Detección del dominio de inicio de una aplicación

Home Realm Discovery (HRD) permite a Microsoft Entra ID identificar el proveedor de identidad (IDP) adecuado para la autenticación de usuario durante el inicio de sesión. Cuando los usuarios inician sesión en un inquilino de Microsoft Entra para acceder a un recurso o a la página de inicio de sesión común, escriben un nombre de usuario (UPN). Microsoft Entra ID usa esta información para determinar la ubicación de inicio de sesión correcta.

Los usuarios se dirigen a uno de los siguientes proveedores de identidades para la autenticación:

• El inquilino principal del usuario (que podría ser el mismo que el inquilino de recursos).
• Cuenta de Microsoft, si el usuario es un invitado en el inquilino de recursos mediante una cuenta de consumidor.
• Un proveedor de identidades local, como Active Directory Federation Services (ADFS).
• Otro proveedor de identidades federado con el inquilino de Microsoft Entra.

Aceleración automática

Las organizaciones pueden configurar dominios en su inquilino de Microsoft Entra para federarse con otro IdP, como ADFS, para la autenticación de usuarios. Cuando los usuarios inician sesión en una aplicación, inicialmente ven una página de inicio de sesión de Microsoft Entra. Si pertenecen a un dominio federado, se le redirigirá a la página de inicio de sesión del IdP para ese dominio. Es posible que los administradores quieran omitir la página inicial del identificador de Entra de Microsoft para aplicaciones específicas, un proceso conocido como "aceleración automática de inicio de sesión".

Microsoft aconseja no configurar la aceleración automática, ya que puede dificultar los métodos de autenticación más seguros, como FIDO y la colaboración. Para obtener más información, consulte Habilitar el inicio de sesión sin contraseña con clave de seguridad. Para obtener información sobre cómo evitar la aceleración automática del inicio de sesión, consulta Deshabilitar el inicio de sesión de aceleración automática.

La aceleración automática puede simplificar el inicio de sesión de los inquilinos federados con otro proveedor de identidades. Puede configurarlo para aplicaciones individuales. Para obtener información sobre cómo forzar la aceleración automática mediante HRD, consulte Configuración de la aceleración automática.

Nota:

La configuración de una aplicación para la aceleración automática impide que los usuarios usen credenciales administradas (como FIDO) y los usuarios invitados inicien sesión. Dirigir a los usuarios a un IdP federado para la autenticación omite la página de inicio de sesión de Microsoft Entra, lo que impide que los usuarios invitados accedan a otros inquilinos o a idP externos, como las cuentas de Microsoft.

Controle la aceleración automática a un IdP federado de tres maneras:

• Usar una sugerencia de dominio en las solicitudes de autenticación de una aplicación.
• Configurar una directiva de HRD para forzar la aceleración automática.
• Configure una directiva de HRD para ignorar las sugerencias de dominio de aplicaciones o dominios específicos.

Cuadro de diálogo de confirmación de dominio

A partir de abril de 2023, las organizaciones que usan la aceleración automática o los vínculos inteligentes pueden encontrar una nueva pantalla en la interfaz de usuario de inicio de sesión, denominada cuadro de diálogo de confirmación de dominio. Esta pantalla forma parte de los esfuerzos de protección de seguridad de Microsoft y requiere que los usuarios confirmen el dominio del inquilino en el que inician sesión.

Qué debe hacer

Cuando vea el cuadro de diálogo de confirmación del dominio:

• Compruebe el dominio: compruebe que el nombre de dominio en la pantalla coincide con la organización en la que quiere iniciar sesión, como contoso.com.
  • Si reconoce el dominio, seleccione Confirmar para continuar.
  • Si no reconoce el dominio, cancele el proceso de inicio de sesión y póngase en contacto con el administrador de TI para obtener ayuda.

Componentes del cuadro de diálogo de confirmación de dominio

La siguiente captura de pantalla muestra un ejemplo del aspecto que podría tener el cuadro de diálogo de confirmación del dominio:

El identificador de la parte superior del cuadro de diálogo, kelly@contoso.com, representa el identificador usado para iniciar sesión. El dominio de inquilino que se muestra en el encabezado y el subtítulo del cuadro de diálogo muestra el dominio del inquilino principal de la cuenta.

Es posible que este cuadro de diálogo no aparezca para cada instancia de aceleración automática o vínculos inteligentes. Es posible que se produzcan cuadros de diálogo de confirmación de dominio frecuentes si su organización borra las cookies debido a las directivas del explorador. El cuadro de diálogo de confirmación de dominio no debe provocar interrupciones de la aplicación, ya que Microsoft Entra ID administra el flujo de inicio de sesión de aceleración automática.

Sugerencias de dominio

Las sugerencias de dominio son directivas en las solicitudes de autenticación de aplicaciones que pueden llevar rápidamente a los usuarios a la página de inicio de sesión de su proveedor de identidades federado. Las aplicaciones multialquiler pueden usarlas para dirigir a los usuarios a la página de inicio de sesión de Microsoft Entra personalizada para su inquilino.

Por ejemplo, "largeapp.com" podría permitir el acceso a través de una dirección URL personalizada "contoso.largeapp.com" e incluir una sugerencia de dominio para contoso.com en la solicitud de autenticación.

La sintaxis de la sugerencia de dominio varía según el protocolo:

• WS-Federation: whrparámetro de cadena de consulta, por ejemplo, whr=contoso.com.
• SAML: solicitud de autenticación de SAML con una sugerencia de dominio o whr=contoso.com.
• OpenID Connect: domain_hintparámetro de cadena de consulta, por ejemplo, domain_hint=contoso.com.

