Información general sobre identidad, autenticación y autorización en Office 2013
Se aplica a: Office 2013, Office 365 ProPlus
Última modificación del tema: 2018-01-27
Resumen: describe la autenticación, los tipos de inicio de sesión de Office 2013, así como el uso de la configuración del Registro para determinar qué identidades de usuario se ofrecen al iniciar sesión.
Público: profesionales de TI
Muchas de las secciones en este artículo se basan en la identidad y la autenticación de póster de Office 2013, que puede descargar desde el centro de descarga.
En el nuevo Office, las aplicaciones de Office se usan para actividades empresariales y no empresariales. Se puede usar Excel para comprimir los números de ventas del widget Q2 durante el día y comprimir las estadísticas de la Copa del Mundo por la noche, o bien usar Word para escribir especificaciones de producto durante el día y cuentos cortos por la noche. Como Office es una herramienta que usa el mismo individuo en dos roles diferentes, el nuevo Office ofrece dos identidades con las que el usuario puede iniciar sesión en Office 2013:
Una cuenta Microsoft, que la mayoría de personas usan para los negocios personales
Un identificador de organización asignado por Microsoft, que la mayoría de personas usan cuando trabajan para una organización, ya sea empresarial, caritativa o educativa.
Las credenciales usadas para iniciar sesión se reconocen como identificación personal o identificación de la organización. Esta identidad de inicio de sesión se convierte en el "dominio de inicio" del usuario y determina a qué documentos tiene acceso el usuario en los servicios de SharePoint, OneDrive o Office 365 para una sesión determinada. Cada identidad de inicio de sesión única se guarda en una lista Utilizados recientemente, a fin de que sea fácil cambiar entre identidades sin abandonar la experiencia de Office.
Para mayor comodidad, los usuarios pueden elegir montar un servicio de documentos en línea para que sus identidades puedan obtener acceso a los documentos fácilmente. Por ejemplo, se puede montar un OneDrive personal en una identidad de organización, de modo que se pueda tener acceso a documentos personales desde el trabajo o la escuela, sin tener que cambiar de identidad. Asimismo, cuando un usuario se autentica usando una identidad, esta autenticación es válida para todas las aplicaciones de Office y no solo en la aplicación en la que inició sesión.
Y lo mejor de todo es que todo esto funciona sin tener que cambiar nada, con solo comprar el producto.
Importante: |
---|
Este artículo forma parte de Guía básica de identidad, autenticación y autorización de Office 2013 para profesionales de TI. Use esta guía como punto de partida para acceder a artículos, descargas, pósters y vídeos de utilidad para evaluar la identidad deOffice 2013. ¿Busca ayuda sobre aplicaciones de Office 2013 individuales? Busque en Office.com para encontrar esta información. |
En este artículo:
Protocolos de autenticación de Office
Uso de la configuración del Registro para determinar qué tipos de identificador ofrecer a un usuario al iniciar sesión
Uso de una configuración de Registro para evitar que un usuario se conecte a recursos de Office 2013 en Internet
Eliminación del perfil de Office y de las credenciales asociadas a una identidad de inicio de sesión eliminada
Protocolos de autenticación de Office
En Office 2010, los usuarios se autentican con Autenticación basada en formularios (FBA), Autenticación integrada de Windows (WIA) o Autenticación de inclusiones del servidor (SSI) Passport, también conocida como "Passport Tweener". En Office 2013, se puede seguir usando FBA o WIA pero, en vez de SSI, ahora usamos el nuevo estándar abierto, basado en token Open Authorization 2.0 (OAuth 2.0). Consulte la tabla siguiente para obtener información general de los protocolos de autenticación que se pueden usar con Office, incluido Office 2013.
