Federación con proveedores de identidades SAML o WS-Fed para usuarios invitados

Nota:

  • La federación directa de Azure Active Directory ahora se conoce como federación con un proveedor de identidades (IdP) SAML o WS-Fed.

En este artículo se indica cómo configurar una federación con cualquier organización cuyo proveedor de identidades (IdP) admita el protocolo SAML 2.0 o WS-Fed. Al configurar una federación con el proveedor de identidades de un asociado, los nuevos usuarios invitados de ese dominio pueden utilizar su propia cuenta de organización administrada por el proveedor de identidades para iniciar sesión con su inquilino de Azure AD y empezar a colaborar con usted. No es necesario que el usuario invitado cree otra cuenta de Azure AD.

Importante

  • Ya no se admite una lista de IdP permitidos para las nuevas federaciones de IdP SAML/WS-Fed. Al configurar una nueva federación externa, consulte Paso 1: Determinación de si el asociado necesita actualizar sus registros de texto DNS.
  • En la solicitud SAML enviada por Azure AD para las federaciones externas, la dirección URL del emisor es un punto de conexión con inquilinos. En el caso de las nuevas federaciones, se recomienda que todos nuestros asociados establezcan la audiencia de IdP basado en SAML o WS-Fed en un punto de conexión con inquilinos. Vea las secciones siguientes de atributos y notificaciones necesarios de SAML 2.0 y WS-Fed. Las federaciones existentes configuradas con el punto de conexión global seguirán funcionando, pero las nuevas federaciones dejarán de funcionar si el IdP externo espera una dirección URL del emisor global en la solicitud SAML.
  • Hemos quitado la limitación de dominio único. Ahora puede asociar varios dominios a una configuración de federación individual.
  • Se ha eliminado la limitación que exigía que el dominio de la dirección URL de autenticación coincidiera con el dominio de destino o procediera de un proveedor de identidades permitido. Para obtener detalles, vea Paso 1: Determinación de si el asociado necesita actualizar sus registros de texto DNS.

¿Cuándo se autentica un usuario invitado con la federación con un proveedor de identidades SAML o WS-Fed?

Después de configurar la federación con el proveedor de identidades SAML o WS-Fed de una organización, cualquier nuevo usuario invitado se autenticará mediante ese proveedor de identidades. Es importante tener en cuenta que la configuración de la federación no cambia el método de autenticación para los usuarios invitados que ya han canjeado una invitación. Estos son algunos ejemplos:

  • Si los usuarios invitados ya han canjeado sus invitaciones y posteriormente configura la federación con el proveedor de identidades SAML o WS-Fed de su organización, esos usuarios invitados seguirán utilizando el mismo método de autenticación que utilizaron antes de configurar la federación.
  • Si se configura una federación con el proveedor de identidades SAML o WS-Fed de una organización y se invita a los usuarios y, después, la organización asociada se traslada a Azure AD, los usuarios invitados que ya han canjeado las invitaciones seguirán utilizando el proveedor de identidades SAML o WS-Fed federado, siempre y cuando exista la directiva de federación en el inquilino.
  • Si elimina la federación con el proveedor de identidades SAML o WS-Fed de una organización, los usuarios invitados que usen actualmente este proveedor de identidades no podrán iniciar sesión.

En cualquiera de estos casos, puede actualizar el método de autenticación de un usuario invitado mediante el restablecimiento de su estado de canje.

La federación con un proveedor de identidades SAML o WS-Fed está asociada a espacios de nombres de dominio, como contoso.com y fabrikam.com. Al establecer una federación con AD FS o un proveedor de identidades de terceros, las organizaciones asocian uno o más espacios de nombres de dominio a estos proveedores de identidades.

