Compartir a través de

Administración y personalización de AD FS mediante Microsoft Entra Connect

  • Artículo

En este artículo, se describe cómo administrar y personalizar Servicios de federación de Active Directory (AD FS) con Microsoft Entra Connect.

También obtendrá información sobre otras tareas comunes de AD FS que es posible que tenga que realizar para configurar completamente una granja de servidores de AD FS. Estas tareas se enumeran en la tabla siguiente:

Tarea Descripción
Administración de AD FS
Reparación de la confianza Obtenga información sobre cómo reparar la confianza de federación con Microsoft 365.
Federar con Microsoft Entra ID mediante un identificador de inicio de sesión alternativo Aprenda a configurar la federación mediante un identificador de inicio de sesión alternativo.
Adición de un servidor de AD FS Obtenga información sobre cómo ampliar una granja de AD FS con un servidor AD FS adicional.
Agregar un servidor de proxy de aplicación web (WAP) de AD FS Obtenga información sobre cómo ampliar una granja de AD FS con un servidor WAP adicional.
Adición de un dominio federado Obtenga información sobre cómo agregar un dominio federado.
Actualización del certificado TLS/SSL Obtenga información sobre cómo actualizar el certificado TLS/SSL de una granja de servidores de AD FS.
Personalización de AD FS
Adición de un logotipo de la compañía personalizado o una ilustración Obtenga información sobre cómo personalizar una página de inicio de sesión de AD FS con una ilustración y un logotipo de la empresa.
Adición de la descripción de inicio de sesión Obtenga información sobre cómo agregar una descripción a la página de inicio de sesión.
Modificación de las reglas de notificaciones de AD FS Aprenda cómo modificar las reclamaciones de AD FS para diversos escenarios de federación.

Gestionar AD FS

Puede realizar diversas tareas relacionadas con AD FS en Microsoft Entra Connect con mínima intervención por parte del usuario mediante el Asistente para Microsoft Entra Connect. Una vez finalizada la instalación de Microsoft Entra Connect con el asistente, puede ejecutarlo de nuevo para realizar otras tareas.

Importante

Tenga en cuenta que si va a configurar la federación con AD FS o PingFederate, necesitará una cuenta con el rol de administrador global o una cuenta que tenga los roles de administrador de identidades híbridas y administrador de nombres de dominio . Las configuraciones relacionadas con la federación requieren permisos que el administrador de identidades híbridas de actualmente no tiene, pero el rol de administrador de nombres de dominio sí.

Reparación de la confianza

Puede usar Microsoft Entra Connect para comprobar el estado actual de la confianza de AD FS y Microsoft Entra ID y, luego, tomar las medidas adecuadas para repararla. Para reparar la confianza de Microsoft Entra ID y AD FS, haga lo siguiente:

  1. Seleccione Reparar Microsoft Entra ID y confianza de ADFS en la lista de tareas.

    Captura de pantalla de la página

  2. En la página Conectarse a Microsoft Entra ID, proporcione sus credenciales de administrador de identidades híbridas para Microsoft Entra ID y, luego, seleccione Siguiente.

    Captura de pantalla que muestra la página

  3. En la página Credenciales de acceso remoto , proporcione las credenciales del administrador de dominio.

    Captura de pantalla que muestra la página

  4. Seleccione Siguiente.

    Microsoft Entra Connect comprueba el estado del certificado y muestra los problemas que existen.

    Captura de pantalla de la página

    La página Listo para configurar muestra la lista de acciones que se llevarán a cabo para reparar la confianza.

    Captura de pantalla que muestra la página

  5. Seleccione Instalar para restablecer la confianza.

Nota:

Microsoft Entra Connect solo puede reparar o actuar en los certificados autofirmados. Microsoft Entra Connect no puede reparar certificados de terceros.

Federación con Microsoft Entra ID mediante alternateID

Se recomienda mantener el nombre principal de usuario (UPN) local y el nombre principal de usuario en la nube igual. Si el UPN local usa un dominio no enrutable (por ejemplo, Contoso.local) o no se puede cambiar debido a las dependencias de la aplicación local, se recomienda configurar un identificador de inicio de sesión alternativo. Con un identificador de inicio de sesión alternativo, puede configurar una experiencia de inicio de sesión en la que los usuarios puedan iniciar sesión con un atributo distinto de su UPN, como una dirección de correo electrónico.

La opción predeterminada de UPN en Microsoft Entra Connect es el atributo userPrincipalName en Active Directory. Si elige cualquier otro atributo para el UPN y está federando mediante AD FS, Microsoft Entra Connect configura AD FS para un identificador de inicio de sesión alternativo.

En la imagen siguiente se muestra un ejemplo de cómo elegir un atributo diferente para el UPN:

Captura de pantalla que muestra la página

La configuración del identificador de inicio de sesión alternativo para AD FS consta de dos pasos principales:

  1. Configurar el conjunto de notificaciones de emisión correcto: las reglas de notificación del usuario de confianza de Microsoft Entra ID se modifican para utilizar el atributo UserPrincipalName seleccionado como identificador alternativo del usuario.