Protocolos de autenticación de Office
Versión cliente de Office | Protocolo de autenticación | Servidor |
---|---|---|
Office 2010, Office 2013 |
Autenticación basada en formularios (FBA). La autenticación basada en formularios usa la redirección del lado cliente para reenviar usuarios no autenticados a un formulario HTML donde pueden especificar sus credenciales. Después de validarlas, se redirecciona a los usuarios a los recursos que solicitaron. |
SharePoint Online |
Office 2010, Office 2013 |
Autenticación integrada de Windows (WIA). Esto se negocia, como ocurre con el protocolo Kerberos o NTLM. En este escenario, el sistema operativo proporciona la autenticación. |
SharePoint 2010, SharePoint 2013 |
Office 2010, Office 2013 |
Autenticación SSI o Passport Tweener. Cuando un usuario proporciona credenciales de Windows Live ID o una cuenta Microsoft, el servicio Windows Live ID devuelve un "vale" de pasaporte que el cliente usa para tener acceso a los servicios de Windows Live. |
OneDrive |
Office 2013 |
Open Authorization 2.0 (OAuth 2.0). OAuth 2.0 proporciona una autorización temporal, basada en el redireccionamiento. Los usuarios de aplicaciones web que actúen en representación de otro usuario pueden solicitar autorización para tener acceso, de forma temporal, a recursos de red especificados de un propietario de recursos. Para más información, consulte OAuth 2.0. |
OneDrive |
Office 2013 |
Ayudante para el inicio de sesión de Microsoft Online Services. El Ayudante para el inicio de sesión de Microsoft Online Services proporciona capacidades de inicio de sesión de usuario final a Microsoft Online Services como, por ejemplo, Office 365. Para más información sobre el Ayudante para el inicio de sesión de Microsoft Online Services y los profesionales de TI, consulte el tema sobre el Ayudante de inicio de sesión de Microsoft Online Services para los profesionales de TI RTW. La descarga debe distribuirse en los sistemas cliente administrados como parte de una implementación cliente de Office 365, usando System Center Administrador de configuración (SCCM) o sistemas de distribución de software similares. |
Servicios de Office 365 (para SharePoint Online 2013, Excel Online 2013 y Lync Online 2013) |
Tipos de inicio de sesión en Office 2013
Se admiten dos tipos de inicio de sesión cuando los usuarios inician sesión en Office 2013: una cuenta Microsoft o un identificador de organización que Microsoft asigna.
Cuenta Microsoft (la cuenta individual del usuario). Esta cuenta, conocida anteriormente como Id. Microsoft, es la credencial que los usuarios emplean para autenticarse en la red Microsoft y se usa con frecuencia para cuestiones personales no relacionadas con el trabajo como, por ejemplo, un voluntariado. Para crear una cuenta Microsoft, es preciso proporcionar un nombre de usuario y una contraseña, un determinado tipo de información demográfica y "pruebas de la cuenta" como, por ejemplo, un correo alternativo o un número de teléfono. Para más información sobre la nueva cuenta Microsoft, consulte el artículo ¿Qué es una cuenta Microsoft?.
Un identificador de organización asignado por el identificador de cuenta Microsoft / Office 365, asignado a su vez por Microsoft. Esta cuenta se crea para emplearla en el negocio. Una cuenta de Office 365 puede pertenecer a uno de los tres tipos siguientes: un identificador de Office 365 puro, un identificador de Active Directory o un identificador de los Servicios de federación de Active Directory. A continuación, los describimos:
Identificador de Office 365. Este identificador se crea cuando un administrador configura un dominio de Office 365 y toma la forma <usuario>@<org>.onmicrosoft.com; por ejemplo,
sally@contoso.onmicrosoft.com
Identificador de la organización asignado por Microsoft y validado comparándolo con el identificador de Active Directory del usuario. Identificador de la organización asignado por Microsoft y validado comparándolo con Active Directory tal como se indica a continuación:
Primero, una persona que tiene una cuenta [dominio local]\<usuario> intenta obtener acceso a los recursos de la organización.
Después, el recurso solicita que el usuario se autentique.
Luego, el usuario escribe su nombre de usuario de la organización y la contraseña.
Por último, el nombre de usuario y la contraseña se validan comparándolos con la base de datos AD de la organización, se autentica al usuario y se le da acceso al recurso solicitado.
Un identificador de la organización asignado por Microsoft y validado comparándolo con el identificador de Servicios de federación de Active Directory del usuario. Un identificador de la organización asignado por Microsoft y validado comparándolo con los Servicios de federación de Active Directory (ADFS) tal como se indica a continuación:
Primero, una persona que tiene un org.onmicrosoft.com intenta obtener acceso a los recursos de la organización asociada.
Después, el recurso solicita que el usuario se autentique.
Luego, el usuario escribe su nombre de usuario de la organización y la contraseña.
A continuación, el nombre de usuario y la contraseña se validan comparándolos con la base de datos AD de la organización.
Por último, esos mismos nombre de usuario y contraseña se pasan a la base de datos AD federada del asociado, se autentica al usuario y se le da acceso al recurso solicitado.
Para los recursos locales, Office 2013 usa el nombre de usuario dominio\alias para la autenticación. Para los recursos federados, Office 2013 usa el nombre de usuario alias@org.onmicrosoft.com para la autenticación.
