Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra Connect permite a los usuarios iniciar sesión en los recursos locales y en la nube mediante las mismas contraseñas. En este artículo se describen los conceptos clave de cada modelo de identidad para ayudarle a elegir la identidad que desea usar para iniciar sesión en el identificador de Microsoft Entra.
Si ya está familiarizado con el modelo de identidad de Microsoft Entra y quiere obtener más información sobre un método específico, consulte el vínculo adecuado:
- Sincronización de hash de contraseña con Inicio de sesión único (SSO) de conexión directa
- Autenticación transferida con Inicio de sesión único de conexión directa
- SSO federado (con Servicios de federación de Active Directory (AD FS))
- Federación con PingFederate
Nota:
Es importante recordar que al configurar la federación para Microsoft Entra ID, estableces la confianza entre tu entidad de Microsoft Entra y tus dominios federados. Con este dominio federado de confianza, los usuarios tendrán acceso a los recursos de nube de Microsoft Entra en el inquilino.
Elección del método de inicio de sesión de usuario para su organización
La primera decisión de implementar Microsoft Entra Connect es elegir qué método de autenticación usarán los usuarios para iniciar sesión. Es importante asegurarse de elegir el método correcto que cumpla los requisitos avanzados y de seguridad de su organización. La autenticación es fundamental, ya que validará las identidades del usuario para acceder a aplicaciones y datos en la nube. Para elegir el método de autenticación adecuado, debe tener en cuenta el tiempo, la infraestructura existente, la complejidad y el costo de implementar su elección. Estos factores varían con cada organización y pueden cambiar con el tiempo.
Microsoft Entra ID admite los siguientes métodos de autenticación:
- Autenticación en la nube : al elegir este método de autenticación, Microsoft Entra ID controla el proceso de autenticación para el inicio de sesión del usuario. Con la autenticación en la nube puede elegir entre dos opciones:
- Sincronización de hash de contraseñas (PHS): la sincronización de hash de contraseña permite a los usuarios usar el mismo nombre de usuario y contraseña que usan en el entorno local sin tener que implementar ninguna infraestructura adicional además de Microsoft Entra Connect.
- Autenticación de paso a través (PTA): esta opción es similar a la sincronización de hash de contraseñas, pero proporciona una validación de contraseña simple mediante agentes de software locales para organizaciones con directivas de seguridad y cumplimiento seguras.
- Autenticación federada : al elegir este método de autenticación, Microsoft Entra ID entregará el proceso de autenticación a un sistema de autenticación de confianza independiente, como AD FS o un sistema de federación de terceros, para validar el inicio de sesión del usuario.
Para la mayoría de las organizaciones que solo quieren habilitar el inicio de sesión de usuario en Microsoft 365, aplicaciones SaaS y otros recursos basados en identificadores de Microsoft Entra, se recomienda la opción de sincronización de hash de contraseña predeterminada.
Para obtener información detallada sobre cómo elegir un método de autenticación, consulte Elegir el método de autenticación adecuado para la solución de identidad híbrida de Microsoft Entra.
Sincronización de hash de contraseñas
Con la sincronización de hash de contraseña, se sincronizan los valores hash de las contraseñas de los usuarios de Active Directory local con Microsoft Entra ID. Cuando las contraseñas se cambian o restablecen localmente, los nuevos hash de contraseña se sincronizan con el identificador de Entra de Microsoft inmediatamente para que los usuarios siempre puedan usar la misma contraseña para los recursos en la nube y los recursos locales. Las contraseñas nunca se envían a Microsoft Entra ID ni se almacenan en Microsoft Entra ID solo en texto. La sincronización de hash de contraseña puede usarse junto con la escritura diferida de contraseñas para habilitar el autoservicio de restablecimiento de contraseña en Microsoft Entra ID.
Además, puede habilitar SSO sin interrupciones para los usuarios en máquinas unidas a un dominio que se encuentran en la red corporativa. Con el inicio de sesión único, los usuarios habilitados solo necesitan escribir un nombre de usuario para ayudarles a acceder de forma segura a los recursos en la nube.
Para obtener más información, consulte el artículo sincronización de hash de contraseñas .
Autenticación transferida
Con la autenticación de paso a través, la contraseña del usuario se valida con el controlador de Active Directory local. No es necesario que la contraseña esté presente en microsoft Entra ID en ningún formulario. Esto permite que las directivas locales, como las restricciones de hora de inicio de sesión, se evalúen durante la autenticación en los servicios en la nube.
