Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: 
Inquilinos externos (más información)
Al configurar la federación de OpenID Connect (OIDC) con un inquilino de Microsoft Entra ID, permite que los usuarios de ese inquilino se registren e inicien sesión en las aplicaciones mediante sus cuentas organizativas existentes. Este enfoque utiliza la función de proveedor de identidad OIDC personalizada para federarse con un tenant de ID Microsoft Entra.
Al agregar un proveedor de identidades de Microsoft Entra ID a las opciones de inicio de sesión del flujo de usuario, los usuarios pueden registrarse e iniciar sesión en las aplicaciones registradas definidas en ese flujo de usuario mediante sus credenciales de Microsoft Entra ID. (Obtenga más información sobre los métodos de autenticación y los proveedores de identidades para los clientes).
Prerrequisitos
- Un inquilino externo.
- Un inquilino de Microsoft Entra ID que se va a usar como proveedor de identidades. Si no tiene uno, cree un nuevo inquilino.
- Una aplicación registrada en el tenant externo.
- Flujo de registro e inicio de sesión de usuario.
Registro del inquilino externo en el inquilino de Microsoft Entra ID
Para federar usuarios de tu entidad Microsoft Entra ID, primero registra la entidad externa como una aplicación en la entidad de Microsoft Entra ID que actúa como proveedor de identidad.
Al registrar la aplicación, use la siguiente configuración específica de la federación:
En Tipos de cuenta admitidos, seleccione Solo cuentas en este directorio organizativo.
En URI de redirección, seleccione Web y agregue los siguientes URI:
https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2Reemplace
<tenant-subdomain>y<tenant-ID>por los valores del inquilino externo. Si el inquilino externo usa un dominio personalizado, agregue también el URI de redirección con el dominio personalizado, por ejemplo:https://<tenant-subdomain>.ciamlogin.com/<custom-domain>/federation/oauth2
Para obtener instrucciones paso a paso, consulte Registro de una aplicación.
Una vez registrada la aplicación, complete la siguiente configuración:
- Agregue un secreto de cliente y registre el valor del secreto (no el identificador del secreto). Necesita este valor al configurar el proveedor de identidad en el entorno externo.
- En Configuración del token, agregue las reclamaciones opcionales que desees que envíe el proveedor de identidad.
- En permisos API, agregue Microsoft Graph permisos delegados:
email,openid,profileyUser.Read. A continuación, conceda el consentimiento del administrador al inquilino del proveedor de identidades. - En Información general, registre el identificador de aplicación (cliente) y el identificador de directorio (inquilino). Necesita estos valores para configurar la federación en el tenant externo.
Configuración del proveedor de identidad en el tenant externo
Después de registrar el inquilino externo en el inquilino de Microsoft Entra ID, agréguelo como un proveedor de identidades OIDC personalizado en el inquilino externo. Siga los pasos descritos en Configurar un nuevo proveedor de identidades de OpenID Connect en el Centro de administración y use los siguientes valores específicos de Microsoft Entra ID:
| Configuración | Importancia |
|---|---|
| Nombre para mostrar | Un nombre que ven los usuarios durante el inicio de sesión, por ejemplo , Iniciar sesión con Contoso. |
| Punto de conexión conocido | https://login.microsoftonline.com/organizations/v2.0/.well-known/openid-configuration |
| URI del emisor de OpenID |
https://login.microsoftonline.com/<tenant-ID>/v2.0, donde <tenant-ID> es el identificador (de inquilino) de directorio del inquilino de Microsoft Entra ID. Si usa domain_hint para la aceleración de IdP, use el formato del emisor basado en dominio https://login.microsoftonline.com/<domain-name>/v2.0 en lugar del identificador de inquilino, donde <domain-name> es el nombre de dominio principal del inquilino de Microsoft Entra ID. |
| Id de cliente | Identificador de aplicación (cliente) del registro de la aplicación que se ha creado en el inquilino de Microsoft Entra ID. |
| Autenticación de cliente | client_secret |
| Secreto de cliente | Valor del secreto de cliente que ha sido registrado en el momento del registro de la aplicación. |
| Ámbito | openid profile |
| Tipo de respuesta | code |
Adición del proveedor de identidades a un flujo de usuario
Después de configurar el proveedor de identidades, agréguelo a un flujo de usuario para que aparezca en la página de inicio de sesión. Siga los pasos descritos en Agregar proveedor de identidades de OIDC a un flujo de usuario, seleccionando el proveedor de identidades de OIDC de Microsoft Entra ID que configuró.