  2. Habilitar un identificador de inicio de sesión alternativo en la configuración de AD FS: se actualiza la configuración de AD FS para que AD FS pueda buscar usuarios en los bosques correspondientes con el identificador alternativo. Esta configuración se admite en AD FS en Windows Server 2012 R2 (con KB2919355) o versiones posteriores. Si los servidores de AD FS son 2012 R2, Microsoft Entra Connect comprueba si está presente la KB necesaria. Si no se detecta la KB, se muestra una advertencia una vez completada la configuración, como se muestra en la imagen siguiente:

    Captura de pantalla de la página

    Si falta alguna KB, puede remediar la configuración instalando la KB2919355 necesaria. A continuación, puede seguir las instrucciones de reparación de la confianza.

Nota:

Para más información sobre alternateID y los pasos para configurarlo manualmente, consulte Configuración de un identificador de inicio de sesión alternativo.

Adición de un servidor de AD FS

Nota:

Para agregar un servidor de AD FS, Microsoft Entra Connect necesita un certificado PFX. Por lo tanto, puede realizar esta operación solamente si ha configurado la granja de servidores de AD FS con Microsoft Entra Connect.

  1. Seleccione Implementar un servidor de federación adicional y seleccione Siguiente.

    Captura de pantalla del panel

  2. En la página Conectarse a Microsoft Entra ID, escriba sus credenciales de administrador de identidades híbridas para Microsoft Entra ID y, luego, seleccione Siguiente.

    Captura de pantalla que muestra la página

  3. Proporcione las credenciales del administrador de dominio.

    Captura de pantalla que muestra la página

  4. Microsoft Entra Connect le pide la contraseña del archivo PFX que proporcionó al configurar la nueva granja de servidores de AD FS con Microsoft Entra Connect. Seleccione Escribir contraseña para proporcionar la contraseña del archivo PFX.

    Captura de pantalla de la página

    Captura de pantalla que muestra la página

  5. En la página Servidores de AD FS , escriba el nombre del servidor o la dirección IP que se agregarán a la granja de servidores de AD FS.

    Captura de pantalla que muestra la página

  6. Seleccione Siguiente y continúe completando la página Configurar final.

    Una vez que Microsoft Entra Connect haya terminado de agregar los servidores a la granja de servidores de AD FS, se le ofrecerá la opción de comprobar la conectividad.

    Captura de pantalla que muestra la página

    Captura de pantalla que muestra la página

Adición de un servidor de AD FS WAP

Nota:

Para agregar un servidor proxy de aplicaciones web, Microsoft Entra Connect necesita el certificado PFX. Por lo tanto, puede realizar esta operación solamente después de configurar la granja de servidores de AD FS con Microsoft Entra Connect.

  1. Seleccione Implementar proxy de aplicación web en la lista de tareas disponibles.

    Implementación de Proxy de aplicación web

  2. Proporcione las credenciales de administrador de identidad híbrida de Azure.

    Captura de pantalla que muestra la página

  3. En la página Especificar el certificado SSL, indique la contraseña para el archivo PFX que proporcionó cuando configuró la granja de servidores de AD FS con Microsoft Entra Connect. Contraseña de certificado

    Especificar un certificado TLS/SSL

  4. Incluya el servidor que se agregará como servidor WAP. Dado que el servidor WAP podría no estar unido al dominio, el asistente solicitará credenciales administrativas para el servidor que se va a agregar.

    Credenciales administrativas del servidor

  5. En la página Credenciales de confianza del proxy, proporcione credenciales administrativas para configurar la confianza del proxy y tener acceso al servidor principal en la granja de servidores de AD FS.

    Credenciales de confianza del proxy

  6. En la página Listo para configurar, el asistente muestra la lista de acciones que se realizarán.

    Captura de pantalla que muestra la página

  7. Seleccione Instalar para finalizar la configuración. Una vez completada la configuración, se le ofrece la opción de comprobar la conectividad con los servidores. Seleccione Comprobar para validar la conectividad.

    Instalación completada

Adición de un dominio federado

Es fácil agregar un dominio para la federación con Microsoft Entra ID mediante Microsoft Entra Connect. Microsoft Entra Connect agrega el dominio para la federación y modifica las reglas de notificaciones para reflejar correctamente el emisor cuando existen varios dominios federados con Microsoft Entra ID.

  1. Para agregar un dominio federado, seleccione Agregar un dominio de Microsoft Entra adicional.

    Captura de pantalla del panel

  2. En la página siguiente del asistente, proporciona las credenciales de administrador híbrido para Microsoft Entra ID.

    Captura de pantalla que muestra el panel

  3. En la página Credenciales de acceso remoto , proporcione las credenciales del administrador del dominio.

    Captura de pantalla que muestra el panel

  4. En la página siguiente del asistente, aparece una lista de dominios de Microsoft Entra con los que puede federar su directorio local. Elija el dominio en la lista.