Experiencia del usuario final

Con la federación con un proveedor de identidades SAML o WS-Fed, los usuarios invitados inician sesión en el inquilino de Azure AD mediante su propia cuenta de la organización. Cuando acceden a los recursos compartidos y se les pide que inicien sesión, se redirige a los usuarios al proveedor de identidades. Después del inicio de sesión correcto, vuelven a Azure AD para acceder a los recursos. Los tokens de actualización de estos usuarios son válidos durante 12 horas, la duración predeterminada del token de actualización de acceso directo en Azure AD. Si el proveedor de identidades federado tiene el inicio de sesión único habilitado, el usuario experimentará un inicio de sesión único y no verá ninguna solicitud de inicio de sesión después de la autenticación inicial.

Puntos de conexión de inicio de sesión

Ahora, los usuarios invitados de la federación con un proveedor de identidades SAML o WS-Fed pueden iniciar sesión en sus aplicaciones multiinquilino o en las aplicaciones propias de Microsoft utilizando un punto de conexión común (en otras palabras, una dirección URL general de la aplicación que no incluya el contexto del inquilino). Durante el proceso de inicio de sesión, el usuario invitado elige Opciones de inicio de sesión y después selecciona Sign in to an organization (Iniciar sesión en una organización). Después, escribe el nombre de la organización y continúa iniciando sesión con sus propias credenciales.

Los usuarios invitados de la federación con un proveedor de identidades SAML o WS-Fed también pueden usar puntos de conexión de la aplicación que incluyan la información del inquilino; por ejemplo:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

También puede proporcionar a los usuarios invitados un vínculo directo a una aplicación o recurso que incluya la información del inquilino; por ejemplo, https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Preguntas más frecuentes

¿Puedo configurar la federación con un IdP de SAML o WS-Fed con dominios comprobados de Azure AD?

No, bloqueamos la federación con un proveedor de identidades de SAML o WS-Fed para dominios comprobados de Azure AD en favor de las funcionalidades nativas de dominio administrado de Azure AD. Verá un error si intenta configurar la federación con el proveedor de identidades de SAML o WS-Fed con un dominio comprobado por DNS en Azure AD.

¿Puedo configurar la federación con un proveedor de identidades SAML o WS-Fed con un dominio para el que existe un inquilino no administrado (verificado por correo electrónico)?

Sí, puede configurar la federación con el proveedor de identidades de SAML o WS-Fed con dominios que no están comprobados por DNS en Azure AD, incluidos inquilinos no administrados (comprobados por correo electrónico o "virales") de Azure AD. Estos inquilinos se crean cuando un usuario canjea una invitación B2B o realiza un registro de autoservicio para Azure AD mediante un dominio que no existe actualmente. Si el dominio no se ha comprobado y el inquilino no ha experimentado una adquisición de administración, puede configurar la federación con ese dominio.

¿Cuántas relaciones de federación puedo crear?

Actualmente, se admite un máximo de 1000 relaciones de federación. Este límite incluye tanto las federaciones internas como las federaciones con un proveedor de identidades SAML o WS-Fed.

¿Puedo configurar la federación con varios dominios del mismo inquilino?

Sí, ahora admitimos la federación de un proveedor de identidades SAML o WS-Fed con varios dominios del mismo inquilino.

¿Es necesario renovar el certificado de firma cuando expire?

Si especifica la dirección URL de metadatos en la configuración del proveedor de identidades, Azure AD renovará automáticamente el certificado de firma cuando expire. Sin embargo, si el certificado se gira por cualquier razón antes de la hora de expiración, o si no proporciona una dirección URL de metadatos, Azure AD no podrá renovarlo. En este caso, deberá actualizar manualmente el certificado de firma.

Si la federación con un proveedor de identidades SAML o WS-Fed y la autenticación con código de acceso de un solo uso por correo electrónico están habilitadas, ¿qué método tiene prioridad?

Cuando se establece la federación con un proveedor de identidades SAML o WS-Fed con una organización asociada, esta federación tiene prioridad sobre la autenticación con código de acceso de un solo uso por correo electrónico para los nuevos usuarios invitados de esa organización. Si un usuario invitado ha canjeado una invitación mediante la autenticación de código de acceso de un solo uso antes de configurar la federación con un proveedor de identidades SAML o WS-Fed, seguirá utilizando la autenticación de código de acceso de un solo uso.

