Compartir vía


Administración y personalización de AD FS mediante Microsoft Entra Connect

En este artículo, se describe cómo administrar y personalizar Servicios de federación de Active Directory (AD FS) con Microsoft Entra Connect.

También obtendrá información sobre otras tareas comunes de AD FS que es posible que tenga que realizar para configurar completamente una granja de servidores de AD FS. Estas tareas se enumeran en la tabla siguiente:

Tarea Descripción
Administración de AD FS
Reparación de la confianza Obtenga información sobre cómo reparar la confianza de federación con Microsoft 365.
Federación con Microsoft Entra ID mediante un identificador de inicio de sesión alternativo Aprenda a configurar la federación mediante un identificador de inicio de sesión alternativo.
Adición de un servidor de AD FS Obtenga información sobre cómo ampliar una granja de AD FS con un servidor AD FS adicional.
Agregar un servidor de proxy de aplicación web (WAP) de AD FS Obtenga información sobre cómo ampliar una granja de AD FS con un servidor WAP adicional.
Adición de un dominio federado Obtenga información sobre cómo agregar un dominio federado.
Actualización del certificado TLS/SSL Obtenga información sobre cómo actualizar el certificado TLS/SSL de una granja de servidores de AD FS.
Personalización de AD FS
Adición de un logotipo de la compañía personalizado o una ilustración Obtenga información sobre cómo personalizar una página de inicio de sesión de AD FS con una ilustración y un logotipo de la empresa.
Adición de la descripción de inicio de sesión Obtenga información sobre cómo agregar una descripción a la página de inicio de sesión.
Modificación de las reglas de notificaciones de AD FS Obtenga información sobre cómo modificar las notificaciones de AD FS en diversos escenarios de federación.

Administración de AD FS

Puede realizar diversas tareas relacionadas con AD FS en Microsoft Entra Connect con mínima intervención por parte del usuario mediante el Asistente para Microsoft Entra Connect. Una vez finalizada la instalación de Microsoft Entra Connect con el asistente, puede ejecutarlo de nuevo para realizar otras tareas.

Reparación de la confianza

Puede usar Microsoft Entra Connect para comprobar el estado actual de la confianza de AD FS y Microsoft Entra ID y, luego, tomar las medidas adecuadas para repararla. Para reparar la confianza de Microsoft Entra ID y AD FS, haga lo siguiente:

  1. Seleccione Reparar Microsoft Entra ID y confianza de ADFS en la lista de tareas.

    Captura de pantalla de la página

  2. En la página Conectarse a Microsoft Entra ID, proporcione sus credenciales de administrador de identidades híbridas para Microsoft Entra ID y, luego, seleccione Siguiente.

    Captura de pantalla que muestra la página

  3. En la página Credenciales de acceso remoto , proporcione las credenciales del administrador de dominio.

    Captura de pantalla que muestra la página

  4. Seleccione Siguiente.

    Microsoft Entra Connect comprueba el estado del certificado y muestra los problemas que existen.

    Captura de pantalla de la página

    La página Listo para configurar muestra la lista de acciones que se llevarán a cabo para reparar la confianza.

    Captura de pantalla que muestra la página

  5. Seleccione Instalar para reparar la confianza.

Nota:

Microsoft Entra Connect solo puede reparar o actuar en los certificados autofirmados. Microsoft Entra Connect no puede reparar certificados de terceros.

Federación con Microsoft Entra ID mediante AlternateID

Se recomienda mantener el nombre principal de usuario (UPN) local y el nombre principal de usuario en la nube igual. Si el UPN local usa un dominio no enrutable (por ejemplo, Contoso.local) o no se puede cambiar debido a las dependencias de la aplicación local, se recomienda configurar un identificador de inicio de sesión alternativo. Con un identificador de inicio de sesión alternativo, puede configurar una experiencia de inicio de sesión en la que los usuarios puedan iniciar sesión con un atributo distinto de su UPN, como una dirección de correo electrónico.

La opción predeterminada de UPN en Microsoft Entra Connect es el atributo userPrincipalName en Active Directory. Si elige cualquier otro atributo para el UPN y está federando mediante AD FS, Microsoft Entra Connect configura AD FS para un identificador de inicio de sesión alternativo.

En la imagen siguiente se muestra un ejemplo de cómo elegir un atributo diferente para el UPN:

Captura de pantalla que muestra la página

La configuración del identificador de inicio de sesión alternativo para AD FS consta de dos pasos principales:

  1. Configurar el conjunto de notificaciones de emisión correcto: las reglas de notificación del usuario de confianza de Microsoft Entra ID se modifican para utilizar el atributo UserPrincipalName seleccionado como identificador alternativo del usuario de confianza.