    Captura de pantalla del panel

    Después de elegir el dominio, el asistente le informa de las acciones posteriores que llevará a cabo y del impacto de la configuración. En algunos casos, si selecciona un dominio que aún no está verificado en Microsoft Entra ID, el asistente le ayudará a verificar el dominio. Para más información, consulte Incorporación de un nombre de dominio personalizado a Microsoft Entra ID.

  5. Seleccione Siguiente.

    La página Listo para configurar enumera las acciones que realizará Microsoft Entra Connect.

    Captura de pantalla del panel

  6. Seleccione Instalar para finalizar la configuración.

Nota:

Los usuarios del dominio federado agregado deben sincronizarse para poder iniciar sesión en Microsoft Entra ID.

Personalización de AD FS

En las secciones siguientes, se proporcionan detalles sobre algunas de las tareas comunes que probablemente deba realizar cuando personalice la página de inicio de sesión de AD FS.

Para cambiar el logotipo de la compañía que se muestra en la página de Inicio de sesión, use el siguiente cmdlet de PowerShell y la sintaxis.

Nota:

Las dimensiones recomendadas para el logotipo son 260 x 35 a 96 ppp con un tamaño de archivo no superior a 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Nota:

Se requiere el parámetro TargetName . El tema predeterminado que se incluyó con AD FS se llamada Default.

Agregar una descripción de inicio de sesión

Para agregar a la página de inicio de sesión una descripción de la página de inicio de sesión, use el siguiente cmdlet de PowerShell y la siguiente sintaxis.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Modificar las reglas de declaraciones de AD FS

AD FS admite un amplio lenguaje de notificaciones que sirve para crear reglas de notificaciones personalizadas. Para más información, consulte El papel del lenguaje de reglas de reclamaciones.

En las secciones siguientes, se describe cómo escribir reglas personalizadas para algunos escenarios relacionados con la federación de Microsoft Entra ID y AD FS.

Identificador inmutable dependiente de si hay un valor presente en el atributo

Microsoft Entra Connect permite especificar un atributo que se usará como delimitador de origen cuando los objetos se sincronicen con Microsoft Entra ID. Si el valor del atributo personalizado no está vacío, tal vez quiera emitir una notificación de identificador inmutable.

Por ejemplo, puede seleccionar ms-ds-consistencyguid como atributo para el delimitador de origen y emitir ImmutableID como ms-ds-consistencyguid en caso de que el atributo tenga un valor para él. Si no hay ningún valor para el atributo, emita objectGuid como identificador inmutable. Puede construir el conjunto de reglas de reclamaciones personalizadas, tal como se describe en la sección siguiente.

Regla 1: Consultar atributos

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

En esta regla simplemente se consultan los valores de ms-ds-consistencyguid y objectGuid para el usuario desde Active Directory. Cambie el nombre del almacén por un nombre adecuado en la implementación de AD FS. Cambie también el tipo de reclamaciones a un tipo adecuado para su federación, tal como se define para los atributos objectGuid y ms-ds-consistencyguid.

Además, al usar add y no issue, se evita agregar un problema de salida para la entidad, y se pueden usar los valores como valores intermedios. emitirá la notificación en una regla posterior después de establecerse el valor que se usará como identificador inmutable.

Regla 2: Comprobar si ms-ds-consistencyguid existe para el usuario

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Esta regla define un marcador temporal idflag, que se establece en useguid si no hay ningún atributo ms-ds-consistencyguid rellenado para el usuario. Esto se debe a que AD FS no admite notificaciones vacías. Al agregar notificaciones http://contoso.com/ws/2016/02/identity/claims/objectguid y http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid en la Regla 1, solo obtendrá una notificación msdsconsistencyguid si el valor ha sido rellenado por el usuario. Si no se rellena, AD FS ve que tiene un valor vacío y lo descarta inmediatamente. Todos los objetos tendrán el atributo objectGuid, así que esa notificación seguirá estando después de que se ejecute la regla 1.

Regla 3: Emitir el atributo ms-ds-consistencyguid como identificador inmutable si está presente

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Se trata de una comprobación Exist implícita. Si el valor de la notificación existe, emítalo como identificador inmutable. En el ejemplo anterior se utiliza la afirmación nameidentifier. Tendrá que cambiar este valor al tipo de notificación adecuado para un identificador inmutable en su entorno.

Regla 4: Emitir el atributo objectGUID como identificador inmutable si ms-ds-consistencyguid no está presente

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Con esta regla, simplemente compruebas la bandera temporal idflag. Decida usted si va a emitir la reclamación basándose en su valor.

Nota:

La secuencia de estas reglas es importante.

SSO con un UPN de subdominio

Puede agregar más de un dominio para federarlo mediante Microsoft Entra Connect, tal como se describe en Incorporación de un nuevo dominio federado. Las versiones de Microsoft Entra Connect 1.1.553.0 y posteriores crean automáticamente la regla de notificación correcta para issuerID.

Pasos siguientes

Obtenga más información sobre las opciones de inicio de sesión del usuario.