitivos y se desarrollan nuevas fórmulas. Estas fórmulas se consideran secretos comerciales y se patentan. Una vez completado este proceso, las fórmulas se envían a las instalaciones de fabricación para comenzar la producción.

Actualmente, si un miembro del equipo de I+D quiere compartir resultados con compañeros de otro departamento de la empresa o quiere enviar una fórmula a una de las plantas de Asia, el equipo aplicará el sistema de cifrado de archivos (EFS) para cifrar los archivos y enviarlos por correo electrónico. Posteriormente, el destinatario descifra los archivos.

Su organización tiene varios problemas con el proceso actual:

  • Privacidad: Los datos se transfieren por correo electrónico y aunque están cifrados, siguen siendo objeto de la piratería a través de Internet. Además, muchos de los empleados tienen acceso al correo electrónico desde sus propios dispositivos y no hay garantía alguna de que los dispositivos sean seguros.

  • Integridad: El certificado EFS se usa para cifrar archivos que se deben exportar y enviar a su destino. Los usuarios utilizan el correo electrónico para enviar esos certificados, que podrían dañar la integridad del certificado.

  • Confidencialidad: A menudo se usa el mismo certificado para cifrar los resultados de las pruebas y las fórmulas. Los empleados de las instalaciones de producción podrían descifrar estos resultados, si recibieran una copia de los mismos por error.

Para solucionar estos problemas, la organización ha decidido que desea configurar Office 365 SharePoint en la nube y usarlo como su portal para compartir los resultados de las pruebas y las fórmulas. Sin embargo, la organización quiere usar su instalación local de Active Directory como proveedor de autenticación y no quiere usar la autenticación de nube.

La organización tiene en estos momentos un proveedor de autenticación, la instalación local de Active Directory, pero este proveedor actualmente no puede autenticar a los empleados en los sitios nuevos de Office 365 SharePoint que se van a hospedar en Azure.

El problema generalizado que quiere solucionar la organización es:

En calidad de arquitecto de sistemas o administrador de TI, ¿cómo puede proporcionar a los usuarios una identidad común cuando obtengan acceso a los recursos locales y basados en la nube? Y ¿cómo puede administrar estas identidades y mantener la información sincronizada en diversos entornos sin usar demasiados recursos de TI?

Para proporcionar acceso a los sitios de SharePoint de la organización, necesitará capacidad para autenticar a los empleados con un proveedor de autenticación: la instalación local de Active Directory. Además, la organización quiere restringir el acceso a solo el departamento de I+D y los empleados de producción que necesitan acceso a los sitios. En estos momentos, son los únicos que necesitarán acceso a los sitios.

Tras haber analizado las opciones, ha determinado que puede aprovechar la instalación existente de los servicios de federación de Active Directory (AD FS) para usar la autenticación local con Azure. La organización ha implantado AD FS hace varios años. Esto supondrá un ahorro de tiempo y dinero porque el personal de TI ya está familiarizado con el uso de AD FS.

Los directivos han autorizado la compra de suscripciones a Office 365 y Azure. Ahora es el turno de los administradores de Active Directory de configurar la instalación de Azure AD y federarla con la instalación local de Active Directory.

Los administradores de Active Directory deben poder aprovechar la instalación local de Active Directory para rellenar la instalación de Azure AD. Es preciso que los administradores de Active Directory puedan realizar esta operación rápidamente. A continuación, los administradores de Active Directory necesitarán federar la instalación local de Active Directory con Azure AD. Además, la organización quiere que los empleados que tengan acceso a los sitios de SharePoint dispongan de un inicio de sesión único y que solo puedan tener acceso a los sitios al iniciar sesión en la red corporativa. La organización no quiere que se tenga acceso a estos sitios desde equipos o dispositivos externos. La organización quiere tener la posibilidad de deshabilitar rápidamente a un usuario en caso de que abandone la empresa para que no pueda tener acceso al sitio de SharePoint después de deshabilitar su cuenta. Por último, la organización desea poder personalizar la página de inicio de sesión para que los usuarios sepan que inician sesión en un sitio corporativo.

Los objetivos de la organización para su solución de identidad híbrida son:

  • Capacidad de configurar rápidamente la sincronización con la instalación local de Active Directory.

  • Capacidad de controlar quién y qué se sincroniza con Azure AD.