¿Se ocupa la federación con un proveedor de identidades SAML o WS-Fed de los problemas de inicio de sesión debidos a unos inquilinos parcialmente sincronizados?

No, la característica del código de acceso de un solo uso por correo electrónico se debe usar en este escenario. Un "inquilinato parcialmente sincronizado" se refiere a un inquilino de Azure AD asociado en el que las identidades de usuario locales no están completamente sincronizadas con la nube. Un invitado cuya identidad aún no existe en la nube pero que intenta canjear su invitación de B2B no podrá iniciar sesión. La característica del código de acceso de un solo uso permitiría a este invitado iniciar sesión. La función de federación con un proveedor de identidades SAML o WS-Fed permite afrontar escenarios en los que el invitado tiene su propia cuenta de organización administrada por el proveedor de identidades, pero la organización no tiene ninguna presencia en Azure AD.

Una vez configurada la federación con un proveedor de identidades SAML o WS-Fed con una organización, ¿es necesario enviar cada invitado y canjear una invitación individual?

La configuración de la federación con un proveedor de identidades SAML o WS-Fed no cambia el método de autenticación para los usuarios invitados que ya han canjeado una invitación. Puede actualizar el método de autenticación de un usuario invitado mediante el restablecimiento de su estado de canje.

¿Hay alguna manera de enviar una solicitud firmada al proveedor de identidades de SAML?

Actualmente, la característica de federación de SAML o WS-Fed para Azure AD no admite el envío de un token de autenticación firmado al proveedor de identidades de SAML.

Paso 1: Determinación de si el asociado necesita actualizar sus registros de texto DNS

Según el proveedor de identidades del asociado, es posible que este tenga que actualizar sus registros DNS para habilitarle la federación. Siga estos pasos para determinar si se necesitan actualizaciones DNS.

Nota

Ya no se admite una lista de IdP permitidos para las nuevas federaciones de IdP SAML/WS-Fed.

  1. Compruebe la dirección URL de autenticación pasiva del IdP del asociado para ver si el dominio coincide con el dominio de destino o un host dentro del dominio de destino. Es decir, al configurar la federación para fabrikam.com:

    • Si el punto de conexión de autenticación pasiva es https://fabrikam.com o https://sts.fabrikam.com/adfs (un host del mismo dominio), no se necesita ningún cambio de DNS.
    • Si el punto de conexión de autenticación pasiva es https://fabrikamconglomerate.com/adfs o https://fabrikam.com.uk/adfs, el dominio no coincide con el dominio fabrikam.com, por lo que el asociado tiene que agregar un registro de texto para la dirección URL de autenticación a su configuración DNS.
  2. Si se necesitan cambios de DNS en función del paso anterior, pida al asociado que agregue un registro TXT a los registros DNS de su dominio, como en el ejemplo siguiente:

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Paso 2: Configuración del proveedor de identidades de la organización asociada

A continuación, la organización asociada debe configurar su proveedor de identidades con las notificaciones necesarias y las confianzas de los usuarios de confianza.

Nota:

Para ilustrar cómo configurar un proveedor de identidades para la federación con un proveedor de identidades SAML o WS-Fed, usaremos los Servicios de federación de Active Directory (AD FS) como ejemplo. Consulte el artículo Configuración de la federación con un proveedor de identidades SAML o WS-Fed con AD FS, que ofrece ejemplos de cómo configurar AD FS como un proveedor de identidades de SAML 2.0 o WS-Fed en preparación para la federación.

Configuración de SAML 2.0

Azure AD B2B se puede configurar para federarse con proveedores de identidades que usan el protocolo SAML con los requisitos específicos que se indican a continuación. Para más información sobre cómo configurar una confianza entre su proveedor de identidades SAML y Azure AD, consulte Uso de un proveedor de identidades (IdP) de SAML 2.0 para el inicio de sesión único.

Nota:

El dominio de destino para la federación con un proveedor de identidades SAML o WS-Fed no debe ser comprobado por DNS en Azure AD. Para obtener más información, consulte la sección Preguntas frecuentes.

