Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explican los requisitos para habilitar el inicio de sesión único (SSO) en recursos de dominio locales a través de conexiones Wi-Fi o VPN. Normalmente se usan los siguientes escenarios:
- Conexión a una red mediante Wi-Fi o VPN
- Use credenciales para la autenticación de Wi-Fi o VPN para autenticar también las solicitudes de acceso a los recursos de dominio, sin que se le pidan credenciales de dominio.
Por ejemplo, quiere conectarse a una red corporativa y acceder a un sitio web interno que requiera autenticación integrada de Windows.
Las credenciales que se usan para la autenticación de conexión se colocan en Credential Manager como credenciales predeterminadas para la sesión de inicio de sesión. El Administrador de credenciales almacena las credenciales que se pueden usar para recursos de dominio específicos. Se basan en el nombre de destino del recurso:
- En el caso de VPN, la pila de VPN guarda su credencial como valor predeterminado de la sesión.
- Para Wi-Fi, el Protocolo de autenticación extensible (EAP) proporciona compatibilidad
Las credenciales se colocan en el Administrador de credenciales como una credencial de sesión:
- Una credencial de sesión implica que es válida para la sesión de usuario actual.
- Las credenciales se limpian cuando se desconecta la conexión Wi-Fi o VPN
Nota
En Windows 10, versión 21H2 y posteriores, la credencial de sesión no es visible en el Administrador de credenciales.
Por ejemplo, si alguien que usa Microsoft Edge intenta acceder a un recurso de dominio, Microsoft Edge tiene la funcionalidad de autenticación empresarial adecuada. Esto permite a WinInet liberar las credenciales que obtiene del Administrador de credenciales al SSP que lo solicita. Para obtener más información sobre la funcionalidad de autenticación empresarial, consulte Declaraciones de funcionalidad de la aplicación.
La autoridad de seguridad local examina la aplicación de dispositivo para determinar si tiene la funcionalidad adecuada. Esto incluye elementos como una aplicación de Plataforma universal de Windows (UWP). Si la aplicación no es una UWP, no importa. Sin embargo, si la aplicación es una aplicación para UWP, se evalúa en la funcionalidad del dispositivo para la autenticación empresarial. Si tiene esa funcionalidad y si el recurso al que está intentando acceder está en la zona intranet de las opciones de Internet (ZoneMap), se libera la credencial. Este comportamiento ayuda a evitar que terceros que no son de confianza usen mal las credenciales.
Zona Intranet
Para la zona intranet, de forma predeterminada solo permite nombres de etiqueta única, como http://finance.
Si el recurso al que se debe acceder tiene varias etiquetas de dominio, la solución alternativa es usar el CSP del Registro.
Establecer zonemap
ZoneMap se controla mediante un registro que se puede establecer a través de MDM.
De forma predeterminada, los nombres de etiqueta única como http://finance ya están en la zona de intranet.
Para los nombres de varias etiquetas, como http://finance.net, es necesario actualizar ZoneMap.
Directiva MDM
Ejemplo de URI de OMA:
./Vendor/MSFT/Registry/HKU/S-1-5-21-2702878673-795188819-444038987-2781/Software/Microsoft/Windows/CurrentVersion/Internet%20Settings/ZoneMap/Domains/<domain name> como un Integer valor de 1 para cada uno de los dominios en los que desea realizar el inicio de sesión único desde el dispositivo. Esto agrega los dominios especificados a la zona de intranet del explorador Microsoft Edge.
Requisitos de credenciales
Para VPN, los siguientes tipos de credenciales se agregarán al administrador de credenciales después de la autenticación:
- Nombre de usuario y contraseña
- Autenticación basada en certificados:
- Certificado del proveedor de almacenamiento de claves de TPM (KSP)
- Certificados del proveedor de almacenamiento de claves de software (KSP)
- Certificado de tarjeta inteligente
- certificado de Windows Hello para empresas
El nombre de usuario también debe incluir un dominio al que se puede acceder a través de la conexión (VPN o WiFi).
Plantillas de certificado de usuario
Si las credenciales están basadas en certificados, los elementos de la tabla siguiente deben configurarse para las plantillas de certificado para asegurarse de que también se pueden usar para la autenticación de cliente Kerberos.
| Elemento Template | Configuración |
|---|---|
| SubjectName | El nombre distintivo (DN) del usuario donde los componentes de dominio del nombre distintivo reflejan el espacio de nombres DNS interno cuando SubjectAlternativeName no tiene el UPN completo necesario para buscar el controlador de dominio.
Este requisito es relevante en entornos de varios bosques, ya que garantiza que se pueda encontrar un controlador de dominio. |
| SubjectAlternativeName | El UPN completo del usuario donde un componente de nombre de dominio del UPN del usuario coincide con el espacio de nombres DNS del dominio interno de las organizaciones.
Este requisito es relevante en entornos de varios bosques, ya que garantiza que se pueda encontrar un controlador de dominio cuando subjectName no tenga el DN necesario para buscar el controlador de dominio. |
| Proveedor de almacenamiento de claves (KSP) | Si el dispositivo está unido a Microsoft Entra ID, se usa un certificado de SSO discreto. |
| EnhancedKeyUsage | Se requiere una o varias de las siguientes EEKU:
|
Configuración del servidor NDES
Es necesario configurar el servidor NDES para que las solicitudes SCEP entrantes se puedan asignar a la plantilla correcta que se va a usar. Para obtener más información, vea Configurar la infraestructura de certificados para SCEP.
Requisitos de Active Directory
Necesita conectividad IP con un servidor DNS y un controlador de dominio a través de la interfaz de red para que la autenticación también se pueda realizar correctamente.
Los controladores de dominio deben tener certificados KDC adecuados para que el cliente confíe en ellos como controladores de dominio. Dado que los teléfonos no están unidos a un dominio, la ENTIDAD de certificación raíz del certificado del KDC debe estar en la ENTIDAD de certificación raíz de terceros o en el almacén raíz de confianza de tarjeta inteligente.
Los controladores de dominio deben usar certificados basados en la plantilla de certificado KDC actualizada Autenticación Kerberos.