Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Información general
Para una federación correcta entre microsoft Entra ID y los Servicios de federación de Active Directory (AD FS), los certificados usados por AD FS para firmar tokens de seguridad en el id. de Microsoft Entra deben coincidir con lo que está configurado en Microsoft Entra ID. Cualquier error de coincidencia puede provocar la falta de confianza. Microsoft Entra ID garantiza que esta información se mantenga sincronizada cuando implemente AD FS y Web Application Proxy (para acceso a extranet).
Nota:
En este artículo se proporciona información sobre cómo administrar los certificados de federación. Para obtener información sobre la rotación de emergencia, consulte Rotación de emergencia de los certificados de AD FS.
En este artículo se proporciona información adicional para administrar los certificados de firma de tokens y mantenerlos sincronizados con el identificador de Entra de Microsoft, en los casos siguientes:
- No implementa el Proxy de aplicación web y, por tanto, los metadatos de federación no están disponibles en la extranet.
- No está usando la configuración predeterminada de AD FS para los certificados de firma de tokens.
- Está usando un proveedor de identidades de terceros.
Importante
Microsoft recomienda encarecidamente usar un módulo de seguridad de hardware (HSM) para proteger y proteger los certificados. Para obtener más información, consulte Módulo de seguridad de hardware en procedimientos recomendados para proteger AD FS.
Configuración predeterminada de AD FS para certificados de firma de tokens
Normalmente, los certificados para la firma y el descifrado de tokens son certificados autofirmados y son válidos por un año. De forma predeterminada, AD FS incluye un proceso de renovación automática denominado AutoCertificateRollover. Si usa AD FS 2.0 o posterior, Microsoft 365 y Microsoft Entra ID actualizan automáticamente el certificado antes de que expire.
Notificación de renovación desde el Centro de administración de Microsoft 365 o por correo electrónico
Nota:
Si recibió un correo electrónico que le pide que renueve el certificado para Office, consulte Administración de cambios en los certificados de firma de tokens para comprobar si necesita realizar alguna acción. Microsoft conoce un posible problema que puede provocar que se envíen notificaciones para la renovación de certificados, incluso cuando no se requiere ninguna acción.
Microsoft Entra ID intenta supervisar los metadatos de federación y actualizar los certificados de firma de tokens como se indica en estos metadatos. Treinta y cinco (35) días antes de la expiración de los certificados de firma de tokens, Microsoft Entra ID comprueba si hay nuevos certificados disponibles mediante el sondeo de los metadatos de federación.
- Si puede sondear correctamente los metadatos de federación y recuperar los nuevos certificados, no se emite ninguna notificación por correo electrónico al usuario.
- Si no puede recuperar los nuevos certificados de firma de tokens, ya sea porque los metadatos de federación no son accesibles o la sustitución automática de certificados no está habilitada, el identificador de Microsoft Entra emite un correo electrónico.
Importante
Si usa AD FS, para garantizar la continuidad empresarial, compruebe que los servidores tienen las siguientes actualizaciones para que no se produzcan errores de autenticación para problemas conocidos. Esto mitiga los problemas conocidos del servidor proxy de AD FS para esta renovación y períodos de renovación futuros:
Server 2012 R2: paquete acumulativo de mayo de 2014 de Windows Server
Server 2008 R2 y 2012: se produce un error de autenticación mediante proxy en Windows Server 2012 o Windows 2008 R2 SP1
Compruebe si es necesario actualizar los certificados.
Paso 1: Comprobación del estado del proceso AutoCertificateRollover
En el servidor de AD FS, abra Powershell. Compruebe que el valor AutoCertificateRollover está establecido en True.
Get-Adfsproperties
Nota:
Si usa AD FS 2.0, ejecute primero Add-Pssnapin Microsoft.Adfs.Powershell.
Paso 2: confirmar que AD FS y Microsoft Entra ID estén sincronizados
En el servidor AD FS, abra el mensaje de PowerShell y conéctese a Microsoft Entra ID.
Nota:
Microsoft Entra forma parte de Microsoft Entra PowerShell. Puede descargar el módulo de Microsoft Entra PowerShell directamente desde la Galería de PowerShell.
Install-Module -Name Microsoft.Entra
Conéctese a Microsoft Entra ID.
Connect-Entra -Scopes 'Domain.Read.All'
Verifique los certificados configurados en las propiedades de confianza de AD FS y Microsoft Entra ID para el dominio especificado.