  • Capacidad para ofrecer un inicio de sesión único (SSO). Se recibirán alertas si la sincronización o SSO están inactivos

  • Capacidad para restringir el acceso únicamente al departamento de I+D y a los usuarios de producción que inicien sesión desde una ubicación segura y local.

  • Capacidad para impedir el acceso de usuarios en tiempo real a los recursos de nube en caso de abandono de la empresa.

  • Capacidad de limpiar con rapidez y administrar correctamente los sistemas de identidad local, de forma que puedan ser el origen para Azure AD.

  • Capacidad para personalizar la página de inicio de sesión para que presente una identidad corporativa.

Esta sección describe el diseño de la solución que aborda el problema descrito en la sección anterior y proporciona indicaciones generales de planeación para este diseño.

Con Azure AD, la organización podrá integrar la instalación local de Active Directory con la instalación de Azure AD. Esta instalación se utilizará posteriormente para redirigir a los usuarios a la página de inicio de sesión de AD FS, donde recibirán un token que, después, se enviará a Azure AD y se concederá la autenticación.

On-premises solution

En la tabla siguiente, se enumeran los elementos que forman parte de este diseño de la solución y se describe el motivo de la elección de diseño.

 

Elemento de diseño de la solución ¿Por qué se incluye en esta solución?

Herramienta de sincronización de Azure Active Directory

Se usa para sincronizar objetos de directorio local con Azure AD. Para obtener información general sobre esta tecnología, vea la Guía de sincronización de directorios.

Servicios de federación de Active Directory

Una característica de Windows Server 2012 R2 que es un servicio de token de seguridad (STS) y usa Active Directory como su almacén de identidades. El STS en AD FS puede emitir tokens de seguridad para el autor de la llamada mediante diversos protocolos, que incluyen OAuth, WS-Trust, WS-Federation y el lenguaje de marcado de aserción de seguridad (SAML) 2.0. Para obtener información general sobre esta tecnología, vea Información general de Servicios de federación de Active Directory.

Herramienta de solución de errores IdFix DirSync

Esta herramienta proporciona a los clientes la capacidad de identificar y corregir la mayoría de los errores de sincronización de objetos en los bosques de Active Directory. Para obtener información general sobre esta tecnología, vea el tema acerca de la herramienta de solución de errores DirSync IdFix.

AD FS es una característica de Windows Server 2012 R2 que permite la federación entre la instalación local de Active Directory y Azure AD. Esta característica permite a los usuarios iniciar sesión en sus servicios de Azure AD (como Office 365, Intune y CRM Online) mediante SSO. Esto confiere a los usuarios la capacidad de tener un SSO que usa la instalación local de Active Directory como el proveedor de autenticación.

La herramienta de solución de errores de sincronización de directorios IdFix DirSync se puede usar para detectar y corregir los objetos de identidad y sus atributos en un entorno local de Active Directory a la hora de prepararse para una migración. Esto le permitirá identificar rápidamente los problemas que puedan producirse con la sincronización antes de iniciarla. Con esta información, puede realizar cambios en su entorno para poder evitar estos errores.

Este diseño se recomienda porque se ocupa de los objetivos de diseño de la organización. Es decir, existen dos formas de proporcionar autenticación para Azure basadas en recursos: a través de la autenticación de nube o la autenticación local mediante un STS.

Una de las principales preocupaciones de la organización es poder impedir en tiempo real que un usuario que pudiera no estar ya en la organización tenga acceso a los recursos basados en la nube. Hay hasta un retardo de tres horas asociado al uso de la herramienta de sincronización de Azure Active Directory y la autenticación de nube. Es decir, si deshabilita la cuenta local de un usuario, puede llevar hasta tres horas para que dicho cambio aparezca en Azure. No sería lo mismo, si el usuario tuviera que regresar a las instalaciones y autenticarse. Si una cuenta de usuario se deshabilita localmente, ese usuario no recibiría tokens y no podría tener acceso a los recursos de nube.

Su organización quiere poder proporcionar SSO. Esto puede realizarse únicamente si se federa la instalación local de Active Directory con Azure AD.

La capacidad para personalizar la página de inicio de sesión está disponible solo mediante AD FS y su personalización.

Siga los pasos de esta sección para implementar la solución. Asegúrese de comprobar la correcta implementación de cada uno de los pasos antes de continuar con el siguiente.