La autenticación de paso a través usa un agente simple en una máquina unida a un dominio de Windows Server en el entorno local. Este agente escucha las solicitudes de validación de contraseñas. No requiere que los puertos de entrada estén abiertos a Internet.
Además, también puede habilitar el inicio de sesión único para los usuarios en máquinas unidas a un dominio que se encuentran en la red corporativa. Con el inicio de sesión único, los usuarios habilitados solo necesitan escribir un nombre de usuario para ayudarles a acceder de forma segura a los recursos en la nube.
Para obtener más información, consulte:
Federación que usa una granja de servidores nueva o existente con AD FS en Windows Server
Con el inicio de sesión federado, los usuarios pueden iniciar sesión en los servicios basados en identificadores de Microsoft Entra con sus contraseñas locales. Aunque están en la red corporativa, ni siquiera tienen que escribir sus contraseñas. Con la opción de federación con AD FS, puede implementar una granja de servidores nueva o existente con AD FS en Windows Server 2022. Si decide especificar una granja de servidores existente, Microsoft Entra Connect configura la confianza entre la granja de servidores y el identificador de Microsoft Entra para que los usuarios puedan iniciar sesión.
Implementación de la federación con AD FS en Windows Server 2022
Si va a implementar una nueva granja de servidores, necesita lo siguiente:
Un servidor de Windows Server 2022 para el servidor de federación.
Un servidor de Windows Server 2022 para el proxy de aplicación web.
Un archivo .pfx con un certificado TLS/SSL para el nombre del servicio de federación previsto. Por ejemplo: fs.contoso.com.
Si va a implementar una nueva granja o usa una granja existente, necesitará:
- Credenciales de administrador local en los servidores de federación.
- Credenciales de administrador local en cualquier servidor de grupo de trabajo (no unido a un dominio) en el que quiera implementar el rol proxy de aplicación web.
- La máquina en la cual ejecutas el asistente para poder conectarte a cualquier otra máquina en la que deseas instalar AD FS o el proxy de aplicación web utilizando la Administración Remota de Windows.
Para obtener más información, consulte Configuración de SSO con AD FS.
Federación con PingFederate
Con el inicio de sesión federado, los usuarios pueden iniciar sesión en los servicios basados en identificadores de Microsoft Entra con sus contraseñas locales. Aunque están en la red corporativa, ni siquiera tienen que escribir sus contraseñas.
Para obtener más información sobre cómo configurar PingFederate para su uso con Microsoft Entra ID, consulte Soporte de Ping Identity.
Para obtener información sobre cómo configurar Microsoft Entra Connect mediante PingFederate, consulte Instalación personalizada de Microsoft Entra Connect.
Inicio de sesión con una versión anterior de AD FS o una solución de terceros
Si ya ha configurado el inicio de sesión en la nube mediante una versión anterior de AD FS (como AD FS 2.0) o un proveedor de federación de terceros, puede omitir la configuración de inicio de sesión de usuario a través de Microsoft Entra Connect. Esto le permitirá obtener la sincronización más reciente y otras funcionalidades de Microsoft Entra Connect mientras sigue usando la solución existente para el inicio de sesión.
Para obtener más información, consulte la lista de compatibilidad de federación de terceros de Microsoft Entra.
Inicio de sesión de usuario y UserPrincipalName
Comprensión de UserPrincipalName
En Active Directory, el sufijo UserPrincipalName (UPN) predeterminado es el nombre DNS del dominio donde se creó la cuenta de usuario. En la mayoría de los casos, este es el nombre de dominio que se registra como dominio de empresa en Internet. Sin embargo, puede agregar más sufijos UPN mediante dominios y confianzas de Active Directory.
El UPN del usuario tiene el formato username@domain. Por ejemplo, para un dominio de Active Directory denominado "contoso.com", un usuario llamado John podría tener el UPN "john@contoso.com". El UPN del usuario se basa en RFC 822. Aunque el UPN y el correo electrónico comparten el mismo formato, el valor del UPN para un usuario podría ser o no el mismo que la dirección de correo electrónico del usuario.
UserPrincipalName en el identificador de Entra de Microsoft
El asistente de Microsoft Entra Connect usa el atributo userPrincipalName o permite especificar el atributo (en una instalación personalizada) que se usará desde el entorno local como UserPrincipalName en el identificador de Microsoft Entra. Este es el valor que se usa para iniciar sesión en microsoft Entra ID. Si el valor del atributo userPrincipalName no corresponde a un dominio comprobado en el identificador de Entra de Microsoft, el identificador de Microsoft Entra lo reemplaza por un valor .onmicrosoft.com predeterminado.
