Administración de identidades para entornos híbridos de bosque único usando la autenticación local

 

¿Cómo puede ayudarle esta guía?

Los usuarios corporativos quieren usar aplicaciones que residan en la nube desde cualquier lugar y cualquier dispositivo, pero no pueden hacerlo porque no disponen de métodos de autenticación. El departamento de TI corporativo quiere habilitar a los usuarios para que se autentiquen en estas aplicaciones de nube y también quiere tener capacidad en tiempo real para controlar quién puede tener acceso a estas aplicaciones.

Esta guía ofrece instrucciones de diseño comprobadas para integrar un directorio local con un directorio en la nube, de modo que los usuarios puedan acceder fácilmente a las aplicaciones que residen en la nube desde cualquier lugar y cualquier dispositivo. Esto se logra mediante la autenticación local. Para obtener un ejemplo de uso de autenticación de nube, vea el tema sobre cómo administrar identidades para entornos híbridos de bosque único mediante la autenticación de nube.

Problema local

En esta guía de soluciones:

  • Escenario, declaración del problema y objetivos

  • ¿Cuál es el enfoque de diseño y planificación de esta solución?

  • ¿Por qué recomendamos este diseño?

  • ¿Cuáles son los pasos de alto nivel para implementar esta solución?

Escenario, declaración del problema y objetivos

En esta sección se describe el escenario, el problema y los objetivos de una organización de ejemplo.

Escenario

La organización es una empresa de gran tamaño con oficinas distribuidas por todo el mundo, incluso en Norteamérica, Sudamérica, Europa y Asia. Los equipos de investigación y desarrollo (I+D) operan principalmente en Europa y Norteamérica. Desarrollan las fórmulas que se usarán en los centros de producción ubicados principalmente en Asia.

Los equipos de I+D trabajan en estrecha colaboración en el desarrollo de nuevas fórmulas o en la mejora de las existentes. Esto se hace ejecutando pruebas estandarizadas similares en las instalaciones de Norteamérica y Europa y, después, se comparten los resultados. Los resultados pasan a ser definitivos y se desarrollan nuevas fórmulas. Estas fórmulas se consideran secretos comerciales y se patentan. Una vez completado este proceso, las fórmulas se envían a las instalaciones de fabricación para comenzar la producción.

Actualmente, si un miembro del equipo de I+D quiere compartir resultados con compañeros de otro departamento de la empresa o quiere enviar una fórmula a una de las plantas de Asia, el equipo aplicará el sistema de cifrado de archivos (EFS) para cifrar los archivos y enviarlos por correo electrónico. Posteriormente, el destinatario descifra los archivos.

Su organización tiene varios problemas con el proceso actual:

  • Privacidad: los datos se transfieren por correo electrónico y aunque están cifrados, siguen siendo objeto de la piratería a través de Internet. Además, muchos de los empleados tienen acceso al correo electrónico desde sus propios dispositivos y no hay garantía alguna de que los dispositivos sean seguros.

  • Integridad: el certificado EFS se usa para cifrar archivos que se deben exportar y enviar a su destino. Los usuarios utilizan el correo electrónico para enviar esos certificados, que podrían dañar la integridad del certificado.

  • Confidencialidad: a menudo se usa el mismo certificado para cifrar los resultados de las pruebas y las fórmulas. Los empleados de las instalaciones de producción podrían descifrar estos resultados, si recibieran una copia de los mismos por error.

Para solucionar estos problemas, la organización ha decidido que desea configurar Office 365 SharePoint en la nube y usarlo como su portal para compartir los resultados de las pruebas y las fórmulas. Sin embargo, la organización quiere usar su instalación local de Active Directory como proveedor de autenticación y no quiere usar la autenticación de nube.

Declaración del problema

La organización tiene en estos momentos un proveedor de autenticación, la instalación local de Active Directory, pero este proveedor actualmente no puede autenticar a los empleados en los sitios nuevos de Office 365 SharePoint que se van a hospedar en Azure.

