Habilitar inicio de sesión único para una aplicación empresarial con un STS de parte dependiente

En este artículo, usará el centro de administración de Microsoft Entra para habilitar el inicio de sesión único (SSO) para una aplicación empresarial que depende de un servicio de token de seguridad (STS) de parte confiable. El STS de usuario de confianza admite el lenguaje de marcado de aserción de seguridad (SAML) y se puede integrar con Microsoft Entra como una aplicación empresarial. Después de configurar el inicio de sesión único, los usuarios pueden iniciar sesión en la aplicación mediante sus credenciales de Microsoft Entra.

Si la aplicación se integrará directamente con Microsoft Entra para el inicio de sesión único y no requiere un servicio de tokens de seguridad (STS) de parte confiable, consulte el artículo Habilitar inicio de sesión único para una aplicación empresarial.

Se recomienda usar un entorno que no sea de producción para probar los pasos descritos en este artículo, antes de configurar una aplicación en un inquilino de producción.

Prerequisites

Para configurar el inicio de sesión único, se necesita lo siguiente:

• Un STS de usuario de confianza, como Servicios de federación de Active Directory (AD FS) o PingFederate, con puntos de conexión HTTPS
  1. Necesitará el identificador de entidad (id. de entidad) del STS de la parte confiable. Debe ser único en todos los STS y aplicaciones de usuario de confianza configurados en un inquilino de Microsoft Entra. No puede haber dos aplicaciones en un solo inquilino de Microsoft Entra con el mismo identificador de entidad. Por ejemplo, si Servicios de federación de Active Directory (AD FS) es el STS de la parte dependiente, el identificador puede ser una dirección URL de la forma http://{hostname.domain}/adfs/services/trust.
  2. También necesitará la dirección URL del servicio de consumidor de aserciones o la dirección URL de respuesta del STS del usuario de confianza. Esta URL debe ser una URL HTTPS para transferir de forma segura tokens SAML de Microsoft Entra a la parte confiable STS como parte del inicio de sesión único a una aplicación. Por ejemplo, si AD FS es el STS de usuario de confianza, la dirección URL puede tener el formato https://{hostname.domain}/adfs/ls/.
• Una aplicación, que ya se ha integrado con esa parte confiable STS
• Uno de los siguientes roles en Microsoft Entra: Administrador de aplicaciones en la nube, Administrador de aplicaciones
• Un usuario de prueba de Microsoft Entra que puede iniciar sesión en la aplicación

Creación de una aplicación en Microsoft Entra

En primer lugar, cree una aplicación empresarial en Microsoft Entra, que permite a Microsoft Entra generar tokens SAML que el STS de parte confiable proporciona a la aplicación.

1. Inicie sesión en el Centro de administración de Microsoft Entra siendo al menos un Administrador de aplicaciones en la nube.
2. Browse to Entra ID>Enterprise apps>All applications.
3. Si ya ha configurado una aplicación que representa el STS del usuario de confianza, escriba el nombre de la aplicación existente en el cuadro de búsqueda, seleccione la aplicación en los resultados de búsqueda y continúe en la sección siguiente.
4. Select New application.
5. Seleccione Crear su propia aplicación.
6. Escriba el nombre de la nueva aplicación en el cuadro nombre de entrada, seleccione Integrar cualquier otra aplicación que no encuentre en la galería (no galería) y seleccione Crear.

Configuración del inicio de sesión único en la aplicación

1. In the Manage section of the left menu, select Single sign-on to open the Single sign-on pane for editing.

2. Select SAML to open the SSO configuration page.

3. En el cuadro Configuración básica de SAML , seleccione Editar. El identificador y la dirección URL de respuesta deben establecerse antes de realizar más cambios de configuración de SAML.

4. En la página Configuración básica de SAML, en Identificador (id. de entidad), si no aparece ningún identificador, seleccione Agregar identificador. Escriba el identificador de la aplicación según lo proporcionado por el STS del usuario de confianza. Por ejemplo, el identificador puede ser una dirección URL del formulario http://{hostname.domain}/adfs/services/trust.

5. En la página Configuración básica de SAML, en URL de respuesta (URL del servicio de consumidor de aserciones), seleccione Agregar URL de respuesta. Escriba la dirección URL HTTPS del Servicio de Consumo de Aserciones de la parte confiable STS. Por ejemplo, la dirección URL puede tener el formato https://{hostname.domain}/adfs/ls/.

