Administración y personalización de AD FS mediante Microsoft Entra Connect
En este artículo, se describe cómo administrar y personalizar Servicios de federación de Active Directory (AD FS) con Microsoft Entra Connect.
También obtendrá información sobre otras tareas comunes de AD FS que es posible que tenga que realizar para configurar completamente una granja de servidores de AD FS. Estas tareas se enumeran en la tabla siguiente:
Tarea | Descripción |
---|---|
Administración de AD FS | |
Reparación de la confianza | Obtenga información sobre cómo reparar la confianza de federación con Microsoft 365. |
Federación con Microsoft Entra ID mediante un identificador de inicio de sesión alternativo | Aprenda a configurar la federación mediante un identificador de inicio de sesión alternativo. |
Adición de un servidor de AD FS | Obtenga información sobre cómo ampliar una granja de AD FS con un servidor AD FS adicional. |
Agregar un servidor de proxy de aplicación web (WAP) de AD FS | Obtenga información sobre cómo ampliar una granja de AD FS con un servidor WAP adicional. |
Adición de un dominio federado | Obtenga información sobre cómo agregar un dominio federado. |
Actualización del certificado TLS/SSL | Obtenga información sobre cómo actualizar el certificado TLS/SSL de una granja de servidores de AD FS. |
Personalización de AD FS | |
Adición de un logotipo de la compañía personalizado o una ilustración | Obtenga información sobre cómo personalizar una página de inicio de sesión de AD FS con una ilustración y un logotipo de la empresa. |
Adición de la descripción de inicio de sesión | Obtenga información sobre cómo agregar una descripción a la página de inicio de sesión. |
Modificación de las reglas de notificaciones de AD FS | Obtenga información sobre cómo modificar las notificaciones de AD FS en diversos escenarios de federación. |
Administración de AD FS
Puede realizar diversas tareas relacionadas con AD FS en Microsoft Entra Connect con mínima intervención por parte del usuario mediante el Asistente para Microsoft Entra Connect. Una vez finalizada la instalación de Microsoft Entra Connect con el asistente, puede ejecutarlo de nuevo para realizar otras tareas.
Reparación de la confianza
Puede usar Microsoft Entra Connect para comprobar el estado actual de la confianza de AD FS y Microsoft Entra ID y, luego, tomar las medidas adecuadas para repararla. Para reparar la confianza de Microsoft Entra ID y AD FS, haga lo siguiente:
Seleccione Reparar Microsoft Entra ID y confianza de ADFS en la lista de tareas.
En la página Conectarse a Microsoft Entra ID, proporcione sus credenciales de administrador de identidades híbridas para Microsoft Entra ID y, luego, seleccione Siguiente.
En la página Credenciales de acceso remoto , proporcione las credenciales del administrador de dominio.
Seleccione Siguiente.
Microsoft Entra Connect comprueba el estado del certificado y muestra los problemas que existen.
La página Listo para configurar muestra la lista de acciones que se llevarán a cabo para reparar la confianza.
Seleccione Instalar para reparar la confianza.
Nota:
Microsoft Entra Connect solo puede reparar o actuar en los certificados autofirmados. Microsoft Entra Connect no puede reparar certificados de terceros.
Federación con Microsoft Entra ID mediante AlternateID
Se recomienda mantener el nombre principal de usuario (UPN) local y el nombre principal de usuario en la nube igual. Si el UPN local usa un dominio no enrutable (por ejemplo, Contoso.local) o no se puede cambiar debido a las dependencias de la aplicación local, se recomienda configurar un identificador de inicio de sesión alternativo. Con un identificador de inicio de sesión alternativo, puede configurar una experiencia de inicio de sesión en la que los usuarios puedan iniciar sesión con un atributo distinto de su UPN, como una dirección de correo electrónico.
La opción predeterminada de UPN en Microsoft Entra Connect es el atributo userPrincipalName en Active Directory. Si elige cualquier otro atributo para el UPN y está federando mediante AD FS, Microsoft Entra Connect configura AD FS para un identificador de inicio de sesión alternativo.
En la imagen siguiente se muestra un ejemplo de cómo elegir un atributo diferente para el UPN:
La configuración del identificador de inicio de sesión alternativo para AD FS consta de dos pasos principales:
Configurar el conjunto de notificaciones de emisión correcto: las reglas de notificación del usuario de confianza de Microsoft Entra ID se modifican para utilizar el atributo UserPrincipalName seleccionado como identificador alternativo del usuario de confianza.
