Ejercicio: configurar Microsoft Entra ID
En este ejercicio se le guía por el proceso de creación y administración de entidades relacionadas con Microsoft Entra ID, incluyendo los inquilinos, usuarios y grupos de Microsoft Entra. Para empezar, cree una cuenta de usuario y dos grupos en el inquilino de Microsoft Entra asociado a su suscripción y agregue el usuario al primer grupo. A continuación, creará otro inquilino de Microsoft Entra y una cuenta de usuario en ese inquilino. Para finalizar este ejercicio, agregará la cuenta de usuario del segundo inquilino como una cuenta de invitado en el primer inquilino. En los ejercicios posteriores de este módulo, implementará la integración entre una instancia de un solo servidor de Azure Database for PostgreSQL y el primer inquilino de Microsoft Entra, y concederá acceso a su contenido a los dos grupos creados anteriormente.
En este ejercicio, aprenderá a:
- Creación de objetos de grupo y usuario en el inquilino de Microsoft Entra asociados a su suscripción de Azure.
- Cree un inquilino adicional de Microsoft Entra y un objeto de usuario.
- Cree y configure un usuario invitado de Microsoft Entra en el inquilino de Microsoft Entra asociado a su suscripción de Azure.
Requisitos previos
Para realizar este ejercicio, necesitará lo siguiente:
- Una cuenta de Azure con una suscripción activa. Antes de comenzar, si no tiene una cuenta de Azure, cree una gratuita. Se recomienda usar un entorno de prueba, como una cuenta gratuita, para este módulo.
- La cuenta de Azure debe tener permisos para administrar aplicaciones. Para obtener más información sobre los roles entra y el uso del principio de privilegios mínimos, consulte los procedimientos recomendados para los roles de Microsoft Entra y los rolesintegrados de Microsoft Entra.
- Una cuenta de Microsoft o una cuenta de Microsoft Entra con el rol Administrador global en el inquilino de Microsoft Entra asociado a la suscripción de Azure y con el rol Propietario o Colaborador en la suscripción de Azure.
Advertencia
Use un entorno de prueba porque los ejercicios de este módulo realizan operaciones confidenciales que requieren privilegios administrativos elevados.
Creación de objetos de grupo y usuario en el inquilino de Microsoft Entra asociados a su suscripción de Azure
Para empezar, cree objetos de usuario y grupo de Microsoft Entra. Una vez creados los objetos, configurará sus respectivas pertenencias a grupos. Para acelerar las tareas de configuración, usará la CLI de Azure. Se basará en los objetos de Microsoft Entra para autenticarse en la instancia de un solo servidor de Azure Database for PostgreSQL en el siguiente ejercicio de este módulo.
Abra un explorador web, vaya a Azure Portal e inicie sesión para acceder a la suscripción de Azure que va a usar en este módulo.
En Azure Portal, abra Cloud Shell. Para ello, seleccione su icono en la barra de herramientas que se encuentra junto al cuadro de texto de búsqueda.
Si es necesario, seleccione Bash.
Nota:
Si es la primera vez que inicia Azure Cloud Shell y aparece el mensaje No tiene ningún almacenamiento montado, seleccione la suscripción que usa en este ejercicio y luego Create Storage (Crear almacenamiento).
En la sesión de Bash del panel Azure Cloud Shell, ejecute el siguiente comando para identificar el nombre de dominio DNS predeterminado del inquilino de Microsoft Entra asociado a la suscripción de Azure:
DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)Ejecute el siguiente comando para crear un usuario de Microsoft Entra en el inquilino de Microsoft Entra asociado a la suscripción de Azure:
ADMIN_NAME=adatumadmin1 ADMIN=$(az ad user create --display-name $ADMIN_NAME \ --password <enter your password> \ --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Nota:
En el siguiente ejercicio, configurará esta cuenta de usuario como administrador de Microsoft Entra de la instancia de un solo servidor de Azure Database for PostgreSQL.
Ejecute el siguiente comando para identificar el valor del atributo userPrincipalName del usuario de Microsoft Entra que creó en el paso anterior:
echo $ADMIN | jq -r '.userPrincipalName'Nota:
Anote este valor. Lo necesitará en el ejercicio siguiente de este módulo.
