Implementación y administración de la federación

  • 1 minuto

La federación puede usar una granja de Active Directory local nueva o existente en Windows Server 2012 R2 (o posterior) y Microsoft Entra Connect para permitir que los usuarios inicien sesión en los recursos de Microsoft Entra con su contraseña local.

Diagram of federation between on-premises and Microsoft Entra ID. Shows users able log into both on-premises and cloud resources with a single shared login.

La federación es una colección de dominios que han establecido confianza. El nivel de confianza varía, pero normalmente incluye la autenticación y casi siempre la autorización. Una federación típica podría incluir un número de organizaciones que han establecido confianza para el acceso compartido a un conjunto de recursos.

Puede federar el entorno local con el identificador de Microsoft Entra y usar esta federación para la autenticación y autorización. Este método de inicio de sesión garantiza que toda la autenticación de usuarios tiene lugar de forma local. Este método permite a los administradores implementar niveles más rigurosos de control de acceso. Está disponible la federación con AD FS y PingFederate.

Con información de inicio de sesión federado, los usuarios pueden iniciar sesión en servicios basados en Microsoft Entra con sus contraseñas locales. Aunque se encuentren en la red corporativa, no tendrán que escribir sus contraseñas. La opción de federación con AD FS permite implementar una granja nueva o existente con AD FS en Windows Server 2012 R2 o una versión posterior. Si decide especificar una granja existente, Microsoft Entra Connect configurará la confianza entre la granja y Microsoft Entra ID para que los usuarios puedan iniciar sesión.

Requisito para implementar la federación con AD FS y Microsoft Entra Connect

Para la implementación en una granja AD FS, necesita:

  • Credenciales de administrador local en los servidores de federación.
  • Credenciales de administrador local en cualquier servidor de grupo de trabajo (no unido a dominio) en el que pretenda implementar el rol Proxy de aplicación web.
  • La máquina en la que se ejecuta el Asistente debe poder conectarse a otras máquinas en las que va a instalar AD FS o el Proxy de aplicación web a través de Administración remota de Windows.

Configuración de la federación mediante Microsoft Entra Connect para conectarse a una granja de AD FS

Screenshot of Microsoft Entra Connect application showing the create and connect to an AD FS farm dialog.

Especificar los servidores AD FS Especifique los servidores en los que desea instalar AD FS. Puede agregar uno o más servidores según su necesidades de capacidad. Antes de realizar esta configuración, una todos los servidores de AD FS a Active Directory. Este paso no es necesario para los servidores Proxy de aplicación web. Microsoft recomienda instalar un único servidor de AD FS para las implementaciones piloto y de prueba. Después de la configuración inicial, puede agregar e implementar más servidores para satisfacer sus necesidades de escalado, para lo que debe volver a ejecutar Microsoft Entra Connect.

Especificar los servidores proxy de aplicación web Especifique los servidores proxy de aplicación web. El servidor Proxy de aplicación web se implementa en la red perimetral, dirigida a la extranet. Admite solicitudes de autenticación de la extranet. Puede agregar uno o más servidores según su necesidades de capacidad. Después de la configuración inicial, puede agregar e implementar más servidores para satisfacer sus necesidades de escalado, para lo que debe volver a ejecutar Microsoft Entra Connect.

Especificar la cuenta de servicio para el servicio AD FS El servicio AD FS requiere una cuenta de servicio de dominio para autenticar a los usuarios y buscar información de usuario en Active Directory. Puede admitir dos tipos de cuentas de servicio:

  • Cuenta de servicio administrada de grupo
  • Cuenta de usuario de dominio

Seleccione el dominio de Microsoft Entra que desea federar Use el dominio de Microsoft Entra para configurar la relación de federación entre AD FS e Microsoft Entra ID. Aquí, debe configure AD FS para proporcionar tokens de seguridad a Microsoft Entra ID. También se debe configurar Microsoft Entra ID para que confíe en los tokens de esta instancia de AD FS. En esta página, solo se permite configurar un único dominio en la instalación inicial. Si vuelve a ejecutar Microsoft Entra Connect después podrá configurar más dominios.

Herramientas de Microsoft Entra Connect para administrar la federación

Puede completar varias tareas relacionadas con AD FS en Microsoft Entra Connect con una intervención mínima del usuario mediante el asistente de Microsoft Entra Connect. Una vez finalizada la instalación de Microsoft Entra ID mediante la ejecución del asistente, puede ejecutarlo de nuevo para realizar tareas adicionales. Por ejemplo, puede usar el asistente para reparar la confianza con Microsoft 365, realizar federaciones con Microsoft Entra ID mediante un id. de inicio de sesión alternativo y agregar un servidor Web Application Proxy (WAP) de AD FS.

Reparar la confianza Puede usar Microsoft Entra Connect para comprobar el estado actual de la confianza de AD FS y Microsoft Entra ID y tomar las medidas adecuadas para reparar la confianza.

Federar con Microsoft Entra ID mediante AlternateID Se recomienda que el nombre principal de usuario (UPN) local y el Nombre principal de usuario en la nube sean iguales. Si el UPN local usa un dominio no enrutable (p. ej., Contoso.local) o no se puede cambiar debido a dependencias de aplicación locales, se recomienda configurar el identificador de inicio de sesión alternativo. El identificador de inicio de sesión alternativo le permite configurar una experiencia de inicio de sesión donde los usuarios puedan iniciar sesión con un atributo que no sea su UPN, por ejemplo, el correo electrónico. La opción predeterminada de Nombre principal de usuario en Microsoft Entra ID es el atributo userPrincipalName en Active Directory. Si elige cualquier otro atributo como Nombre principal de usuario y está realizando una federación mediante AD FS, Microsoft Entra Connect configurará AD FS para el identificador de inicio de sesión alternativo.

Agregar un dominio federado Es fácil agregar un dominio para que se federe con Microsoft Entra ID mediante Microsoft Entra Connect. Microsoft Entra Connect agrega el dominio para la federación y modifica las reglas de notificaciones para reflejar correctamente el emisor cuando existen varios dominios federados con Microsoft Entra ID.

Junto con Agregar un servidor AD FS y Agregar un servidor proxy de aplicación web AD FS.

Escritura diferida de dispositivos

La escritura diferida de dispositivo se usa para habilitar el acceso condicional basado en dispositivos para los dispositivos protegidos con ADFS. Este acceso condicional proporciona seguridad adicional y la garantía de que el acceso a las aplicaciones se concede solo a dispositivos de confianza. Para obtener este nivel de seguridad, la escritura diferida de dispositivos sincroniza todos los dispositivos registrados en Azure en la instancia local de Active Directory. Cuando se configura durante la instalación, se realizan las siguientes operaciones para preparar el bosque de AD:

  • Si todavía no existen, se crean y configuran nuevos contenedores y objetos de la siguiente manera: CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest dn ].
  • Si aún no existen, cree y configure los nuevos contenedores y objetos mediante: CN=RegisteredDevices,[domain-dn]. Los objetos de dispositivo se crearán en este contenedor.
  • Permite establecer los permisos necesarios en la cuenta de Microsoft Entra Connector, para administrar dispositivos en la instancia de Active Directory.