Tutorial: integración de Microsoft Entra con MobileIron

En este tutorial, obtendrá información sobre cómo integrar MobileIron con Microsoft Entra ID. Al integrar MobileIron con Microsoft Entra ID, puede hacer lo siguiente:

• Controlar en Microsoft Entra ID quién tiene acceso a MobileIron.
• Permitir que los usuarios puedan iniciar sesión automáticamente en MobileIron con sus cuentas de Microsoft Entra.
• Administrar sus cuentas en una ubicación central: Azure Portal.

Requisitos previos

Para empezar, necesita los siguientes elementos:

• Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
• Una suscripción habilitada para el inicio de sesión único en MobileIron.

Descripción del escenario

En este tutorial se configura y prueba el inicio de sesión único de Microsoft Entra en un entorno de prueba.

• MobileIron admite SSO iniciado por SP e IDP.

Incorporación de MobileIron desde la galería

Para configurar la integración de MobileIron en Microsoft Entra ID, es preciso agregar MobileIron desde la galería a la lista de aplicaciones SaaS administradas.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
3. En la sección Agregar desde la galería, escriba MobileIron en el cuadro de búsqueda.
4. Seleccione MobileIron en los resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Si lo desea, puede usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para MobileIron

Configure y pruebe el inicio de sesión único de Microsoft Entra con MobileIron, by mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de MobileIron.

Para configurar y probar el inicio de sesión único de Microsoft Entra con MobileIron, complete los siguientes pasos:

1. Configuración del inicio de sesión único de Microsoft Entra, para que los usuarios puedan utilizar esta característica.
   1. Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con Britta Simon.
   2. Asigne el usuario de prueba de Microsoft Entra para que Britta Simon pueda usar el inicio de sesión único de Microsoft Entra.
2. Configuración del inicio de sesión único de MobileIron , para configurar los valores de inicio de sesión único en la aplicación.
   1. Creación de un usuario de prueba de MobileIron: para tener un homólogo de Britta Simon en MobileIron que esté vinculado a la representación del usuario en Microsoft Entra.
3. Prueba del inicio de sesión único : para comprobar si la configuración funciona.

Configuración del inicio de sesión único de Microsoft Entra

En esta sección va a habilitar el inicio de sesión único de Microsoft Entra.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

2. Vaya a la página de integración de aplicaciones Identidad>Aplicaciones>Aplicaciones empresariales>MobileIron, busque la sección Administrar y seleccione Inicio de sesión único.

3. En la página Seleccione un método de inicio de sesión único, elija SAML.

4. En la página Configurar el inicio de sesión único con SAML, seleccione el icono con forma de lápiz para abrir el cuadro de diálogo Configuración básica de SAML y modificar la configuración.

   

5. En la sección Configuración de SAML básica, realice los siguientes pasos si desea configurar la aplicación en el modo iniciado por IDP:

   a. En el cuadro de texto Identificador, escriba una dirección URL con el patrón siguiente: https://www.MobileIron.com/<key>

   b. En el cuadro de texto URL de respuesta, escriba una dirección URL con el siguiente patrón: https://<host>.MobileIron.com/saml/SSO/alias/<key>

   c. Haga clic en Establecer direcciones URL adicionales y siga este paso si desea configurar la aplicación en el modo iniciado por SP:

   En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón: https://<host>.MobileIron.com/user/login.html

   Nota:

   Estos valores no son reales. Actualice estos valores con los valores reales de Identificador, URL de respuesta y URL de inicio de sesión. Obtendrá los valores de clave y host desde el portal de administración de MobileIron, como se explica más adelante en el tutorial.

6. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, haga clic en Descargar para descargar el XML de metadatos de federación de las opciones proporcionadas según sus requisitos y guárdelo en el equipo.

   

Cree un usuario de prueba de Microsoft Entra

En esta sección, se crea un usuario llamado B.Simon.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
2. Vaya aIdentidad>Usuarios>Todos los usuarios.
3. Seleccione Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
4. En las propiedades del usuario, siga estos pasos:
   1. En el campo Nombre para mostrar, escriba B.Simon.
   2. En el campo Nombre principal de usuario, escriba username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.
   3. Active la casilla Show password (Mostrar contraseña) y, después, anote el valor que se muestra en el cuadro Contraseña.
   4. Seleccione Revisar + crear.
5. Seleccione Crear.