Ejecute los siguientes comandos para asignar al usuario recién creado el rol Colaborador en la suscripción de Azure que usa para los ejercicios de este módulo:
ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id') SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$ADMIN_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Nota:
El segundo comando devolverá el identificador de la suscripción predeterminada. Si pretende usar una suscripción diferente, debe establecer el valor de la variable $SUBSCRIPTION_ID en consecuencia.
Ejecute el siguiente comando para crear un usuario de Microsoft Entra en el inquilino de Microsoft Entra asociado a la suscripción de Azure:
USER_NAME=adatumuser1 USER=$(az ad user create --display-name $USER_NAME \ --password <enter your password> \ --user-principal-name $USER_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Nota:
Configurará esta cuenta de usuario como un usuario de Microsoft Entra sin privilegios con acceso a una base de datos en la instancia de un solo servidor de Azure Database for PostgreSQL en el ejercicio siguiente.
Ejecute el siguiente comando para crear un grupo de Microsoft Entra en el inquilino de Microsoft Entra asociado a la suscripción de Azure:
GROUP_NAME=adatumgroup1 GROUP=$(az ad group create --display-name $GROUP_NAME \ --mail-nickname $GROUP_NAME \ --description $GROUP_NAME)Nota:
En el ejercicio siguiente, usará este grupo para asignar permisos a la base de datos en la instancia de un solo servidor de Azure Database for PostgreSQL.
Ejecute el siguiente comando para agregar el usuario al grupo:
USER_OBJECT_ID=$(echo $USER | jq -r '.id') az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_IDEjecute el siguiente comando para asignar al usuario recién creado el rol Colaborador en la suscripción de Azure que usa para los ejercicios de este módulo:
SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$USER_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Nota:
Se basará en esta asignación de roles en el siguiente ejercicio de este módulo.
Cierre el panel de Cloud Shell.
Para comprobar el resultado de este ejercicio, en Azure Portal, use el cuadro de texto Buscar recursos, servicios y documentos al comienzo de la página de Azure Portal para buscar Microsoft Entra ID.
En la lista de resultados, seleccione Microsoft Entra ID.
En la hoja que muestra las propiedades del inquilino de Microsoft Entra, en la sección Administrar del menú vertical, seleccione Usuarios.
En la hoja Usuarios | Todos los usuarios, compruebe que la lista de usuarios contiene la cuenta de usuario que creó anteriormente en esta tarea.
Vuelva a la hoja que muestra las propiedades del inquilino de Microsoft Entra y, en la sección Administrar del menú vertical, seleccione Grupos.
En el panel Grupos | Todos los grupos, compruebe que la lista de grupos contiene la cuenta de grupo que ha creado antes en esta tarea.
Cree un inquilino adicional de Microsoft Entra y un objeto de usuario
En esta tarea, creará un inquilino de Microsoft Entra y una cuenta de usuario en el nuevo inquilino mediante Azure Portal. En la siguiente tarea, configurará esta cuenta de usuario como una cuenta de usuario invitado en el primer inquilino.
En el explorador web, en la hoja de Azure Portal que muestra las propiedades del inquilino de Microsoft Entra, seleccione Administrar inquilinos y, a continuación, seleccione + Crear.
En la pestaña Aspectos básicos de la hoja Creación de un inquilino, asegúrese de que la opción Microsoft Entra ID está seleccionada y seleccione Siguiente: Configuración >.
En la pestaña Configuración de la hoja Creación de un inquilino, especifique las siguientes opciones:
Configuración Valor Nombre de la organización Contoso Nombre de dominio inicial Cualquier nombre DNS válido compuesto de letras minúsculas y dígitos y que empiece por una letra País/región El nombre de su país o región Seleccione Revisión y creación y, en la pestaña Revisión y creación de la hoja Creación de un inquilino, seleccione Crear.
Si se le solicita, en la ventana Ayúdenos a demostrar que no es un robot, escriba el código proporcionado y seleccione Enviar.
Espere a que se complete el aprovisionamiento y, a continuación, seleccione el vínculo Contoso para ir a la hoja que muestra las propiedades del inquilino Contoso de Microsoft Entra.
En el explorador web, en la hoja de Azure Portal que muestra la hoja Contoso | Información general del inquilino Contoso de Microsoft Entra, en la sección Administrar del menú vertical, seleccione Usuarios.