Habilitar un identificador de inicio de sesión alternativo en la configuración de AD FS: se actualiza la configuración de AD FS para que AD FS pueda buscar usuarios en los bosques correspondientes con el identificador alternativo. Esta configuración se admite en AD FS en Windows Server 2012 R2 (con KB2919355) o versiones posteriores. Si los servidores de AD FS son 2012 R2, Microsoft Entra Connect comprueba si está presente la KB necesaria. Si no se detecta la KB, se muestra una advertencia una vez completada la configuración, como se muestra en la imagen siguiente:
Si falta alguna KB, puede remediar la configuración instalando la KB2919355 necesaria. A continuación, puede seguir las instrucciones de reparación de la confianza.
Nota
Para más información sobre alternateID y los pasos para configurarlo manualmente, consulte Configuración de un identificador de inicio de sesión alternativo.
Adición de un servidor de AD FS
Nota:
Para agregar un servidor de AD FS, Microsoft Entra Connect necesita un certificado PFX. Por lo tanto, puede realizar esta operación solamente si ha configurado la granja de servidores de AD FS con Microsoft Entra Connect.
Seleccione Implementar un servidor de federación adicional y seleccione Siguiente.
En la página Conectarse a Microsoft Entra ID, escriba sus credenciales de administrador de identidades híbridas para Microsoft Entra ID y, luego, seleccione Siguiente.
Proporcione las credenciales del administrador de dominio.
Microsoft Entra Connect le pide la contraseña del archivo PFX que proporcionó al configurar la nueva granja de servidores de AD FS con Microsoft Entra Connect. Seleccione Escribir contraseña para proporcionar la contraseña del archivo PFX.
En la página Servidores de AD FS , escriba el nombre del servidor o la dirección IP que se agregarán a la granja de servidores de AD FS.
Seleccione Siguiente y continúe completando la página Configurar final.
Una vez que Microsoft Entra Connect haya terminado de agregar los servidores a la granja de servidores de AD FS, se le ofrecerá la opción de comprobar la conectividad.
Adición de un servidor de AD FS WAP
Nota:
Para agregar un servidor proxy de aplicaciones web, Microsoft Entra Connect necesita el certificado PFX. Por lo tanto, puede realizar esta operación solamente después de configurar la granja de servidores de AD FS con Microsoft Entra Connect.
Seleccione Implementar proxy de aplicación web en la lista de tareas disponibles.
Proporcione las credenciales de administrador de identidad híbrida de Azure.
En la página Especificar el certificado SSL, indique la contraseña para el archivo PFX que proporcionó cuando configuró la granja de servidores de AD FS con Microsoft Entra Connect.
Incluya el servidor que se agregará como servidor WAP. Como el servidor WAP puede no estar unido al dominio, se le pedirán credenciales administrativas para el servidor que se va a agregar.
En la página Credenciales de confianza del proxy, proporcione credenciales administrativas para configurar la confianza del proxy y tener acceso al servidor principal en la granja de servidores de AD FS.
En la página Listo para configurar, el asistente muestra la lista de acciones que se realizarán.
Seleccione Instalar para finalizar la configuración. Una vez completada la configuración, se le ofrece la opción de comprobar la conectividad con los servidores. Seleccione Comprobar para validar la conectividad.
Adición de un dominio federado
Es fácil agregar un dominio para la federación con Microsoft Entra ID mediante Microsoft Entra Connect. Microsoft Entra Connect agrega el dominio para la federación y modifica las reglas de notificaciones para reflejar correctamente el emisor cuando existen varios dominios federados con Microsoft Entra ID.
Para agregar un dominio federado, seleccione Agregar un dominio de Microsoft Entra adicional.
En la página siguiente del asistente, proporciona las credenciales de administrador híbrido para Microsoft Entra ID.
En la página Credenciales de acceso remoto , proporcione las credenciales del administrador del dominio.
En la página siguiente del asistente, aparece una lista de dominios de Microsoft Entra con los que puede federar su directorio local. Elija el dominio en la lista.
Después de elegir el dominio, el asistente le informa de las acciones posteriores que llevará a cabo y del impacto de la configuración. En algunos casos, si selecciona un dominio que aún no está verificado en Microsoft Entra ID, el asistente le ayudará a verificar el dominio. Para más información, consulte Incorporación de un nombre de dominio personalizado a Microsoft Entra ID.
Seleccione Siguiente.
La página Listo para configurar enumera las acciones que realizará Microsoft Entra Connect.
Seleccione Instalar para finalizar la configuración.
Nota:
Los usuarios del dominio federado agregado deben sincronizarse para poder iniciar sesión en Microsoft Entra ID.