Atributos y notificaciones de SAML 2.0 necesarios

En las tablas siguientes se muestran los requisitos de los atributos y las notificaciones específicos que se deben configurar en el proveedor de identidades de terceros. Para configurar la federación, se deben recibir los siguientes atributos en la respuesta de SAML 2.0 del proveedor de identidades. Estos atributos se pueden configurar mediante la vinculación con el archivo XML del servicio de token de seguridad en línea o la introducción manual.

Nota

Asegúrese de que el valor siguiente coincide con la nube para la que está configurando la federación externa.

Atributos necesarios para la respuesta de SAML 2.0 desde el proveedor de identidades:

Atributo Value
AssertionConsumerService https://login.microsoftonline.com/login.srf
Público https://login.microsoftonline.com/<tenant ID>/ (Recomendado) Reemplace <tenant ID> por el identificador de inquilino del inquilino de Azure AD en el que está configurando la federación.

En la solicitud SAML enviada por Azure AD para las federaciones externas, la dirección URL del emisor es un punto de conexión con inquilinos (por ejemplo, https://login.microsoftonline.com/<tenant ID>/). En el caso de las nuevas federaciones, se recomienda que todos nuestros asociados establezcan la audiencia de IdP basado en SAML o WS-Fed en un punto de conexión con inquilinos. Las federaciones existentes configuradas con el punto de conexión global (por ejemplo, urn:federation:MicrosoftOnline) seguirán funcionando, pero las nuevas federaciones dejarán de funcionar si el IdP externo espera una dirección URL del emisor global en la solicitud SAML enviada por Azure AD.
Emisor El URI del emisor del IdP del asociado, por ejemplo http://www.example.com/exk10l6w90DHM0yi....

Las notificaciones necesarias para el token de SAML 2.0 emitido por el proveedor de identidades:

Nombre del atributo Value
Formato de NameID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress emailaddress

Configuración de WS-Fed

Se puede configurar Azure AD B2B para que funcione con proveedores de identidades que usan el protocolo WS-Fed con algunos requisitos específicos, que se indican a continuación. Actualmente, los dos proveedores de WS-Fed se han probado para determinar su compatibilidad con Azure AD e incluyen AD FS y Shibboleth. Para más información sobre cómo establecer la veracidad de un usuario de confianza entre un proveedor compatible con WS-Fed y Azure AD, consulte el documento "STS Integration Paper using WS Protocols" (Documento de integración con STS mediante protocolos WS) en los documentos de compatibilidad del proveedor de identidades de Azure AD.

Nota:

El dominio de destino para la federación no debe ser comprobado por DNS en Azure AD. Para obtener más información, consulte la sección Preguntas frecuentes.

Atributos y notificaciones de WS-Fed necesarios

En las tablas siguientes se muestran los requisitos de los atributos y las notificaciones específicos que se deben configurar en el proveedor de identidades de terceros que usa WS-Fed. Para configurar la federación, se deben recibir los siguientes atributos en el mensaje de WS-Fed del proveedor de identidades. Estos atributos se pueden configurar mediante la vinculación con el archivo XML del servicio de token de seguridad en línea o la introducción manual.

Nota

Asegúrese de que el valor siguiente coincide con la nube para la que está configurando la federación externa.

Atributos necesarios en el mensaje de WS-Fed desde el proveedor de identidades:

Atributo Value
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Público https://login.microsoftonline.com/<tenant ID>/ (Recomendado) Reemplace <tenant ID> por el identificador de inquilino del inquilino de Azure AD en el que está configurando la federación.

En la solicitud SAML enviada por Azure AD para las federaciones externas, la dirección URL del emisor es un punto de conexión con inquilinos (por ejemplo, https://login.microsoftonline.com/<tenant ID>/). En el caso de las nuevas federaciones, se recomienda que todos nuestros asociados establezcan la audiencia de IdP basado en SAML o WS-Fed en un punto de conexión con inquilinos. Las federaciones existentes configuradas con el punto de conexión global (por ejemplo, urn:federation:MicrosoftOnline) seguirán funcionando, pero las nuevas federaciones dejarán de funcionar si el IdP externo espera una dirección URL del emisor global en la solicitud SAML enviada por Azure AD.
Emisor El URI del emisor del IdP del asociado, por ejemplo http://www.example.com/exk10l6w90DHM0yi....