6. Optionally, configure the sign on, relay state, or logout URLs, if required by the relying party STS.

7. Select Save.

Descarga de metadatos y certificados de Microsoft Entra

Su parte de confianza STS puede requerir los metadatos de federación de Microsoft Entra como proveedor de identidad para completar la configuración. The federation metadata and associated certificates are provided in the SAML Certificates section of the Basic SAML configuration page. For more information, see federation metadata.

• Si la parte de confianza STS puede descargar metadatos de federación desde un punto de conexión de Internet, copie el valor junto a la dirección URL de metadatos de federación de la aplicación.
• If your relying party STS requires a local XML file containing the federation metadata, then select Download next to Federation Metadata XML.
• If your relying party STS requires the certificate of the identity provider, then select Download next to either the Certificate (Base64) or Certificate (Raw).
• If your relying party STS does not support federation metadata, then copy the Login URL and MIcrosoft Entra Identifier to configure your relying party STS.

Configurar declaraciones emitidas por Microsoft Entra

De forma predeterminada, solo se incluyen algunos atributos de los usuarios de Microsoft Entra en el token SAML que Microsoft Entra envía al STS de la parte confiable. Puede agregar declaraciones adicionales que sus aplicaciones requieran y cambiar el atributo proporcionado en el identificador de nombre SAML. Para obtener más información sobre las notificaciones estándar, consulte Referencia de notificaciones de token de SAML.

1. En el cuadro Atributos y reclamaciones, seleccione Editar.
2. Para cambiar el atributo Entra ID que se envía como valor del identificador de nombre, seleccione la fila Identificador de usuario único (Id. de nombre). Puede cambiar el atributo de origen a otro atributo integrado o de extensión de Microsoft Entra. Then select Save.
3. To change which Entra ID attribute is sent as the value of a claim already configured, select the row in the Additional claims section.
4. Para agregar una nueva notificación, seleccione Agregar nueva notificación.
5. When complete, select SAML-based Sign-on to close this screen.

Configuración de quién puede iniciar sesión en la aplicación

Al probar la configuración, debe asignar un usuario de prueba designado a la aplicación en Microsoft Entra para validar que el usuario puede iniciar sesión en la aplicación mediante Microsoft Entra y el STS de la parte confiable.

1. In the Manage section of the left menu, select Properties.
2. Asegúrese de que el valor de Habilitado para que los usuarios inicien sesión esté establecido en Sí.
3. Ensure that the value of Assignment required is set to Yes.
4. If you made any changes, select Save.
5. In the Manage section of the left menu, select Users and groups.
6. Select Add user/group.
7. Select None selected.
8. In the search box, type the name of the test user, then pick the user and select Select.
9. Select Assign to assign the user to the default User role of the application.
10. In the Security section of the left menu, select Conditional Access.
11. Select What if.
12. Seleccione No hay usuario o entidad de servicio seleccionada, seleccione Ningún usuario seleccionado y seleccione el usuario asignado previamente a la aplicación.
13. Seleccione Cualquier aplicación en la nube y seleccione la aplicación empresarial.
14. Select What if. Valide que las directivas que se aplicarán permitan al usuario iniciar sesión en la aplicación.

Configurar Microsoft Entra como proveedor de identidades para su STS de entidad de confianza.

A continuación, importe los metadatos de federación en el STS del tercero confiable. Los pasos siguientes se ilustran usando AD FS, pero se podría usar otro STS de parte confiable en su lugar.

1. En la lista de confianza del proveedor de declaraciones de la parte de confianza de su STS, seleccione Agregar confianza del proveedor de declaraciones y seleccione Iniciar.
2. Dependiendo de si descargó los metadatos de federación de Microsoft Entra, seleccione Importar datos sobre el proveedor de notificaciones publicado en línea o en una red local, o Importar datos sobre el proveedor de notificaciones desde un archivo.
3. Es posible que tenga que proporcionar también el certificado de Microsoft Entra al STS del usuario de confianza.
4. Una vez completada la configuración de Microsoft Entra como proveedor de identidades, confirme que:
   • El identificador del proveedor de notificaciones es un URI del formulario https://sts.windows.net/{tenantid}.
   • Si usa el servicio global Microsoft Entra ID, los puntos de conexión para el inicio de sesión único de SAML son URI del formulario https://login.microsoftonline.com/{tenantid}/saml2. Para las nubes nacionales, consulte Autenticación de Microsoft Entra y nubes nacionales.
   • El STS reconoce un certificado de Microsoft Entra.
   • No se configura ningún cifrado.
   • Las reclamaciones configuradas en Microsoft Entra se enumeran como disponibles para las asignaciones de reglas de reclamaciones en el STS de la parte confiable. Si posteriormente agregó declaraciones adicionales, es posible que deba agregarlas también a la configuración del proveedor de identidades en el STS de la parte confiable.