  2. Habilitar un identificador de inicio de sesión alternativo en la configuración de AD FS: se actualiza la configuración de AD FS para que AD FS pueda buscar usuarios en los bosques correspondientes con el identificador alternativo. Esta configuración se admite en AD FS en Windows Server 2012 R2 (con KB2919355) o versiones posteriores. Si los servidores de AD FS son 2012 R2, Microsoft Entra Connect comprueba si está presente la KB necesaria. Si no se detecta la KB, se muestra una advertencia una vez completada la configuración, como se muestra en la imagen siguiente:

    Captura de pantalla de la página

    Si falta alguna KB, puede remediar la configuración instalando la KB2919355 necesaria. A continuación, puede seguir las instrucciones de reparación de la confianza.

Nota

Para más información sobre alternateID y los pasos para configurarlo manualmente, consulte Configuración de un identificador de inicio de sesión alternativo.

Adición de un servidor de AD FS

Nota:

Para agregar un servidor de AD FS, Microsoft Entra Connect necesita un certificado PFX. Por lo tanto, puede realizar esta operación solamente si ha configurado la granja de servidores de AD FS con Microsoft Entra Connect.

  1. Seleccione Implementar un servidor de federación adicional y seleccione Siguiente.

    Captura de pantalla del panel

  2. En la página Conectarse a Microsoft Entra ID, escriba sus credenciales de administrador de identidades híbridas para Microsoft Entra ID y, luego, seleccione Siguiente.

    Captura de pantalla que muestra la página

  3. Proporcione las credenciales del administrador de dominio.

    Captura de pantalla que muestra la página

  4. Microsoft Entra Connect le pide la contraseña del archivo PFX que proporcionó al configurar la nueva granja de servidores de AD FS con Microsoft Entra Connect. Seleccione Escribir contraseña para proporcionar la contraseña del archivo PFX.

    Captura de pantalla de la página

    Captura de pantalla que muestra la página

  5. En la página Servidores de AD FS , escriba el nombre del servidor o la dirección IP que se agregarán a la granja de servidores de AD FS.

    Captura de pantalla que muestra la página

  6. Seleccione Siguiente y continúe completando la página Configurar final.

    Una vez que Microsoft Entra Connect haya terminado de agregar los servidores a la granja de servidores de AD FS, se le ofrecerá la opción de comprobar la conectividad.

    Captura de pantalla que muestra la página

    Captura de pantalla que muestra la página

Adición de un servidor de AD FS WAP

Nota:

Para agregar un servidor proxy de aplicaciones web, Microsoft Entra Connect necesita el certificado PFX. Por lo tanto, puede realizar esta operación solamente después de configurar la granja de servidores de AD FS con Microsoft Entra Connect.

  1. Seleccione Implementar proxy de aplicación web en la lista de tareas disponibles.

    Implementación de Proxy de aplicación web

  2. Proporcione las credenciales de administrador de identidad híbrida de Azure.

    Captura de pantalla que muestra la página

  3. En la página Especificar el certificado SSL, indique la contraseña para el archivo PFX que proporcionó cuando configuró la granja de servidores de AD FS con Microsoft Entra Connect. Contraseña de certificado

    Especificar un certificado TLS/SSL

  4. Incluya el servidor que se agregará como servidor WAP. Como el servidor WAP puede no estar unido al dominio, se le pedirán credenciales administrativas para el servidor que se va a agregar.

    Credenciales administrativas del servidor

  5. En la página Credenciales de confianza del proxy, proporcione credenciales administrativas para configurar la confianza del proxy y tener acceso al servidor principal en la granja de servidores de AD FS.

    Credenciales de confianza del proxy

  6. En la página Listo para configurar, el asistente muestra la lista de acciones que se realizarán.

    Captura de pantalla que muestra la página

  7. Seleccione Instalar para finalizar la configuración. Una vez completada la configuración, se le ofrece la opción de comprobar la conectividad con los servidores. Seleccione Comprobar para validar la conectividad.

    Instalación completada

Adición de un dominio federado

Es fácil agregar un dominio para la federación con Microsoft Entra ID mediante Microsoft Entra Connect. Microsoft Entra Connect agrega el dominio para la federación y modifica las reglas de notificaciones para reflejar correctamente el emisor cuando existen varios dominios federados con Microsoft Entra ID.

  1. Para agregar un dominio federado, seleccione Agregar un dominio de Microsoft Entra adicional.

    Captura de pantalla del panel

  2. En la página siguiente del asistente, proporciona las credenciales de administrador híbrido para Microsoft Entra ID.

    Captura de pantalla que muestra el panel

  3. En la página Credenciales de acceso remoto , proporcione las credenciales del administrador del dominio.

    Captura de pantalla que muestra el panel

  4. En la página siguiente del asistente, aparece una lista de dominios de Microsoft Entra con los que puede federar su directorio local. Elija el dominio en la lista.

    Captura de pantalla del panel

    Después de elegir el dominio, el asistente le informa de las acciones posteriores que llevará a cabo y del impacto de la configuración. En algunos casos, si selecciona un dominio que aún no está verificado en Microsoft Entra ID, el asistente le ayudará a verificar el dominio. Para más información, consulte Incorporación de un nombre de dominio personalizado a Microsoft Entra ID.