Get-EntraFederationProperty -DomainName <domain.name> | FL Source, SigningCertificate
Si las huellas digitales en ambas salidas coinciden, sus certificados están sincronizados con Microsoft Entra ID.
Paso 3: Comprobación de si el certificado está a punto de expirar
En la salida de Get-EntraFederationProperty o Get-AdfsCertificate compruebe la fecha en "Not After". Si la fecha es inferior a 35 días, debe tomar medidas.
| AutoCertificateRollover | Certificados sincronizados con el identificador de Entra de Microsoft | Los metadatos de federación son accesibles públicamente | Validez | Acción |
|---|---|---|---|---|
| Sí | Sí | Sí | - | No es necesario realizar ninguna acción. Consulte Renovación automática de certificados de firma de tokens. |
| Sí | No | - | Menos de 15 días | Renovar inmediatamente. Consulte Renovación manual de certificados de firma de tokens. |
| No | - | - | Menos de 35 días | Renovar inmediatamente. Consulte Renovación manual de certificados de firma de tokens. |
[-] No importa
Renovar automáticamente el certificado de firma de tokens (recomendado)
No es necesario realizar ningún paso manual si se cumplen los dos pasos siguientes:
- Se ha implementado el proxy de aplicación web, que puede habilitar el acceso a los metadatos de federación desde la extranet.
- Está usando la configuración predeterminada de AD FS (AutoCertificateRollover está habilitado).
Compruebe lo siguiente para confirmar que el certificado se puede actualizar automáticamente.
1. La propiedad AutoCertificateRollover de AD FS debe establecerse en True. Esto indica que AD FS genera automáticamente nuevos certificados de firma de tokens y descifrado de tokens antes de que expiren los antiguos.
2. Los metadatos de federación de AD FS son accesibles públicamente. Compruebe que los metadatos de federación son accesibles públicamente; para ello, vaya a la siguiente dirección URL desde un equipo en la red pública de Internet (fuera de la red corporativa):
https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml
donde (your_FS_name) se reemplaza por el nombre de host del servicio de federación que usa la organización, como fs.contoso.com. Si puede comprobar correctamente ambas opciones de configuración, no tiene que hacer nada más.
Ejemplo: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml
Renovación manual del certificado de firma de tokens
Puede optar por renovar manualmente los certificados de firma de tokens. Por ejemplo, los escenarios siguientes podrían funcionar mejor para la renovación manual:
- Los certificados de firma de tokens no son certificados autofirmados. La razón más común para esto es que su organización administra los certificados de AD FS expedidos desde una entidad certificadora de la organización.
- La seguridad de red no permite que los metadatos de federación estén disponibles públicamente.
- Va a migrar el dominio federado de un servicio de federación existente a un nuevo servicio de federación.
Importante
Si va a migrar un dominio federado existente a un nuevo servicio de federación, se recomienda seguir la rotación de emergencia de los certificados de AD FS.
En estos escenarios, cada vez que actualice los certificados de firma de tokens, también debe actualizar el dominio de Microsoft 365 mediante el comando de PowerShell Update-MgDomainFederationConfiguration.
Paso 1: Comprobación de que AD FS tiene nuevos certificados de firma de tokens
Configuración no predeterminada
Si usa una configuración no predeterminada de AD FS (donde AutoCertificateRollover está establecido en False), es probable que use certificados personalizados (no autofirmados). Para obtener más información sobre cómo renovar los certificados de firma de tokens de AD FS, consulte Requisitos de certificado para servidores federados.
Los metadatos de federación no están disponibles públicamente
Por otro lado, si AutoCertificateRollover está establecido en True, pero los metadatos de federación no son accesibles públicamente, primero asegúrese de que AD FS genera nuevos certificados de firma de tokens. Confirme que tiene nuevos certificados de firma de tokens siguiendo estos pasos:
Compruebe que ha iniciado sesión en el servidor de AD FS principal.
Para comprobar los certificados de firma actuales en AD FS, abra una ventana de comandos de PowerShell y ejecute el siguiente comando:
Get-ADFSCertificate -CertificateType Token-SigningNota:
Si usa AD FS 2.0, debería ejecutar
Add-Pssnapin Microsoft.Adfs.Powershellprimero.Examine la salida del comando en los certificados que se muestran. Si AD FS ha generado un nuevo certificado, debería ver dos certificados en la salida: uno para el que el valor IsPrimary es True y la fecha NotAfter está en un plazo de 5 días y una para la que IsPrimary es False y NotAfter es aproximadamente un año en el futuro.