Asignación del usuario de prueba de Microsoft Entra

En esta sección, va a permitir que B.Simon acceda a MobileIron mediante el inicio de sesión único de Azure.

1. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
2. En la lista de aplicaciones, seleccione MobileIron.
3. En la página de información general de la aplicación, busque la sección Administrar y seleccione Usuarios y grupos.
4. Seleccione Agregar usuario. Después, en el cuadro de diálogo Agregar asignación, seleccione Usuarios y grupos.
5. En el cuadro de diálogo Usuarios y grupos, seleccione B.Simon en la lista de usuarios. A continuación, elija Seleccionar en la parte inferior de la pantalla.
6. Si espera que se asigne un rol a los usuarios, puede seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verá seleccionado el rol "Acceso predeterminado".
7. En el cuadro de diálogo Agregar asignación, seleccione Asignar.

Configuración del inicio de sesión único de MobileIron

1. En otra ventana del explorador web, inicie sesión como administrador en el sitio de la empresa de MobileIron.

2. Vaya a Administración>Identidad y seleccione la opción Microsoft Entra ID en el campo Info on Cloud IDP Setup (Información de configuración del IDP en la nube).

   

3. Copie los valores de Key (Clave) y Host, y péguelos para completar las direcciones URL en la sección Configuración de SAML básica en Azure Portal.

   

4. En el campoExport metadata file from AAD and import to MobileIron Cloud (Exportar archivo de metadatos de AAD e importar en MobileIron Cloud), haga clic en Choose File (Elegir archivo) para cargar los metadatos descargados desde Azure Portal. Haga clic en Done (Listo) una vez cargado.

   

Creación de un usuario de prueba de MobileIron

Para permitir que los usuarios de Microsoft Entra inicien sesión en MobileIron, es necesario que se aprovisionen en MobileIron.
En el caso de MobileIron, el aprovisionamiento es una tarea manual.

Para aprovisionar una cuenta de usuario, realice estos pasos:

1. Inicie sesión en el sitio de la compañía de MobileIron como administrador.

2. Vaya a Users (Usuarios) y haga clic en Add (Agregar) >Single User (Usuario único).

   

3. En la página de diálogo “Single User” (Usuario único), realice los siguientes pasos:

   

   a. En el cuadro de texto E-mail Address (Dirección de correo electrónico), escriba el correo electrónico del usuario, en este caso, brittasimon@contoso.com.

   b. En el cuadro de texto First Name (Nombre), escriba el nombre de usuario, en este caso Britta.

   c. En el cuadro de texto Last Name (Apellidos), escriba el nombre de usuario, en este caso Simon.

   d. Haga clic en Done(Listo).

Prueba de SSO

En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

Iniciado por SP:

• Haga clic en Probar esta aplicación, esto lo redirigirá a la URL de inicio de sesión de MobileIron donde podrá iniciar el flujo de inicio de sesión.

• Vaya directamente a la URL de inicio de sesión de MobileIron y ponga en marcha el flujo de inicio de sesión desde allí.

Iniciado por IDP:

• Haga clic en Probar esta aplicación, y debería iniciar sesión automáticamente en MobileIron para el que ha configurado el SSO.

También puede usar Aplicaciones de Microsoft para probar la aplicación en cualquier modo. Al hacer clic en el icono de MobileIron en Mis aplicaciones, si se ha configurado en modo SP, se le redirigirá a la página de inicio de sesión de la aplicación para comenzar el flujo de inicio de sesión; y si se ha configurado en modo IDP, se debería iniciar sesión automáticamente en la instancia de MobileIron para la que configuró el inicio de sesión único. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.

Pasos siguientes

Una vez que se ha configurado MobileIron, puede aplicar el control de sesión, que protege su organización en tiempo real frente a la filtración e infiltración de información confidencial. Los controles de sesión proceden del acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.