Microsoft Entra ID redirige el inicio de sesión al IDP configurado específicamente para un dominio si se dan las dos situaciones siguientes:

• En la solicitud de autenticación se incluye una sugerencia de dominio.
• El inquilino está federado con ese dominio.

Si la sugerencia de dominio no hace referencia a un dominio federado comprobado, se puede omitir.

Nota:

Una sugerencia de dominio en una solicitud de autenticación invalida cualquier aceleración automática establecida para la aplicación en la directiva de HRD.

Directiva de HRD para la aceleración automática

Algunas aplicaciones no permiten la configuración de solicitudes de autenticación. En tales casos, no es posible usar sugerencias de dominio para controlar la aceleración automática. Use una directiva Detección del dominio de inicio para forzar la aceleración automática.

Directiva de HRD para evitar la aceleración automática

Algunas aplicaciones de Microsoft y SaaS incluyen automáticamente sugerencias de dominio, que pueden interrumpir los lanzamientos de credenciales administradas, como FIDO. Use la directiva de Detección del dominio de inicio para ignorar las sugerencias de dominio que proceden de determinadas aplicaciones, o para determinados dominios, durante la implementación de credenciales administradas.

Habilitación de la autenticación de ROPC directa de los usuarios federados para aplicaciones heredadas

El procedimiento recomendado es que las aplicaciones usen bibliotecas de Microsoft Entra y el inicio de sesión interactivo para la autenticación de usuarios. Las aplicaciones heredadas que usan concesiones de contraseña del propietario de recurso (ROPC) pueden enviar credenciales directamente a Microsoft Entra ID sin entender la federación. No realizan HRD ni interactúan con el punto de conexión federado correcto. Puede usar la directiva de Detección del domino de inicio para habilitar que aplicaciones heredadas específicas se autentiquen directamente con Microsoft Entra ID. Esta opción funciona, siempre que la sincronización de hash de contraseña esté habilitada.

Importante

Solo habilite la autenticación directa si la sincronización de hash de contraseñas está activa y es aceptable autenticar la aplicación sin directivas de IdP locales. Si la sincronización de hash de contraseñas o la sincronización de directorios con AD Connect está deshabilitada, quite esta directiva para evitar la autenticación directa con hashes de contraseña obsoletos.

Establecer la política de RRHH

Para configurar una directiva de HRD en una aplicación para la aceleración automática del inicio de sesión federado o las aplicaciones directas basadas en la nube:

• Cree una directiva de HRD.
• Busque la entidad de servicio que adjuntar la directiva.
• Asocie la directiva a la entidad de servicio.

Las directivas surten efecto para una aplicación específica cuando se asocian a un principal del servicio. Solo una política de HRD puede estar activa en un principal de servicio a la vez. Utilice cmdlets de PowerShell de Microsoft Graph para crear y administrar la directiva de HRD.

Definición de directiva de HRD de ejemplo:

{  
  "HomeRealmDiscoveryPolicy": {  
    "AccelerateToFederatedDomain": true,  
    "PreferredDomain": "federated.example.edu",  
    "AllowCloudPasswordValidation": false  
  }  
}  

• AccelerateToFederatedDomain: opcional. Si es falso, la directiva no afecta la aceleración automática. Si es verdadero y hay un dominio federado verificado, los usuarios son redireccionados al IdP federado. Si existen varios dominios, especifique PreferredDomain.
• PreferredDomain: opcional. Indica un dominio para la aceleración. Omita si solo existe un dominio federado. Si se omite con varios dominios, la directiva no tiene ningún efecto.
• AllowCloudPasswordValidation: opcional. Si es verdadero, permite la autenticación de usuarios federados mediante credenciales de nombre de usuario y contraseña directamente en el punto de conexión del token de Microsoft Entra, donde se requiere la sincronización de hash de contraseñas.

Opciones adicionales de HRD de nivel de inquilino:

• AlternateIdLogin: Opcional. Habilita AlternateLoginID para el inicio de sesión por correo electrónico en lugar de UPN en la página de inicio de sesión de Microsoft Entra. Depende de que no se produzca la aceleración automática del usuario a un IDP federado.
• DomainHintPolicy: objeto complejo opcional que impide que las sugerencias de dominio aceleren automáticamente a los usuarios hacia dominios federados. Garantiza que las aplicaciones que envían sugerencias de dominio no impiden los inicios de sesión de credenciales administradas por la nube.

Prioridad y evaluación de las directivas de HRD

Las directivas de HRD se pueden asignar a organizaciones y entidades de servicio, lo que permite aplicar varias directivas a una aplicación. Microsoft Entra ID determina la prioridad mediante estas reglas:

• Si hay una sugerencia de dominio, la política HRD del arrendatario comprueba si se deben ignorar las sugerencias de dominio. Si se permite, se usa el comportamiento de la sugerencia de dominio.
• Si una directiva se asigna explícitamente a la entidad de servicio, se aplicará.
• Si no existe ninguna sugerencia de dominio o directiva de entidad de servicio, se aplica una directiva asignada a la organización primaria.
• Si no se asigna ninguna sugerencia de dominio o directivas, se aplica el comportamiento predeterminado de HRD.

Pasos siguientes

• Configuración del comportamiento de inicio de sesión de una aplicación mediante una directiva de Detección del dominio de inicio
• Deshabilitación de la aceleración automática en un IDP federado durante el inicio de sesión de usuario con la directiva de detección del dominio de inicio