El problema generalizado que quiere solucionar la organización es:

En calidad de arquitecto de sistemas o administrador de TI, ¿cómo puede proporcionar a los usuarios una identidad común cuando obtengan acceso a los recursos locales y basados en la nube? Y ¿cómo puede administrar estas identidades y mantener la información sincronizada en diversos entornos sin usar demasiados recursos de TI?

Para proporcionar acceso a los sitios de SharePoint de la organización, necesitará capacidad para autenticar a los empleados con un proveedor de autenticación: la instalación local de Active Directory. Además, la organización quiere restringir el acceso a solo el departamento de I+D y los empleados de producción que necesitan acceso a los sitios. En estos momentos, son los únicos que necesitarán acceso a los sitios.

Tras haber analizado las opciones, ha determinado que puede aprovechar la instalación existente de los servicios de federación de Active Directory (AD FS) para usar la autenticación local con Azure. La organización ha implantado AD FS hace varios años. Esto supondrá un ahorro de tiempo y dinero porque el personal de TI ya está familiarizado con el uso de AD FS.

Los directivos han autorizado la compra de suscripciones a Office 365 y Azure. Ahora es el turno de que los administradores de Active Directory configuren la instancia de Azure AD y la federen con Active Directory local.

Los administradores de Active Directory deben poder aprovechar la instalación local de Active Directory para rellenar la instalación de Azure AD. Es preciso que los administradores de Active Directory puedan realizar esta operación rápidamente. A continuación, los administradores de Active Directory necesitarán federar la instalación local de Active Directory con Azure AD. Además, la organización quiere que los empleados que tengan acceso a los sitios de SharePoint dispongan de un inicio de sesión único y que solo puedan tener acceso a los sitios al iniciar sesión en la red corporativa. La organización no quiere que se tenga acceso a estos sitios desde equipos o dispositivos externos. La organización quiere tener la posibilidad de deshabilitar rápidamente a un usuario en caso de que abandone la empresa para que no pueda tener acceso al sitio de SharePoint después de deshabilitar su cuenta. Por último, la organización desea poder personalizar la página de inicio de sesión para que los usuarios sepan que inician sesión en un sitio corporativo.

Objetivos de la organización

Los objetivos de la organización para su solución de identidad híbrida son:

  • Capacidad de administrar identidades en el directorio local con identidades en la nube.

  • Capacidad de configurar rápidamente la sincronización con el directorio de bosque único local.

  • Capacidad de proporcionar un directorio de autenticación local.

  • Capacidad de controlar quién y qué se sincroniza con la nube.

  • Capacidad para ofrecer un inicio de sesión único (SSO). Se recibirán alertas si la sincronización o SSO están inactivos.

  • Capacidad para restringir el acceso únicamente al departamento de I+D y a los usuarios de producción que inicien sesión desde una ubicación segura y local.

  • Capacidad para impedir el acceso de usuarios en tiempo real a los recursos de nube en caso de abandono de la empresa.

  • Capacidad de limpiar con rapidez y administrar correctamente los sistemas de identidad local, de forma que puedan ser el origen de cara a la nube.

  • Capacidad para personalizar la página de inicio de sesión para que presente una identidad corporativa.

¿Cuál es el enfoque de diseño y planificación de esta solución?

Esta sección describe el diseño de la solución que aborda el problema descrito en la sección anterior y proporciona indicaciones generales de planeación para este diseño.

Con Azure AD, la organización podrá integrar la instalación local de Active Directory con la instalación de Azure AD. Esta instalación se utilizará posteriormente para redirigir a los usuarios a la página de inicio de sesión de AD FS, donde recibirán un token que, después, se enviará a Azure AD y se concederá la autenticación.

Solución local

La siguiente tabla muestra los elementos que forman parte de este diseño de la solución y describe el motivo de la elección del diseño.

Elemento de diseño de la solución

¿Por qué se ha incluido en esta solución?

Herramienta de sincronización de Azure Active Directory

Se usa para sincronizar objetos de directorio local con Azure AD. Para obtener información general de esta tecnología, vea Mapa de ruta de sincronización de directorios.