  1. Preparar el inicio de sesión único (SSO)

    Para prepararse, debe asegurarse de que el entorno cumple los requisitos para SSO y comprobar que los inquilinos de Active Directory y Azure AD están configurados de forma que sean compatibles con los requisitos de SSO. Para obtener información, vea Preparar el inicio de sesión único.

  2. Configurar el servicio de token de seguridad local, AD FS

    Después de haber preparado el entorno para SSO, deberá configurar una nueva infraestructura de AD FS local para proporcionar a los usuarios locales y remotos de Active Directory acceso con SSO al servicio de nube. Si actualmente tiene AD FS en su entorno de producción, puede usarlo para la implementación de SSO en lugar de configurar una nueva infraestructura, siempre que sea compatible con Azure AD. Para obtener más información sobre cómo empezar a configurar STS en AD FS, siga los pasos que se indican en la Lista de comprobación: Usar AD FS para implementar y administrar el inicio de sesión único.

  3. Instalar Windows PowerShell para el inicio de sesión único con AD FS

    El módulo de Azure AD para Windows PowerShell es una descarga para administrar los datos de la organización en Azure AD. Este módulo instala un conjunto de cmdlets de Windows PowerShell que se deberá ejecutar para configurar el acceso SSO a Azure AD, a la vez que a todos los servicios de nube a los que está suscrito. Para obtener más información, vea Instalar Windows PowerShell para un inicio de sesión único con AD FS.

  4. Configurar una relación de confianza entre AD FS y Azure AD

    Es necesario establecer una relación de confianza entre Azure AD y la instalación local de Active Directory. Cada dominio que desee federar debe agregarse como dominio de inicio de sesión único o se debe convertir para que sea un dominio de inicio de sesión único a partir de un dominio estándar. Cuando se agrega o convierte un dominio, se establece una relación de confianza entre AD FS y Azure AD. Para obtener más información, vea Configurar una relación de confianza entre AD FS y Windows Azure AD.

  5. Preparar la sincronización de directorios

    Compruebe los requisitos del sistema, cree los permisos correctos y tenga en cuenta las indicaciones de rendimiento. Para obtener información, vea Preparar la sincronización de directorios. Después de completar este paso, compruebe que tiene una hoja de trabajo rellenada, que muestre las opciones de diseño de la solución seleccionadas.

  6. Activar la sincronización de directorios

    Active la sincronización de directorios de la empresa. Para obtener información, vea Activar la sincronización de directorios. Después de completar este paso, compruebe que las características están configuradas.

  7. Configurar el equipo de sincronización de directorios

    Instale la herramienta de sincronización de Azure AD. Si ya lo ha hecho, aprenda a actualizarla, desinstalarla o moverla a otro equipo. Para obtener más información, vea Configurar el equipo de sincronización de directorios. Después de completar este paso, compruebe que las características están configuradas.

  8. Sincronizar directorios

    Realice una sincronización inicial y compruebe que los datos se sincronizan correctamente. También obtendrá información sobre cómo configurar la herramienta de sincronización de Azure AD para establecer una sincronización periódica y cómo forzar la sincronización de directorios. Para obtener más información, vea Usar el Asistente para configuración para sincronizar los directorios. Después de completar este paso, compruebe que las características están configuradas.

  9. Activar usuarios sincronizados

    Active a los usuarios en el portal de Office 365 para que puedan usar los servicios a los que se haya suscrito. Esto implica asignarles una licencia para que puedan usar Office 365. Esto puede realizarlo individualmente o en bloque. Para obtener información, vea Activar usuarios sincronizados. Después de completar este paso, compruebe que las características están configuradas. Tenga en cuenta que esto es un paso opcional y solo es necesario si va a usar Office 365.

  10. Compruebe la solución.

    Después de que los usuarios estén sincronizados, compruebe el inicio de sesión en http://myapps.microsoft.com. Debería redirigirle a la página de inicio de sesión de AD FS. Una vez que haya iniciado sesión y AD FS haya autenticado al usuario, se le redirigirá a http://myapps.microsoft.com. Si tiene aplicaciones de Office 365, las verá aquí. Un usuario normal puede iniciar sesión aquí sin necesidad de una suscripción a Azure.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2015 Microsoft