Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona información que puede usar para planear la implementación del inicio de sesión único (SSO) en Microsoft Entra ID. Al planear la implementación de SSO con las aplicaciones en Microsoft Entra ID, debe tener en cuenta las siguientes preguntas:
- ¿Cuáles son los roles administrativos necesarios para administrar la aplicación?
- ¿Es necesario renovar el certificado de aplicación del lenguaje de marcado de aserción de seguridad (SAML)?
- ¿Quién debe recibir una notificación de los cambios relacionados con la implementación del inicio de sesión único?
- ¿Qué licencias son necesarias para garantizar una administración eficaz de la aplicación?
- ¿Se usan cuentas de usuario compartidas e invitadas para acceder a la aplicación?
- ¿Entiendo las opciones de implementación de SSO?
Roles administrativos
Use siempre el rol con los permisos más mínimos disponibles para realizar la tarea necesaria en microsoft Entra ID. Revise los distintos roles disponibles y elija el adecuado para resolver sus necesidades para cada persona de la aplicación. Es posible que algunos roles deban aplicarse temporalmente y quitarse una vez completada la implementación.
| Persona | Funciones | Rol de Microsoft Entra (si es necesario) |
|---|---|---|
| Administrador del departamento de soporte técnico | El soporte de nivel 1 consulta los registros de inicio de sesión para resolver problemas. | Ninguno |
| Administrador de identidades | Configurar y depurar cuando surgen problemas con Microsoft Entra ID | Administrador de aplicaciones en la nube |
| Administrador de aplicaciones | Atestación de usuario en la aplicación, configuración en usuarios con permisos | Ninguno |
| Administradores de infraestructura | Propietario de sustitución del certificado | Administrador de aplicaciones en la nube |
| Propietario o parte interesada de la empresa | Atestación de usuario en la aplicación, configuración en usuarios con permisos | Ninguno |
Para obtener más información sobre los roles administrativos de Microsoft Entra, consulte Roles integrados de Microsoft Entra.
Certificados
Al habilitar la federación en la aplicación SAML, Microsoft Entra ID crea un certificado válido de forma predeterminada durante tres años. Puede personalizar la fecha de expiración de ese certificado si es necesario. Asegúrese de que tiene procesos implementados para renovar los certificados antes de su expiración.
Puede cambiar esa duración del certificado en el Centro de administración de Microsoft Entra. Asegúrese de documentar la expiración y saber cómo administrar la renovación del certificado. Es importante identificar los roles adecuados y las listas de distribución de correo electrónico implicadas en la administración del ciclo de vida del certificado de firma. Se recomiendan los siguientes roles:
- Encargado de actualizar las propiedades de usuario en la aplicación
- Propietario de guardia para proporcionar asistencia para la solución de problemas de la aplicación
- Lista de distribución de correo electrónico estrechamente supervisada para las notificaciones de cambios relacionadas con certificados
Configure un proceso para controlar un cambio de certificado entre microsoft Entra ID y la aplicación. Al tener implementado este proceso, puede ayudar a evitar o minimizar una interrupción debido a la expiración de un certificado o a una sustitución forzada de certificados. Para más información, consulte Administración de certificados para el inicio de sesión único federado en Microsoft Entra ID.
Comunicaciones
La comunicación es fundamental para el éxito de cualquier nuevo servicio. Comunique de forma proactiva a los usuarios sobre el próximo cambio de experiencia. Comunicarse cuando se produzca el cambio y cómo obtener soporte técnico si experimentan problemas. Revise las opciones sobre cómo los usuarios acceden a sus aplicaciones con SSO habilitado y redacte sus comunicaciones para que estén alineadas con su selección.
Implemente el plan de comunicación. Asegúrese de que está informando a los usuarios de que se avecina un cambio, cuándo llega y lo que deben hacer ahora. Además, asegúrese de proporcionar información sobre cómo buscar ayuda.
Licencias
Asegúrese de que la aplicación está cubierta por los siguientes requisitos de licencia:
Licencias de Microsoft Entra ID: el inicio de sesión único para aplicaciones empresariales preintegradas es gratuito. Sin embargo, el número de objetos del directorio y las características que desea implementar podrían requerir más licencias. Para obtener una lista completa de los requisitos de licencia, consulte Precios de Microsoft Entra.
Licencias de aplicaciones: necesita las licencias adecuadas para que las aplicaciones satisfagan sus necesidades empresariales. Trabaje con el propietario de la aplicación para determinar si los usuarios asignados a la aplicación tienen las licencias adecuadas para sus roles dentro de la aplicación. Si Microsoft Entra ID administra el aprovisionamiento automático en función de los roles, los roles asignados en el identificador de Microsoft Entra deben alinearse con el número de licencias que pertenecen a la aplicación. El número incorrecto de licencias que pertenecen a la aplicación podría provocar errores durante el aprovisionamiento o la actualización de una cuenta de usuario.