Si solo ve un certificado y la fecha NotAfter está dentro de 5 días, debe generar un nuevo certificado.
Para generar un nuevo certificado, ejecute el siguiente comando en una consola de PowerShell:
Update-ADFSCertificate -CertificateType Token-Signing.Vuelva a ejecutar el siguiente comando para comprobar la actualización:
Get-ADFSCertificate -CertificateType Token-Signing
Ahora se deben enumerar dos certificados, una de las cuales tiene una fecha NotAfter de aproximadamente un año en el futuro y para la que el valor IsPrimary es False.
Paso 2: Actualización de los nuevos certificados de firma de tokens para la relación de confianza de Microsoft 365
Actualice Microsoft 365 con los nuevos certificados de firma de token que se utilizarán para la relación de confianza, tal como se indica a continuación.
Abra Azure PowerShell.
Ejecute
Connect-Entra -Scopes 'Domain.Read.All'. Este cmdlet le conecta al servicio en la nube. Es necesario crear un contexto que le conecte al servicio en la nube antes de ejecutar cualquiera de los cmdlets adicionales instalados por la herramienta.Nota:
-InternalDomainFederationIdse puede encontrar ejecutando el comando .Get-EntraFederationProperty -Domainname your_domain.com
Ejecute
Update-MgDomainFederationConfiguration -DomainId <your_domain.com> -InternalDomainFederationId <hex_domain ID>. Este cmdlet actualiza la configuración de AD FS en el servicio en la nube y configura la relación de confianza entre los dos.Nota:
Si necesita admitir varios dominios de nivel superior, como contoso.com y fabrikam.com, debe aplicar la configuración anterior e ir dominio por dominio sin el modificador -SupportMultipleDomain, dado que ya no está disponible en los módulos Microsoft.Entra y Microsoft.Graph.
Para obtener más información, consulte Compatibilidad con varios dominios de nivel superior.
Si el inquilino está federado con más de un dominio, Update-MgDomainFederationConfiguration debe ejecutarse para todos los dominios, enumerados en la salida de:
Get-EntraDomain | Where-Object {$ _. 'AuthenticationType' -eq 'Federated'} | Select-object Name, AuthenticationType.
Esto garantiza que todos los dominios federados se actualicen al certificado de Token-Signing y que pueda lograrlo mediante la ejecución de:
Update-MgDomainFederationConfiguration -DomainId <your_domain.com> -InternalDomainFederationId <hex_domain ID>
Reparar la confianza de Microsoft Entra ID mediante Microsoft Entra Connect
Si configuró la granja de AD FS y la confianza de Microsoft Entra ID mediante Microsoft Entra Connect, puede usar Microsoft Entra Connect para detectar si necesita realizar alguna acción para sus certificados de firma de tokens. Si necesita renovar los certificados, puede usar Microsoft Entra Connect para hacerlo.
Para más información, consulte la sección Reparación de la confianza.
Pasos de actualización de certificados de AD FS y Microsoft Entra
Los certificados de firma de tokens son certificados X509 estándar que se usan para firmar de forma segura todos los tokens que emite el servidor de federación. Los certificados de descifrado de tokens son certificados X509 estándar que se usan para descifrar los tokens entrantes.
De forma predeterminada, AD FS está configurado para generar certificados de firma de tokens y descifrado de tokens automáticamente, tanto en la hora de configuración inicial como cuando los certificados se aproximan a su fecha de expiración.
Microsoft Entra ID intenta recuperar un nuevo certificado de los metadatos del servicio de federación 35 días antes de la expiración del certificado actual. En caso de que un nuevo certificado no esté disponible en ese momento, el identificador de Microsoft Entra continúa supervisando los metadatos en intervalos diarios regulares. Tan pronto como el nuevo certificado esté disponible en los metadatos, la configuración de federación del dominio se actualiza con la nueva información de certificado. Puede usar Get-MgDomainFederationConfiguration para comprobar si ver el nuevo certificado en NextSigningCertificate o SigningCertificate.
Para obtener más información sobre los certificados de firma de tokens en AD FS, consulte Obtención y configuración de certificados de firma de tokens y descifrado de tokens para AD FS.