Prueba del flujo de usuario
Para comprobar la configuración de federación, pruebe el flujo de usuario:
- Inicie sesión en el Centro de administración Microsoft Entra.
- Vaya a Entra ID>Identidades externas>Flujos de usuario.
- Seleccione el flujo de usuario que configuró. Al menos una aplicación con un URI de redirección debe estar asociada a este flujo de usuario.
- Seleccione Ejecutar flujo de usuario.
- En el panel Ejecutar flujo de usuario , en Aplicación, seleccione la aplicación que desea probar. Los campos restantes, incluida la dirección URL de respuesta y el tipo de respuesta, se rellenan automáticamente desde el registro de la aplicación.
- Seleccione el botón Ejecutar flujo de usuario o copie la URL del endpoint Ejecutar flujo de usuario y ábrala en una nueva ventana del navegador.
- En la página de inicio de sesión, seleccione el proveedor de identidades Microsoft Entra ID e inicie sesión con una cuenta del inquilino federado.
Crear usuarios en el tenant externo
Hay varias maneras de crear usuarios externos en el inquilino de ID externo una vez que haya configurado la federación.
Registro a través del flujo de usuario
Un usuario externo puede autorregistrarse en el inquilino de ID externo mediante el flujo de usuario de registro e inicio de sesión. Cuando el usuario selecciona el proveedor de identidades federado Microsoft Entra ID en la página de inicio de sesión y se autentica con su cuenta organizativa, se crea automáticamente una cuenta de usuario en el inquilino externo. Para obtener más información, consulte Creación de un flujo de usuario de registro e inicio de sesión para clientes.
Creación del usuario con Microsoft Graph API
Un administrador puede usar el Microsoft Graph API para crear un usuario directamente en el tenant de ID externo. Este enfoque es útil para escenarios de aprovisionamiento o migración automatizados.
En el ejemplo siguiente se crea un usuario federado con una identidad vinculada al inquilino de Microsoft Entra ID de origen:
POST https://graph.microsoft.com/v1.0/users
Content-type: application/json
{
"accountEnabled": true,
"displayName": "Test User",
"givenName": "Test",
"mail": "[email protected]",
"surname": "Test User",
"identities": [
{
"signInType": "federated",
"issuer": "https://login.microsoftonline.com/<entra-tenant-id>/v2.0/<entra-external-tenant-id>",
"issuerAssignedId": "<entra-tenant-user-object-id>"
}
]
}
Reemplace los valores siguientes:
-
<entra-tenant-id>: el identificador de directorio (del inquilino) de origen de Microsoft Entra ID. -
<entra-external-tenant-id>: el identificador de directorio (inquilino) del inquilino de identificador externo. -
<entra-tenant-user-object-id>: el identificador de objeto del usuario en el inquilino de origen de Microsoft Entra ID.
Preguntas más frecuentes
Obtengo un error: "No se obtuvo ninguna dirección de correo electrónico del proveedor de identidades OIDC externo". ¿Cómo lo arreglo?
La declaración de correo electrónico es necesaria para escenarios de federación de ID externa. Asegúrese de que la reclamación de email está incluida en la configuración de token de la aplicación en el inquilino de Microsoft Entra ID utilizado como proveedor de identidades externo.
He configurado Microsoft Entra ID como mi proveedor de identidades federado, pero no aparece en la página de inicio de sesión. ¿Qué debo comprobar?
Compruebe que el URI del emisor y el punto de conexión de configuración de OpenID conocido están configurados correctamente. Un emisor o un punto de conexión de descubrimiento incorrecto impide que el proveedor de identidad aparezca durante el inicio de sesión. Compruebe también lo siguiente:
- El tenant de Microsoft Entra ID está totalmente configurado como proveedor de identidad OIDC personalizado.
- Los URI de redireccionamiento necesarios, los valores del emisor y los ámbitos están presentes y son correctos.
- El proveedor de identidades se agrega al flujo de usuario, no solo al inquilino.
- Los cambios de configuración se han propagado completamente. Volver a guardar o volver a crear el flujo de usuario después de que los cambios de configuración a menudo resuelvan este problema.