Las notificaciones necesarias para el token de WS-Fed emitido por el proveedor de identidades:

Atributo Value
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Paso 3: Configuración de la federación con un proveedor de identidades SAML o WS-Fed en Azure AD

A continuación, va a configurar la federación con el proveedor de identidades configurado en el paso 1 en Azure AD. Puede usar el portal de Azure AD o Microsoft Graph API. Pueden pasar de 5 a 10 minutos antes de que la directiva de la federación entre en vigor. Durante este tiempo, no intente canjear una invitación por el dominio de la federación. Los atributos siguientes son necesarios:

  • URI del emisor del IdP del asociado
  • Punto de conexión de la autenticación pasiva del proveedor de identidades del asociado (solo se admite https)
  • Certificado

Configuración de la federación en el portal de Azure AD

  1. Vaya a Azure Portal. En el panel izquierdo, seleccione Azure Active Directory.

  2. Seleccione External Identities>Todos los proveedores de identidades.

  3. Seleccione Nuevo IdP de SAML/WS-Fed.

    Captura de pantalla que muestra el botón para agregar un nuevo proveedor de identidades de SAML o WS-Fed.

  4. En la página Nuevo IdP de SAML/WS-Fed, escriba lo siguiente:

    • Nombre para mostrar: escriba un nombre para ayudarle a identificar el IdP del asociado.
    • Protocolo del proveedor de identidades: seleccione SAML o WS-Fed.
    • Nombre de dominio del IdP de federación: escriba el nombre de dominio de destino del IdP del asociado para la federación. Durante esta configuración inicial, escriba solo un nombre de dominio. Más adelante podrá agregar más dominios.

    Captura de pantalla que muestra la nueva página del proveedor de identidades de SAML o WS-Fed.

  5. Seleccione un método para rellenar los metadatos. Puede escribir los metadatos manualmente o, si tiene un archivo que contiene los metadatos, puede rellenar automáticamente los campos seleccionando Analizar el archivo de metadatos y navegando hasta el archivo.

    • URI del emisor: el URI del emisor del IdP del asociado.
    • Punto de conexión de autenticación pasiva: el punto de conexión del solicitante pasivo del IdP del asociado.
    • Certificado: identificador de certificado de firma.
    • Dirección URL de metadatos: la ubicación de los metadatos del IdP para la renovación automática del certificado de firma.

    Captura de pantalla que muestra los campos de metadatos.

    Nota:

    La dirección URL de metadatos es opcional, pero se recomienda encarecidamente. Si proporciona la dirección URL de metadatos, Azure AD puede renovar automáticamente el certificado de firma cuando expire. Si el certificado se gira por cualquier razón antes de la hora de expiración, o si no proporciona una dirección URL de metadatos, Azure AD no podrá renovarlo. En este caso, deberá actualizar manualmente el certificado de firma.

  6. Seleccione Guardar. El proveedor de identidades se agrega a la lista de proveedores de identidades de SAML/WS-Fed.

    Captura de pantalla que muestra la lista de proveedores de identidades de SAML/WS-Fed con la nueva entrada.

  7. (Opcional) Para agregar más nombres de dominio a este proveedor de identidades de federación:

    a. Seleccione el vínculo en la columna Dominios.

    Captura de pantalla que muestra el vínculo para agregar dominios al proveedor de identidades de SAML/WS-Fed.

    b. Junto a Nombre de dominio del IdP de federación, escriba el nombre de dominio y, a continuación, seleccione Agregar. Repita para cada dominio que quiera agregar. Cuando haya finalizado, seleccione Listo.

    Captura de pantalla que muestra el botón Agregar en el panel de detalles del dominio.