Servicios de federación de Active Directory

Una característica de Windows Server 2012 R2 que es un servicio de token de seguridad (STS) y usa Active Directory como su almacén de identidades. El STS en AD FS puede emitir tokens de seguridad para el autor de la llamada mediante diversos protocolos, que incluyen OAuth, WS-Trust, WS-Federation y el lenguaje de marcado de aserción de seguridad (SAML) 2.0. Para obtener información general sobre esta tecnología, vea Información general de Servicios de federación de Active Directory.

Herramienta de solución de errores IdFix DirSync

Esta herramienta proporciona a los clientes la capacidad de identificar y corregir la mayoría de los errores de sincronización de objetos en los bosques de Active Directory. Para obtener información general de esta tecnología, vea Herramienta de solución de errores IdFix DirSync.

AD FS es una característica de Windows Server 2012 R2 que permite la federación entre la instalación local de Active Directory y Azure AD. Esta característica permite a los usuarios iniciar sesión en sus servicios de Azure AD (como Office 365, Intune y CRM Online) mediante SSO. Esto confiere a los usuarios la capacidad de tener un SSO que usa la instalación local de Active Directory como el proveedor de autenticación.

La herramienta de solución de errores de sincronización de directorios IdFix DirSync se puede usar para detectar y corregir los objetos de identidad y sus atributos en un entorno local de Active Directory a la hora de prepararse para una migración. Esto le permitirá identificar rápidamente los problemas que puedan producirse con la sincronización antes de iniciarla. Con esta información, puede realizar cambios en su entorno para poder evitar estos errores.

¿Por qué recomendamos este diseño?

Este diseño se recomienda porque se ocupa de los objetivos de diseño de la organización. Es decir, existen dos formas de proporcionar autenticación para Azure basadas en recursos: a través de la autenticación de nube o la autenticación local mediante un STS.

Una de las principales preocupaciones de la organización es poder impedir en tiempo real que un usuario que pudiera no estar ya en la organización tenga acceso a los recursos basados en la nube. Hay hasta un retardo de tres horas asociado al uso de la herramienta de sincronización de Azure Active Directory y la autenticación de nube. Es decir, si deshabilita la cuenta local de un usuario, puede llevar hasta tres horas para que dicho cambio aparezca en Azure. No sería lo mismo, si el usuario tuviera que regresar a las instalaciones y autenticarse. Si una cuenta de usuario se deshabilita localmente, ese usuario no recibiría tokens y no podría tener acceso a los recursos de nube.

Su organización quiere poder proporcionar SSO. Esto puede realizarse únicamente si se federa la instalación local de Active Directory con Azure AD.

La capacidad para personalizar la página de inicio de sesión está disponible solo mediante AD FS y su personalización.

¿Cuáles son los pasos de alto nivel para implementar esta solución?

Puede usar los pasos de esta sección para implementar la solución. Asegúrese de comprobar la implementación correcta de cada paso antes de continuar con el paso siguiente.

  1. Preparar el inicio de sesión único (SSO)

    Para prepararse, debe asegurarse de que el entorno cumple los requisitos para SSO y comprobar que los inquilinos de Active Directory y Azure AD están configurados de forma que sean compatibles con los requisitos de SSO. Para obtener más información, vea Preparación del inicio de sesión único.

  2. Configurar el servicio de token de seguridad local, AD FS

    Después de haber preparado el entorno para SSO, deberá configurar una nueva infraestructura de AD FS local para proporcionar a los usuarios locales y remotos de Active Directory acceso con SSO al servicio de nube. Si actualmente tiene AD FS en su entorno de producción, puede usarlo para la implementación de SSO en lugar de configurar una nueva infraestructura, siempre que sea compatible con Azure AD. Para obtener más información sobre cómo empezar a configurar STS en AD FS, siga los pasos que se indican en la Lista de comprobación: uso de AD FS para implementar y administrar inicio de sesión único.

  3. Instalar Windows PowerShell para el inicio de sesión único con AD FS

    El módulo de Azure AD para Windows PowerShell es una descarga para administrar los datos de la organización en Azure AD. Este módulo instala un conjunto de cmdlets de Windows PowerShell que se deberá ejecutar para configurar el acceso SSO a Azure AD, a la vez que a todos los servicios de nube a los que está suscrito. Para obtener más información, vea Instalación de Windows PowerShell para inicio de sesión único de AD FS.