Cada directorio de Microsoft Entra ID incluye un nombre de dominio integrado, con el formato contoso.onmicrosoft.com, que le permite empezar a usar Microsoft Entra u otros servicios en línea de Microsoft. Puede mejorar y simplificar la experiencia de inicio de sesión mediante dominios personalizados. Para obtener información sobre los nombres de dominio personalizados en microsoft Entra ID y cómo comprobar un dominio, vea Agregar el nombre de dominio personalizado a Microsoft Entra ID.
Configuración de inicio de sesión de Microsoft Entra
Configuración de inicio de sesión de Microsoft Entra con Microsoft Entra Connect
La experiencia de inicio de sesión de Microsoft Entra depende de si el identificador de Microsoft Entra puede coincidir con el sufijo UserPrincipalName de un usuario que se está sincronizando con uno de los dominios personalizados que se comprueban en el directorio Microsoft Entra. Microsoft Entra Connect proporciona ayuda al configurar los valores de inicio de sesión de Microsoft Entra, de modo que la experiencia de inicio de sesión del usuario en la nube sea similar a la experiencia local.
Microsoft Entra Connect enumera los sufijos UPN definidos para los dominios e intenta buscar coincidencias con un dominio personalizado en microsoft Entra ID. Después, puede ayudarlo con la acción pertinente que necesite realizar. En la página de inicio de sesión de Microsoft Entra se enumeran los sufijos UPN definidos para Active Directory local y se muestra el estado correspondiente en cada sufijo. Los valores de estado pueden ser uno de los siguientes:
| Estado | Descripción | Acción necesaria |
|---|---|---|
| Verificado | Microsoft Entra Connect encontró un dominio comprobado coincidente en el identificador de Microsoft Entra. Todos los usuarios de este dominio pueden iniciar sesión con sus credenciales locales. | No se requiere ninguna acción. |
| No comprobado | Microsoft Entra Connect encontró un dominio personalizado coincidente en el identificador de Microsoft Entra, pero no se ha comprobado. El sufijo UPN de los usuarios de este dominio se cambiará al sufijo .onmicrosoft.com predeterminado después de la sincronización si no se comprueba el dominio. | Compruebe el dominio personalizado en el identificador de Microsoft Entra. |
| No agregado | Microsoft Entra Connect no encontró un dominio personalizado que se corresponde con el sufijo UPN. El sufijo UPN de los usuarios de este dominio se cambiará al sufijo predeterminado .onmicrosoft.com si el dominio no se agrega y verifica en Entra ID. | Agregue y compruebe un dominio personalizado que corresponda al sufijo UPN. |
En la página de inicio de sesión de Microsoft Entra se enumeran los sufijos UPN definidos para Active Directory local y el dominio personalizado correspondiente en Microsoft Entra ID con el estado de comprobación actual. En una instalación personalizada, ahora puede seleccionar el atributo de UserPrincipalName en la página de inicio de sesión de Microsoft Entra .
Puede hacer clic en el botón actualizar para volver a capturar el estado más reciente de los dominios personalizados de Microsoft Entra ID.
Selección del atributo userPrincipalName en el identificador de Microsoft Entra
El atributo userPrincipalName es el atributo que usan los usuarios cuando inician sesión en el identificador de Microsoft Entra y Microsoft 365. Debe comprobar los dominios (también conocidos como sufijos UPN) que se usan en microsoft Entra ID antes de que los usuarios se sincronicen.
Se recomienda encarecidamente mantener el atributo predeterminado userPrincipalName. Si este atributo no es enrutable y no se puede comprobar, es posible seleccionar otro atributo (por ejemplo, correo electrónico) como el atributo que contiene el identificador de inicio de sesión. Esto se conoce como id. alternativo. El valor del atributo Alternate ID debe seguir el estándar RFC 822. Puede usar un identificador alternativo con SSO de contraseña y SSO de federación como solución de inicio de sesión.
Nota:
El uso de un identificador alternativo no es compatible con todas las cargas de trabajo de Microsoft 365. Para obtener más información, consulte Configuración del identificador de inicio de sesión alternativo.