En la hoja Usuarios | Todos los usuarios del inquilino Contoso - Microsoft Entra ID, seleccione + Nuevo usuario y, a continuación, seleccione Crear nuevo usuario.
En la hoja Crear nuevo usuario, especifique la siguiente configuración y deje la otra configuración con sus valores predeterminados:
Configuración Valor Nombre de usuario contosouser1 Nombre contosouser1 Permitirme crear la contraseña habilitado Contraseña inicial Escriba un <password>Use el icono Copiar al Portapapeles situado junto a la lista desplegable Nombre de usuario para registrar el valor del atributo Nombre principal de usuario de contosouser1. Lo necesitará más adelante en este ejercicio y en los siguientes.
En la hoja Nuevo usuario, seleccione Crear.
En la hoja Usuarios | Todos los usuarios del inquilino Contoso - Microsoft Entra ID, revise la lista de cuentas de usuario y compruebe que la nueva cuenta de usuario se haya creado correctamente.
Nota:
Configurará esta cuenta de usuario como un usuario de Microsoft Entra sin privilegios con acceso a una base de datos en la instancia de un solo servidor de Azure Database for PostgreSQL en el ejercicio siguiente.
Cree y configure un usuario invitado de Microsoft Entra en el inquilino de Microsoft Entra asociado a su suscripción de Azure
Para concluir este ejercicio, usará Azure Portal para configurar la cuenta de usuario en el inquilino Contoso de Microsoft Entra como usuario invitado en el inquilino Adatum de Microsoft Entra, creará un nuevo grupo en ese inquilino y agregará al usuario invitado a ese grupo.
En el explorador web, en la hoja Azure Portal que muestra la hoja Contoso | Información general del inquilino Contoso de Microsoft Entra, en la esquina superior derecha de la barra de herramientas, seleccione el icono Suscripciones que está junto al icono de Cloud Shell y, a continuación, seleccione el vínculo Cambiar directorio.
En la hoja Directorios + suscripciones, seleccione la entrada que representa el inquilino de Microsoft Entra asociado a la suscripción de Azure que usa en los ejercicios de este módulo y, a continuación, seleccione Cambiar.
Nota:
Esto cambiará automáticamente la sesión al inquilino de Microsoft Entra asociado a la suscripción de Azure que usa en los ejercicios de este módulo.
En Azure Portal, use el cuadro de texto Buscar recursos, servicios y documentos al inicio de la página de Azure Portal para buscar Microsoft Entra ID y, en la lista de resultados, seleccione Microsoft Entra ID.
En la hoja que muestra las propiedades del inquilino de Microsoft Entra, en la sección Administrar del menú vertical, seleccione Usuarios.
En la hoja Usuarios | Todos los usuarios, seleccione + Nuevo usuario y, a continuación, seleccione Invitar a un usuario externo.
En la hoja Invitar usuario externo, asegúrese de que la opción Invitar usuario está seleccionada y especifique la siguiente configuración, pero deje la otra configuración con sus valores predeterminados, seleccione Revisar + invitar y, después, seleccione Invitar:
Configuración Valor Dirección de correo electrónico Valor del atributo Nombre principal de usuario de contosouser1 que anotó anteriormente en esta tarea Nombre para mostrar contosouser1 Mensaje de invitación Le damos la bienvenida a Adatum Vuelva a la hoja que muestra las propiedades del inquilino de Microsoft Entra y, en la sección Administrar del menú vertical, seleccione Grupos.
En el panel Grupos | Todos los grupos, seleccione adatumgroup1.
En la hoja adatumgroup1, seleccione Miembros.
En el panel adatumgroup1 | Miembros seleccione + Agregar miembros.
En la hoja Agregar miembros, en el cuadro de texto Buscar, escriba contosouser1.
En la lista de resultados, seleccione la entrada contosouser1 y, a continuación, seleccione Seleccionar.
Results
¡Enhorabuena! Completó el primer ejercicio de este módulo. Empezó este ejercicio con la creación de un usuario y un grupo en el inquilino de Microsoft Entra asociado a su suscripción de Azure y, después, agregó el usuario al grupo. A continuación, creó otro inquilino de Microsoft Entra y un usuario en ese inquilino de Microsoft Entra. Por último, configuró ese usuario como usuario invitado en el inquilino de Microsoft Entra asociado a su suscripción de Azure, creó otro grupo en ese inquilino y le agregó el usuario invitado.