  4. Configurar una relación de confianza entre AD FS y Azure AD

    Es necesario establecer una relación de confianza entre Azure AD y la instalación local de Active Directory. Cada dominio que desee federar debe agregarse como dominio de inicio de sesión único o se debe convertir para que sea un dominio de inicio de sesión único a partir de un dominio estándar. Cuando se agrega o convierte un dominio, se establece una relación de confianza entre AD FS y Azure AD. Para obtener más información, vea Configuración de una relación de confianza entre AD FS y Azure AD.

  5. Preparar la sincronización de directorios

    Compruebe los requisitos del sistema, cree los permisos correctos y tenga en cuenta las consideraciones de rendimiento. Para obtener más información, vea Preparación de la sincronización de directorios. Después de completar este paso, compruebe que tenga una hoja de trabajo completa que muestre las opciones de diseño de la solución que ha seleccionado.

  6. Activar la sincronización de directorios

    Active la sincronización de directorios de su compañía. Para obtener más información, vea Activación de la sincronización de directorios. Después de completar este paso, compruebe que las características están configuradas.

  7. Configurar el equipo de sincronización de directorios

    Instale la herramienta de sincronización de Azure AD. Si ya lo ha hecho, aprenda a actualizarla, desinstalarla o moverla a otro equipo. Para obtener más información, vea Configuración del equipo de sincronización de directorios. Después de completar este paso, compruebe que las características están configuradas.

  8. Sincronizar directorios

    Realice una sincronización inicial y compruebe que los datos se hayan sincronizado correctamente. También aprenderá a configurar la herramienta de sincronización de Azure AD para configurar sincronizaciones periódicas y a forzar la sincronización de directorios. Para obtener más información, vea Uso del Asistente para configuración de sincronización de directorios. Después de completar este paso, compruebe que las características están configuradas.

  9. Activar usuarios sincronizados

    Active los usuarios en el portal de Office 365 para poder usar los servicios a los que se haya suscrito. Esto implica asignarles una licencia de uso de Office 365. Esto puede realizarlo individualmente o en bloque. Para obtener más información, vea Activación de usuarios sincronizados. Después de completar este paso, compruebe que las características están configuradas. Tenga en cuenta que esto es un paso opcional y solo es necesario si va a usar Office 365.

  10. Compruebe la solución.

    Una vez sincronizados los usuarios, pruebe el inicio de sesión en https://myapps.microsoft.com. Debería redirigirle a la página de inicio de sesión de AD FS. Una vez que haya iniciado sesión y AD FS haya autenticado al usuario, se le redirigirá a https://myapps.microsoft.com. Si tiene aplicaciones de Office 365, las verá aquí. Un usuario normal puede iniciar sesión aquí sin necesidad de suscribirse a Azure.

Consulte también

Tipo de contenido

Referencias

Introducción/evaluación de productos

Guía de prácticas de laboratorio: creación de un entorno de Azure AD y Windows Server AD mediante DirSync con sincronización de contraseñas 

Guía de prácticas de laboratorio: creación de un entorno de Azure AD y Windows Server AD con federación (SSO)

Planificación y diseño

Guía de diseño de AD FS en Windows Server 2012

Integración de directorios

Implementación

Guía de implementación de AD FS en Windows Server 2012 R2

Guía de sincronización de directorios

Guía para el inicio de sesión único

Operaciones

Operaciones de AD FS

Soporte técnico

Solución de problemas de sincronización de directorios

Foro de Forefront Identity Manager

Foros de Azure

Referencia

Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único

Determinación de qué escenario de integración de directorios usar

Recursos de la comunidad

Identidad en la nube

Soluciones relacionadas

Administración optimizada para dispositivos móviles y equipos en un entorno híbrido

Tecnologías relacionadas

Azure

Forefront Identity Manager 2010 R2

Servicios de federación de Active Directory