Diferentes estados de dominio personalizados y su efecto en la experiencia de inicio de sesión de Entra ID
Es muy importante comprender la relación entre los estados de dominio personalizados en el directorio de Microsoft Entra y los sufijos UPN definidos de forma local. Echemos un vistazo a las distintas experiencias de inicio de sesión posibles de Entra ID al configurar la sincronización mediante Microsoft Entra Connect.
Para obtener la siguiente información, supongamos que nos preocupa el sufijo UPN contoso.com, que se usa en el directorio local como parte de UPN, por ejemplo user@contoso.com.
Configuración rápida/Sincronización de hash de contraseña
| Estado | Efecto en la experiencia de inicio de sesión del usuario de Entra ID |
|---|---|
| No agregado | En este caso, no se ha agregado ningún dominio personalizado para contoso.com en el directorio Microsoft Entra. Los usuarios que tienen UPN local con el sufijo @contoso.com no podrán usar su UPN local para iniciar sesión en Entra ID. En su lugar, tendrán que usar un nuevo UPN proporcionado por Microsoft Entra ID añadiendo el sufijo correspondiente al directorio predeterminado de Microsoft Entra. Por ejemplo, si estás sincronizando usuarios al directorio de Microsoft Entra contoso.onmicrosoft.com, el usuario user@contoso.com local recibirá un UPN de user@contoso.onmicrosoft.com. |
| No comprobado | En este caso, tenemos un dominio personalizado contoso.com que se agrega en el directorio Microsoft Entra. Sin embargo, aún no se ha comprobado. Si continúa con la sincronización de usuarios sin comprobar el dominio, Microsoft Entra ID asignará a los usuarios un nuevo UPN, al igual que en el escenario "No añadido". |
| Verificado | En este caso, tenemos un dominio personalizado contoso.com que ya se ha agregado y comprobado en Microsoft Entra ID para el sufijo UPN. Los usuarios podrán usar su UserPrincipalName local, por ejemplo user@contoso.com, para iniciar sesión en Entra después de que se sincronicen con el identificador de Microsoft Entra. |
Federación de AD FS
No se puede crear una federación con el dominio .onmicrosoft.com predeterminado en microsoft Entra ID o un dominio personalizado no comprobado en el identificador de Microsoft Entra. Al ejecutar el asistente de Microsoft Entra Connect, si selecciona un dominio no comprobado con el que crear una federación, Microsoft Entra Connect le pedirá que se creen los registros necesarios en los que se hospeda el DNS para el dominio. Para obtener más información, vea Comprobar el dominio de Microsoft Entra seleccionado para la federación.
Si seleccionó la opción de inicio de sesión de usuario Federación con AD FS, debe tener un dominio personalizado para seguir creando una federación en Microsoft Entra ID. Para nuestra explicación, esto significa que deberíamos tener un dominio personalizado contoso.com agregado en el directorio Microsoft Entra.
| Estado | Efecto en la experiencia del usuario al iniciar sesión de Entra ID |
|---|---|
| No agregado | En este caso, Microsoft Entra Connect no encontró un dominio personalizado coincidente para el sufijo UPN contoso.com en el directorio Microsoft Entra. Debe agregar un dominio personalizado contoso.com si necesita que los usuarios inicien sesión con AD FS con su UPN local (como user@contoso.com). |
| No comprobado | En este caso, Microsoft Entra Connect le pide detalles adecuados sobre cómo puede comprobar el dominio en una fase posterior. |
| Verificado | En este caso, puede continuar con la configuración sin ninguna acción adicional. |
Cambio del método de inicio de sesión del usuario
Puede cambiar el método de inicio de sesión de federación a sincronización de hash de contraseña o autenticación transferida mediante las tareas que estarán disponibles en Microsoft Entra Connect después de la configuración inicial de Microsoft Entra Connect realizada con el asistente. Vuelva a ejecutar el asistente de Microsoft Entra Connect y verá una lista de tareas que puede realizar. Seleccione Cambiar inicio de sesión de usuario en la lista de tareas.
En la página siguiente, se le pedirá que proporcione las credenciales de Microsoft Entra ID.
En la página Inicio de sesión de usuario, seleccione el inicio de sesión del usuario deseado.
Nota:
Si solo realiza un cambio temporal a la sincronización de hash de contraseñas, active la casilla No convertir cuentas de usuario . Si no activa la opción, cada usuario se convertirá en federado y puede tardar varias horas.
Pasos siguientes
- Obtenga más información sobre integrar las identidades locales con el Microsoft Entra ID.
- Obtenga más información sobre los conceptos de diseño de Microsoft Entra Connect.