Para configurar la federación mediante Microsoft Graph API

Puede usar el tipo de recurso samlOrWsFedExternalDomainFederation de Microsoft Graph API para configurar la federación con un proveedor de identidades que admita el protocolo SAML o WS-Fed.

Paso 4: Prueba de la federación con un proveedor de identidades SAML o WS-Fed en Azure AD

Ahora pruebe la configuración de la federación e invite a un nuevo usuario de B2B. Para más información, consulte Incorporación de usuarios de colaboración B2B de Azure Active Directory en Azure Portal.

¿Cómo actualizo los detalles del certificado o la configuración?

En la página Todos los proveedores de identidades, puede ver la lista de proveedores de identidades SAML/WS-Fed que ha configurado y las fechas de expiración de sus certificados. En esta lista, puede renovar certificados y modificar otros detalles de la configuración.

Captura de pantalla que muestra un proveedor de identidades en la lista de WS-Fed de SAML.

  1. Vaya a Azure Portal. En el panel izquierdo, seleccione Azure Active Directory.

  2. Seleccione External Identities.

  3. Seleccione Todos los proveedores de identidades.

  4. En Proveedores de identidades SAML/WS-Fed, desplácese hasta un proveedor de identidades en la lista o use el cuadro de búsqueda.

  5. Para actualizar el certificado o modificar detalles de la configuración:

    • En la columna Configuración del proveedor de identidades, seleccione el vínculo Editar.
    • En la página de configuración, modifique cualquiera de los detalles siguientes:
      • Nombre para mostrar: nombre para mostrar de la organización del asociado.
      • Protocolo del proveedor de identidades: seleccione SAML o WS-Fed.
      • Punto de conexión de autenticación pasiva: el punto de conexión del solicitante pasivo del IdP del asociado.
      • Certificado: el identificador del certificado de firma. Para renovarlo, escriba un nuevo identificador de certificado.
      • Dirección URL de metadatos: la dirección URL que contiene los metadatos del asociado, que se usa para la renovación automática del certificado de firma.
    • Seleccione Guardar.

    Captura de pantalla de los detalles de configuración de IdP.

  6. Para editar los dominios vinculados al asociado, seleccione el vínculo de la columna Dominios. En el panel de detalles del dominio:

    • Para agregar un dominio, escriba el nombre de dominio junto a Nombre de dominio del IdP de federación y, a continuación, seleccione Agregar. Repita para cada dominio que quiera agregar.
    • Para eliminar un dominio, seleccione el icono para eliminar situado junto al dominio.
    • Cuando haya finalizado, seleccione Listo.

    Captura de pantalla de la página de configuración del dominio

    Nota

    Para quitar la federación con el asociado, elimine todos los dominios excepto uno y siga los pasos de la sección siguiente.

¿Cómo se elimina la federación?

Puede eliminar la configuración de la federación. Si lo hace, los usuarios invitados de la federación que ya hayan canjeado sus invitaciones no podrán iniciar sesión. Sin embargo, puede concederles acceso de nuevo a sus recursos al restablecer el estado de canje. Para eliminar una configuración de un proveedor de identidades en el portal de Azure AD:

  1. Vaya a Azure Portal. En el panel izquierdo, seleccione Azure Active Directory.

  2. Seleccione External Identities.

  3. Seleccione Todos los proveedores de identidades.

  4. En Proveedores de identidades SAML/WS-Fed, desplácese hasta el proveedor de identidades en la lista o use el cuadro de búsqueda.

  5. Seleccione el vínculo de la columna Dominios para ver los detalles del dominio del IdP.

  6. Elimine todos los dominios menos uno de la lista Nombre de dominio.

  7. Seleccione Eliminar configuración y, a continuación, seleccione Listo.

    Captura de pantalla de la eliminación de una configuración.

  8. Seleccione Aceptar para confirmar la eliminación.

También puede eliminar la federación mediante el tipo de recurso samlOrWsFedExternalDomainFederation de Microsoft Graph API.

Pasos siguientes

Obtenga más información sobre la experiencia de canje de invitación cuando los usuarios externos inician sesión con varios proveedores de identidades.