Uso de la configuración del Registro para determinar qué tipos de identificador ofrecer a un usuario al iniciar sesión
De manera predeterminada, cuando un usuario intenta obtener acceso a un recurso de Office 2013, Office 2013 incluye las claves de Registro configuradas para mostrar el identificador de cuenta de un usuario y el identificador de organización asignado por Microsoft. Ahora bien, puede cambiar esto para que solo aparezca la cuenta Microsoft o el identificador de organización, o ninguno. Esta configuración se cambia en el Registro del equipo.
Para cambiar los tipos de inicio de sesión que Office 2013 ofrece al usuario
En el editor del Registro, vaya a:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\SignIn\SignInOptions
Establezca el valor de SignInOptions en uno de los valores de la tabla siguiente. El tipo de la opción SignInOptions es DWORD.
Configuración de SignInOptions
Si establece SignInOptions en… Significa Este es el efecto en los usuarios 0
Cuenta Microsoft o id. de la organización
Los usuarios pueden iniciar sesión y acceder a contenido de Office mediante su cuenta Microsoft o una asignada por la organización.
1
Solo la cuenta de Microsoft
Los usuarios pueden iniciar sesión solo con la cuenta de Microsoft.
2
Solo la organización
Los usuarios pueden iniciar sesión solo con el identificador de usuario que la organización les asignó. Puede ser un identificador de usuario en Azure Active Directory o un identificador de usuario en Servicios de dominio de Active Directory (AD DS) en Windows Server.
3
Solo AD DS
Los usuarios pueden iniciar sesión solo con un identificador de usuario en Servicios de dominio de Active Directory (AD DS) en Windows Server.
4
Ninguno permitido
Los usuarios no pueden iniciar sesión con ningún identificador.
Si deshabilita o no configura Bloquear el inicio de sesión en Office, la configuración predeterminada será 0, lo que significa que los usuarios pueden iniciar sesión con la cuenta Microsoft o con una asignada por la organización.
Uso de una configuración de Registro para evitar que un usuario se conecte a recursos de Office 2013 en Internet
De manera predeterminada, Office 2013 da acceso a los usuarios a los archivos de Office 2013 que residen en Internet. Puede cambiar esta configuración para que los usuarios no puedan ver esos recursos.
Para permitir o evitar que un usuario se conecte a los recursos de Internet de Office 2013
En el editor del Registro, vaya a:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet\UseOnlineContent
Establezca el valor de UseOnlineContent en uno de los valores siguientes:
Valores de UseOnlineContent de Office 2013
Valor UseOnlineContent Tipo de valor Descripción 0
DWORD
No permite que el usuario obtenga acceso a los recursos de Office 2013 en Internet.
1
DWORD
Permite que el usuario pueda optar a obtener acceso a los recursos de Office 2013 en Internet.
2
DWORD
(Valor predeterminado) Permite que el usuario obtenga acceso a los recursos de Office 2013 en Internet.
Eliminación del perfil de Office y de las credenciales asociadas a una identidad de inicio de sesión eliminada
Cuando un usuario inicia sesión en una aplicación de Office con el identificador de cuenta Microsoft o el identificador de su organización, se crea en el Registro un perfil de Office y sus credenciales correspondientes. La página de inicio de sesión da al usuario la posibilidad de eliminar dicha identidad, justo debajo de la pregunta "¿No recuerda el nombre de usuario?" cerca del avatar del usuario o su foto y nombre. Si se elige eliminar una de las opciones de identidad, se eliminará de la página de inicio de sesión. Ahora bien, el perfil de Office y las credenciales seguirán estando en la memoria caché durante un corto plazo de tiempo. Si esto produce un problema de seguridad, como en el caso de que se despida de la organización a un usuario, elimine inmediatamente esa configuración del perfil de Office del Registro. Para ello, vaya al perfil de Office del usuario y elimínelo.
Para eliminar un perfil de Office que pueda seguir estando en caché
En el editor del Registro, vaya a:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Identity\Identities
Seleccione el perfil de Office que quiera eliminar y elija Eliminar.
En el subárbol Identity, vaya al nodo Profiles, elija esa identidad, abra el menú contextual (haciendo clic con el botón secundario) y seleccione Eliminar.
Consulte también
Guía básica de identidad, autenticación y autorización de Office 2013
Información general sobre la seguridad de Office 2013
¿Qué es una cuenta de Microsoft?
OAuth 2.0
Ayudante para el inicio de sesión de Microsoft Online Services para profesionales de TI (RTW)