Cuentas compartidas
Desde la perspectiva del inicio de sesión, las aplicaciones con cuentas compartidas no son diferentes de las aplicaciones empresariales que usan el inicio de sesión único con contraseña para usuarios individuales. Sin embargo, hay más pasos necesarios al planear y configurar una aplicación diseñada para usar cuentas compartidas.
- Trabaje con usuarios para documentar la siguiente información:
- Conjunto de usuarios de la organización que van a usar la aplicación.
- Conjunto existente de credenciales en la aplicación asociada al conjunto de usuarios.
- Para cada combinación de conjuntos de usuarios y credenciales, cree un grupo de seguridad en la nube o local en función de sus requisitos.
- Restablezca las credenciales compartidas. Una vez implementada la aplicación en el identificador de Microsoft Entra, los usuarios no necesitan la contraseña de la cuenta compartida. Microsoft Entra ID almacena la contraseña y debe considerar la posibilidad de establecerla para que sea larga y compleja.
- Configure la sustitución automática de la contraseña si la aplicación la admite. De este modo, ni siquiera el administrador que realizó la configuración inicial conoce la contraseña de la cuenta compartida.
Opciones de inicio de sesión único
Hay varias maneras de configurar una aplicación para el inicio de sesión único (SSO). Elegir un método SSO depende de cómo se configura la aplicación para la autenticación.
- Las aplicaciones en la nube pueden usar OpenID Connect, OAuth, SAML, basada en contraseña o vinculadas para el inicio de sesión único. El inicio de sesión único también se puede deshabilitar.
- Las aplicaciones locales pueden usar la autenticación basada en contraseñas, la autenticación integrada de Windows, la autenticación basada en encabezados o la autenticación vinculada para el inicio de sesión único. Las opciones locales funcionan si las aplicaciones están configuradas para Application Proxy.
Este diagrama de flujo puede ayudarle a decidir qué método de SSO es mejor para su situación.
Los siguientes protocolos de SSO están disponibles para su uso:
OpenID Connect y OAuth: elija OpenID Connect y OAuth 2.0 si la aplicación a la que se conecta admite. Para más información, consulte Protocolos OAuth 2.0 y OpenID Connect en la Plataforma de identidad de Microsoft. Para ver los pasos para implementar el inicio de sesión único de OpenID Connect, consulte Configuración del inicio de sesión único basado en OIDC para una aplicación en Microsoft Entra ID.
SAML: elija SAML siempre que sea posible para las aplicaciones existentes que no usan OpenID Connect o OAuth. Para más información, consulte El protocolo SAML de inicio de sesión único.
basada en contraseña: elija basada en contraseña cuando la aplicación tenga una página de inicio de sesión HTML. El inicio de sesión único por contraseña también se conoce como cifrado de contraseñas. El inicio de sesión único basado en contraseña le permite administrar el acceso de usuario y las contraseñas a las aplicaciones web que no admiten la federación de identidades. También es útil donde varios usuarios necesitan compartir una sola cuenta, como las cuentas de aplicaciones de redes sociales de la organización.
El inicio de sesión único basado en contraseña admite aplicaciones que requieren varios campos de inicio de sesión para las aplicaciones que requieren más que solo campos de nombre de usuario y contraseña para iniciar sesión. Puede personalizar las etiquetas de los campos de nombre de usuario y contraseña que los usuarios ven en Mis aplicaciones cuando escriben sus credenciales. Para conocer los pasos para implementar el inicio de sesión único basado en contraseña, consulte Inicio de sesión único basado en contraseña.
Vinculado: Elija vinculado cuando la aplicación esté configurada para SSO (inicio de sesión único) en otro servicio de proveedor de identidades. La opción vinculada le permite configurar la ubicación de destino cuando un usuario selecciona la aplicación en los portales de usuarios finales de la organización. Puede agregar un vínculo a una aplicación web personalizada que use actualmente federación, como Servicios de federación de Active Directory (ADFS).
También puede agregar vínculos a páginas web específicas que quiera que aparezcan en los paneles de acceso del usuario y en una aplicación que no requiera autenticación. La opción Vinculado no proporciona la funcionalidad de inicio de sesión a través de las credenciales de Microsoft Entra. Para conocer los pasos para implementar el inicio de sesión único vinculado, consulte Inicio de sesión único vinculado.
Deshabilitado: elija el SSO deshabilitado cuando la aplicación no esté lista para configurarse para el inicio de sesión único.
Autenticación integrada de Windows (IWA): elija el inicio de sesión único de IWA para aplicaciones que usen IWA o aplicaciones compatibles con notificaciones. Para obtener más información, consulte Delegación restringida de Kerberos para el inicio de sesión único en las aplicaciones con Application Proxy.
Basado en encabezados: elija la autenticación única basada en encabezados cuando la aplicación use encabezados para la autenticación. Para obtener más información, consulte SSO basado en encabezados.