Personalización de AD FS
En las secciones siguientes, se proporcionan detalles sobre algunas de las tareas comunes que probablemente deba realizar cuando personalice la página de inicio de sesión de AD FS.
Adición de un logotipo de la compañía personalizado o una ilustración
Para cambiar el logotipo de la compañía que se muestra en la página de inicio de sesión, use el siguiente cmdlet de PowerShell y la sintaxis.
Nota:
Las dimensiones recomendadas para el logotipo son 260 x 35 a 96 ppp con un tamaño de archivo no superior a 10 KB.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Nota:
Se requiere el parámetro TargetName . El tema predeterminado que se incluyó con AD FS se llamada Default.
Adición de una descripción de inicio de sesión
Para agregar a la página de inicio de sesión una descripción de la página de inicio de sesión, use el siguiente cmdlet de PowerShell y la siguiente sintaxis.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
Modificación de las reglas de notificaciones de AD FS
AD FS admite un amplio lenguaje de notificaciones que sirve para crear reglas de notificaciones personalizadas. Para más información, consulte El papel de lenguaje de reglas de notificación.
En las secciones siguientes, se describe cómo escribir reglas personalizadas para algunos escenarios relacionados con la federación de Microsoft Entra ID y AD FS.
Identificador inmutable dependiente de si hay un valor presente en el atributo
Microsoft Entra Connect permite especificar un atributo que se usará como delimitador de origen cuando los objetos se sincronicen con Microsoft Entra ID. Si el valor del atributo personalizado no está vacío, puede emitir una notificación de identificador inmutable.
Por ejemplo, puede seleccionar ms-ds-consistencyguid
como atributo del delimitador de origen y emitir ImmutableID como ms-ds-consistencyguid
por si el atributo tiene un valor para él. Si no hay ningún valor para el atributo, emita objectGuid
como identificador inmutable. Puede construir el conjunto de reglas de notificaciones personalizadas, tal como se describe en la sección siguiente.
Regla 1: Consultar atributos
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
En esta regla simplemente se consultan los valores de ms-ds-consistencyguid
y objectGuid
para el usuario desde Active Directory. Cambie el nombre del almacén por un nombre adecuado en la implementación de AD FS. Cambie también el tipo de notificaciones a un tipo correcto para la federación, tal como se define para los atributos objectGuid
y ms-ds-consistencyguid
.
Además, al usar add
y no issue
, no se tiene que agregar una emisión de salida para la entidad y solo se usan los valores como valores intermedios. emitirá la notificación en una regla posterior después de establecerse el valor que se usará como identificador inmutable.
Regla 2: Comprobar si ms-ds-consistencyguid existe para el usuario
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Esta regla define un marcador temporal idflag
, que se establece en useguid
si no hay ningún atributo ms-ds-consistencyguid
rellenado para el usuario. Esto se debe a que AD FS no admite notificaciones vacías. Al agregar notificaciones http://contoso.com/ws/2016/02/identity/claims/objectguid
y http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid
en la primera regla, solo se generará una notificación msdsconsistencyguid si se ha rellenado el valor del usuario. Si no se rellena, AD FS ve que tiene un valor vacío y lo coloca inmediatamente. Todos los objetos tendrán el atributo objectGuid
, así que esa notificación seguirá estando después de que se ejecute la regla 1.
Regla 3: Emitir el atributo ms-ds-consistencyguid como identificador inmutable si está presente
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Se trata de una comprobación Exist
implícita. Si el valor de la notificación existe, emítalo como identificador inmutable. En el ejemplo anterior se utiliza la notificación nameidentifier
. Tendrá que cambiar este valor al tipo de notificación adecuado para un identificador inmutable en su entorno.
Regla 4: Emitir el atributo objectGUID como identificador inmutable si ms-ds-consistencyguid no está presente
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Con esta regla, simplemente va a comprobar el atributo temporal idflag
. Decida si va a emitir la notificación basándose en su valor.
Nota:
La secuencia de estas reglas es importante.
SSO con un UPN de subdominio
Puede agregar más de un dominio para federarlo mediante Microsoft Entra Connect, tal como se describe en Incorporación de un nuevo dominio federado. Las versiones de Microsoft Entra 1.1.553.0 y posteriores crean automáticamente la regla de notificación correcta para issuerID
. Si no puede usar la versión 1.1.553.0 o posterior de Microsoft Entra Connect, le recomendamos que use la herramienta Reglas de notificación de Microsoft Entra RPT para generar y establecer reglas de notificación correctas para la confianza de la parte dependiente de Microsoft Entra ID.
Pasos siguientes
Obtenga más información sobre las opciones de inicio de sesión del usuario.