Planeación de una implementación de inicio de sesión único
En este artículo, se proporciona información que puede usar para planear la implementación del inicio de sesión único (SSO) en Microsoft Entra ID. Al planear la implementación del SSO con sus aplicaciones de Microsoft Entra ID, debe tener en cuenta las siguientes preguntas:
- ¿Cuáles son los roles administrativos necesarios para administrar la aplicación?
- ¿Es necesario renovar el certificado de aplicación de Lenguaje de marcado de aserción de seguridad (SAML)?
- ¿Quién debe recibir una notificación de los cambios relacionados con la implementación del inicio de sesión único?
- ¿Qué licencias son necesarias para garantizar una administración eficaz de la aplicación?
- ¿Se usan cuentas de usuario invitado y compartidas para acceder a la aplicación?
- ¿Conozco las opciones de implementación del SSO?
Roles administrativos
Use siempre el rol con los permisos mínimos disponibles para realizar la tarea requerida en Microsoft Entra ID. Revise los distintos roles disponibles y elija el correcto para resolver las necesidades para cada rol de la aplicación. Es posible que algunos roles se tengan que aplicar temporalmente y quitar una vez completada la implementación.
Rol | Roles | Rol de Microsoft Entra (si procede) |
---|---|---|
Administrador del departamento de soporte técnico | El nivel 1 admite la visualización de los registros de inicio de sesión para resolver problemas. | None |
Administración de identidades | Configuración y depuración cuando los problemas implican Microsoft Entra ID | Administrador de aplicaciones en la nube |
Administrador de aplicaciones | Atestación de usuarios en la aplicación, configuración en usuarios con permisos | None |
Administradores de infraestructura | Propietario de sustitución del certificado | Administrador de aplicaciones en la nube |
Propietario de la empresa o parte interesada | Atestación de usuarios en la aplicación, configuración en usuarios con permisos | Ninguno |
Para más información sobre los roles administrativos de Microsoft Entra, consulte Roles integrados de Microsoft Entra.
Certificados
Al habilitar la federación en la aplicación de SAML, Microsoft Entra ID crea un certificado con una validez predeterminada de tres años. Si es necesario, puede personalizar la fecha de expiración de ese certificado. Asegúrese de que tiene procesos implementados para renovar los certificados antes de su expiración.
Puede cambiar la duración del certificado en el centro de administración de Microsoft Entra. Asegúrese de documentar la expiración y saber cómo administrar la renovación del certificado. Es importante identificar los roles adecuados y las listas de distribución de correo electrónico encargadas de administrar el ciclo de vida del certificado de firma. Se recomiendan los siguientes roles:
- Propietario para actualizar las propiedades de usuario en la aplicación
- Propietario de guardia para proporcionar asistencia para la solución de problemas de la aplicación
- Lista de distribución de correo electrónico supervisada con detalle para notificaciones de cambios relacionados con el certificado
Configure un proceso para controlar un cambio de certificado entre Microsoft Entra ID y la aplicación. Este proceso puede ayudar a evitar o minimizar una interrupción debido a la expiración de un certificado o a una sustitución forzada de certificados. Para más información, consulte Administración de certificados para el inicio de sesión único federado en Microsoft Entra ID.
Comunicaciones
La comunicación es fundamental para el éxito de cualquier servicio nuevo. Comunique de forma proactiva a los usuarios sobre el próximo cambio de experiencia. Comunicarse cuando se produzca el cambio y cómo obtener soporte técnico si experimentan problemas. Revise las opciones de cómo los usuarios tienen acceso a sus aplicaciones habilitadas para SSO y envíe sus comunicaciones para que coincidan con la selección.
Implemente el plan de comunicación. Asegúrese de que está informando a los usuarios de que se está llegando un cambio, cuándo llega y qué hacer ahora. Además, asegúrese de proporcionar información sobre cómo obtener ayuda.
Licencias
Asegúrese de que la aplicación está cubierta por los siguientes requisitos de licencia:
Licencias de Microsoft Entra ID: el inicio de sesión único para aplicaciones empresariales preintegradas es gratuito. Sin embargo, el número de objetos del directorio y las características que desea implementar podrían requerir más licencias. Para obtener una lista completa de los requisitos de licencia, consulte los precios de Microsoft Entra.
Licencias de aplicaciones: necesita las licencias adecuadas para que las aplicaciones satisfagan sus necesidades empresariales. Trabaje con el propietario de la aplicación para determinar si los usuarios asignados a la aplicación tienen las licencias adecuadas para sus roles dentro de ella. Si Microsoft Entra ID administra el aprovisionamiento automático en función de los roles, los roles asignados en Microsoft Entra ID se deben alinear con el número de licencias que posee dentro de la aplicación. El número incorrecto de licencias que pertenecen a la aplicación podría provocar errores durante el aprovisionamiento o la actualización de una cuenta de usuario.