Configuración de reglas de reclamaciones en tu STS de parte confiada

Una vez que se conozcan las notificaciones que Microsoft Entra enviará como proveedor de identidades al STS del usuario de confianza, deberá asignar o transformar esas notificaciones en las notificaciones requeridas por la aplicación. Los pasos siguientes se ilustran usando AD FS, pero se podría usar otro STS de parte confiable en su lugar.

1. En la lista de confianza de proveedores de declaraciones de su STS de parte confiable, seleccione la confianza en el proveedor de declaraciones para Microsoft Entra y seleccione Editar reglas de declaraciones.
2. For each claim provided by Microsoft Entra and required by your application, select Add Rule. En cada regla, seleccione Pasar a través o Filtrar una notificación entrante o Transformar una notificación entrante en función de los requisitos de la aplicación.

Prueba del inicio de sesión único en la aplicación

Una vez configurada la aplicación en Microsoft Entra y el STS del usuario de confianza, los usuarios pueden iniciar sesión en ella mediante la autenticación en Microsoft Entra y tener un token proporcionado por Microsoft Entra transformado por el STS del usuario de confianza en el formulario y las notificaciones requeridos por la aplicación.

En este tutorial se muestra cómo probar el flujo de inicio de sesión mediante una aplicación basada en web que implementa el patrón de inicio de sesión único iniciado por el usuario de confianza. Para más información, consulte Protocolo SAML de inicio de sesión único.

1. En una sesión de exploración privada del explorador web, conéctese a la aplicación e inicie el proceso de inicio de sesión. La aplicación redirige el explorador web al STS de la parte confiable, y el STS de la parte confiable determina los proveedores de identidad que pueden proporcionar afirmaciones adecuadas.
2. En el STS del usuario de confianza, si se le solicita, seleccione el proveedor de identidades de Microsoft Entra. El STS del usuario de confianza redirige el explorador web al punto de conexión de inicio de sesión de Microsoft Entra, https://login.microsoftonline.com si usa el servicio global Microsoft Entra ID.
3. Inicie sesión en Microsoft Entra con la identidad del usuario de prueba, configurado anteriormente en el paso configure quién puede iniciar sesión en la aplicación. Después, Microsoft Entra localiza la aplicación empresarial basada en el identificador de entidad y redirige el navegador web al punto de conexión de la URL de respuesta STS de la parte de confianza, transportando el token SAML.
4. El STS de la parte confiable valida que Microsoft Entra emitió el token SAML, luego extrae y transforma las afirmaciones del token SAML y redirige el explorador web a la aplicación. Confirme que la aplicación ha recibido las notificaciones necesarias de Microsoft Entra a través de este proceso.

Complete configuration

1. Después de probar la configuración de inicio de sesión inicial, deberá asegurarse de que el STS de usuario de confianza permanece actualizado a medida que se agregan nuevos certificados a Microsoft Entra. Algunas partes confiables STS pueden tener un proceso integrado para supervisar los metadatos de federación del proveedor de identidad.
2. En este tutorial se muestra cómo configurar el inicio de sesión único. El STS del usuario de confianza también puede admitir el cierre de sesión único de SAML. Para obtener más información sobre esta funcionalidad, consulte Protocolo SAML de cierre de sesión único.
3. Puede quitar la asignación del usuario de prueba a la aplicación. Puede usar otras características como grupos dinámicos o administración de derechos para asignar usuarios a la aplicación. Para obtener más información, consulte Inicio rápido: Creación y asignación de una cuenta de usuario.

Next steps

• ¿Qué es la administración de aplicaciones en microsoft Entra ID?
• Controlar el acceso a las aplicaciones de su entorno
• Aumento de la resistencia de la autenticación para aplicaciones federadas implementadas en sitios con usuarios colocados