¿Qué significa el error AADSTS500208: The domain is not a valid login domain for the account type ?
Este error indica que el inicio de sesión ha fallado porque no se permite que el tipo de cuenta use la URL de inicio de sesión o el espacio de trabajo al que se accede. Asegúrese de que se está utilizando el extremo de inicio de sesión correcto y que la cuenta tiene acceso al tenant objetivo.
¿Qué significa el error 40015 al usar un proveedor de identidades OIDC personalizado?
El error 40015 significa que la autenticación en el proveedor de identidades externo se realizó correctamente, pero el identificador externo rechazó la respuesta porque no se pudo validar la configuración del proveedor de identidades OIDC personalizado o los tokens devueltos. Las causas más comunes son:
- El URI del emisor no coincide exactamente con el valor del emisor en el documento de detección del proveedor de identidades.
- Los puntos de conexión de autorización, token o JWKS son incorrectos o inaccesibles.
- El proveedor de identidades no devuelve los atributos necesarios (como asunto o correo electrónico).
¿En qué se diferencia agregar Microsoft Entra ID como una federación OIDC personalizada de invitar a usuarios de Microsoft Entra ID como invitados B2B?
Con la federación de Microsoft Entra ID:
- La autenticación de usuario siempre se produce en la entidad principal de Microsoft Entra ID.
- Las directivas de acceso condicional y MFA se aplican.
- La experiencia de inicio de sesión es una redirección completa al inquilino de origen, en lugar de la experiencia con marca mixta asociada con el inicio de sesión de invitado B2B.
¿Se aplican las directivas de Acceso condicional y MFA de Microsoft Entra?
Sí. Dado que toda la autenticación se lleva a cabo en el inquilino de Microsoft Entra ID del usuario, se aplican las siguientes normas exactamente igual que en los inicios de sesión nativos de Microsoft Entra ID:
- Directivas de acceso condicional
- Requisitos de MFA
- Controles basados en dispositivos y basados en riesgos
Nota:
Actualmente, External ID no confía en la autenticación multifactor (MFA) realizada en Microsoft Entra, por lo que es posible que se solicite a los usuarios que vuelvan a completar la MFA si el tenant de External ID la requiere.
¿Por qué veo un cuadro de diálogo de confirmación de dominio al usar domain_hint?
Cuando domain_hint se usa, aparece un cuadro de diálogo de confirmación de dominio para asegurarse de que el usuario inicia sesión intencionadamente en la organización correcta y para protegerse contra redireccionamientos no autorizados o inesperados. Esta comprobación de seguridad no se puede suprimir hoy, incluso cuando se espera la redirección.
¿Se puede redirigir automáticamente a los nuevos usuarios en función de su dominio de correo electrónico cuando escriban su dirección de correo electrónico en la página de inicio de sesión?
Hay un soporte limitado hoy. La aceleración basada en dominio mediante domain_hint se admite en configuraciones específicas, pero aún no se admite el redireccionamiento totalmente automático basado únicamente en el dominio de correo electrónico para los nuevos usuarios. Si se requiere enrutamiento basado en dominio, considere la posibilidad de usar botones explícitos del proveedor de identidades o pasar un domain_hint parámetro al iniciar el inicio de sesión. El domain_hint valor de Microsoft Entra ID debe ser el nombre de dominio, por ejemplo domain_hint=contoso.onmicrosoft.com. Para obtener más información, consulte Aceleración del emisor.
Cómo ocultar otros botones del proveedor de identidades y mostrar solo Microsoft Entra ID?
Puede ocultar los botones del proveedor de identidades no incluyéndolos en el flujo de usuario, pero los nuevos usuarios solo pueden registrarse si se utiliza domain_hint.
¿Se devuelven tokens de identificador como valores opacos?
N.º Microsoft Entra ID emite tokens JWT estándar firmados. Los tokens de identificador son legibles y se ajustan a las especificaciones de OpenID Connect.
¿Puedo usar varios inquilinos de Microsoft Entra ID con un solo inquilino externo?
Sí. Puede configurar varios inquilinos de Microsoft Entra ID como proveedores de identidad OpenID Connect (OIDC) personalizados e independientes y exponerlos en los flujos de usuarios de ID externo.