Cuentas compartidas
Desde la perspectiva del inicio de sesión, las aplicaciones con cuentas compartidas no son diferentes de las aplicaciones empresariales en las que se usa el inicio de sesión único con contraseña para usuarios individuales. Pero es necesario realizar más pasos al planear y configurar una aplicación diseñada para usar cuentas compartidas.
- Trabaje con los usuarios para documentar la siguiente información:
- Conjunto de usuarios de la organización que van a usar la aplicación.
- El conjunto existente de credenciales en la aplicación asociadas con el conjunto de usuarios.
- Para cada combinación de conjunto de usuarios y credenciales, cree un grupo de seguridad local en la nube según los requisitos.
- Restablezca las credenciales compartidas. Una vez implementada la aplicación en Microsoft Entra ID, los usuarios no necesitan la contraseña de la cuenta compartida. Microsoft Entra ID almacena la contraseña, por lo que debería considerar la posibilidad de establecer una contraseña larga y compleja.
- Si la aplicación lo admite, configure la sustitución automática de la contraseña. De ese modo, ni siquiera el administrador que ha realizado la instalación inicial conoce la contraseña de la cuenta compartida.
Opciones de inicio de sesión único
Hay varias maneras de configurar una aplicación para el inicio de sesión único. La elección de un método de SSO depende de cómo esté configurada la aplicación para la autenticación.
- Las aplicaciones en la nube pueden usar los métodos OpenID Connect, OAuth, SAML, basado en contraseña o vinculado para el inicio de sesión único. El inicio de sesión único también se puede deshabilitar.
- Las aplicaciones locales pueden usar métodos de inicio de sesión único basado en contraseña, de Autenticación integrada de Windows, basado en encabezados o vinculado para el inicio de sesión único. Las opciones locales funcionan si las aplicaciones están configuradas para Application Proxy.
Este diagrama de flujo puede ayudarle a decidir qué método de inicio de sesión único es el mejor en su caso.
Están disponibles para su uso los siguientes protocolos de inicio de sesión único:
OpenID Connect y OAuth: elija OpenID Connect y OAuth 2.0 si la aplicación a la que se va a conectar lo admite. Para más información, consulte Protocolos OAuth 2.0 y OpenID Connect en la Plataforma de identidad de Microsoft. Para ver los pasos para implementar el inicio de sesión único de OpenID Connect, consulte el artículo Configuración del inicio de sesión único basado en OIDC de una aplicación en Microsoft Entra ID.
SAML: elija SAML siempre que sea posible para las aplicaciones existentes que no usan OpenID Connect o OAuth. Para obtener más información, consulte Protocolo SAML de inicio de sesión único.
Basado en contraseña: elija el inicio de sesión basado en contraseña cuando la aplicación tenga una página de inicio de sesión HTML. El SSO basado en contraseña también se conoce como almacenamiento de contraseñas. El SSO basado en contraseña permite administrar el acceso y las contraseñas de los usuarios en aplicaciones web que no admiten la federación de identidades. También es útil cuando varios usuarios necesitan compartir una sola cuenta, como las cuentas de aplicaciones de redes sociales de la organización.
El SSO basado en contraseña admite aplicaciones que requieren varios campos de inicio de sesión para aplicaciones que no solo requieren los campos de nombre de usuario y contraseña para iniciar sesión. Puede personalizar las etiquetas de los campos de nombre de usuario y contraseña que los usuarios ven en la página Aplicaciones cuando escriben sus credenciales. Para ver los pasos para implementar el SSO basado en contraseña, consulte el artículo sobre el inicio de sesión único basado en contraseña.
Vinculado: elija el inicio de sesión vinculado si la aplicación está configurada para el SSO en otro servicio de proveedor de identidades. La opción Vinculado permite configurar la ubicación de destino cuando un usuario selecciona la aplicación de los portales de usuario final de la organización. Puede agregar un vínculo a una aplicación web personalizada que use actualmente federación, como Servicios de federación de Active Directory (ADFS).
También puede agregar vínculos a páginas web específicas que quiera que aparezcan en los paneles de acceso de su usuario y a una aplicación que no requiera autenticación. La opción Vinculado no proporciona la funcionalidad de inicio de sesión a través de las credenciales de Microsoft Entra. Para ver los pasos para implementar el SSO vinculado, vea el artículo sobre el inicio de sesión único vinculado.
Deshabilitado: elija el SSO deshabilitado cuando la aplicación no esté lista para configurarse para el inicio de sesión único.
Autenticación integrada de Windows (IWA) : elija el inicio de sesión único de IWA para aplicaciones que usen IWA o aplicaciones compatibles con notificaciones. Para obtener más información, consulte Delegación restringida de Kerberos para el inicio de sesión único (SSO) para las aplicaciones con Application Proxy.
Basado en encabezados: use el inicio de sesión único basado en encabezados si la aplicación usa encabezados para la autenticación. Para obtener más información, consulte el artículo sobre el inicio de sesión único basado en encabezados.