  5. Seleccione Siguiente.

    La página Listo para configurar enumera las acciones que realizará Microsoft Entra Connect.

    Captura de pantalla del panel

  6. Seleccione Instalar para finalizar la configuración.

Nota:

Los usuarios del dominio federado agregado deben sincronizarse para poder iniciar sesión en Microsoft Entra ID.

Personalización de AD FS

En las secciones siguientes, se proporcionan detalles sobre algunas de las tareas comunes que probablemente deba realizar cuando personalice la página de inicio de sesión de AD FS.

Para cambiar el logotipo de la compañía que se muestra en la página de inicio de sesión, use el siguiente cmdlet de PowerShell y la sintaxis.

Nota:

Las dimensiones recomendadas para el logotipo son 260 x 35 a 96 ppp con un tamaño de archivo no superior a 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Nota:

Se requiere el parámetro TargetName . El tema predeterminado que se incluyó con AD FS se llamada Default.

Adición de una descripción de inicio de sesión

Para agregar a la página de inicio de sesión una descripción de la página de inicio de sesión, use el siguiente cmdlet de PowerShell y la siguiente sintaxis.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Modificación de las reglas de notificaciones de AD FS

AD FS admite un amplio lenguaje de notificaciones que sirve para crear reglas de notificaciones personalizadas. Para más información, consulte El papel de lenguaje de reglas de notificación.

En las secciones siguientes, se describe cómo escribir reglas personalizadas para algunos escenarios relacionados con la federación de Microsoft Entra ID y AD FS.

Identificador inmutable dependiente de si hay un valor presente en el atributo

Microsoft Entra Connect permite especificar un atributo que se usará como delimitador de origen cuando los objetos se sincronicen con Microsoft Entra ID. Si el valor del atributo personalizado no está vacío, puede emitir una notificación de identificador inmutable.

Por ejemplo, puede seleccionar ms-ds-consistencyguid como atributo del delimitador de origen y emitir ImmutableID como ms-ds-consistencyguid por si el atributo tiene un valor para él. Si no hay ningún valor para el atributo, emita objectGuid como identificador inmutable. Puede construir el conjunto de reglas de notificaciones personalizadas, tal como se describe en la sección siguiente.

Regla 1: Consultar atributos

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

En esta regla simplemente se consultan los valores de ms-ds-consistencyguid y objectGuid para el usuario desde Active Directory. Cambie el nombre del almacén por un nombre adecuado en la implementación de AD FS. Cambie también el tipo de notificaciones a un tipo correcto para la federación, tal como se define para los atributos objectGuid y ms-ds-consistencyguid.

Además, al usar add y no issue, no se tiene que agregar una emisión de salida para la entidad y solo se usan los valores como valores intermedios. emitirá la notificación en una regla posterior después de establecerse el valor que se usará como identificador inmutable.

Regla 2: Comprobar si ms-ds-consistencyguid existe para el usuario

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Esta regla define un marcador temporal idflag, que se establece en useguid si no hay ningún atributo ms-ds-consistencyguid rellenado para el usuario. Esto se debe a que AD FS no admite notificaciones vacías. Al agregar notificaciones http://contoso.com/ws/2016/02/identity/claims/objectguid y http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid en la primera regla, solo se generará una notificación msdsconsistencyguid si se ha rellenado el valor del usuario. Si no se rellena, AD FS ve que tiene un valor vacío y lo coloca inmediatamente. Todos los objetos tendrán el atributo objectGuid, así que esa notificación seguirá estando después de que se ejecute la regla 1.

Regla 3: Emitir el atributo ms-ds-consistencyguid como identificador inmutable si está presente

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Se trata de una comprobación Exist implícita. Si el valor de la notificación existe, emítalo como identificador inmutable. En el ejemplo anterior se utiliza la notificación nameidentifier . Tendrá que cambiar este valor al tipo de notificación adecuado para un identificador inmutable en su entorno.

Regla 4: Emitir el atributo objectGUID como identificador inmutable si ms-ds-consistencyguid no está presente

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Con esta regla, simplemente va a comprobar el atributo temporal idflag. Decida si va a emitir la notificación basándose en su valor.

Nota:

La secuencia de estas reglas es importante.

SSO con un UPN de subdominio

Puede agregar más de un dominio para federarlo mediante Microsoft Entra Connect, tal como se describe en Incorporación de un nuevo dominio federado. Las versiones de Microsoft Entra 1.1.553.0 y posteriores crean automáticamente la regla de notificación correcta para issuerID. Si no puede usar la versión 1.1.553.0 o posterior de Microsoft Entra Connect, le recomendamos que use la herramienta Reglas de notificación de Microsoft Entra RPT para generar y establecer reglas de notificación correctas para la confianza de la parte dependiente de Microsoft Entra ID.

Pasos siguientes

Obtenga más información sobre las opciones de inicio de sesión del usuario.