Precios  Cotización

Cómo configurar el inicio de sesión único para Office 365

ADSelfService Plus es compatible con el inicio de sesión único (SSO) basado en Active Directory (AD) para Office 365 y cualquier otra aplicación habilitada para SAML. Al habilitar SSO para Office 365 en ADSelfService Plus, todo lo que los usuarios tienen que hacer es simplemente iniciar sesión en sus máquinas con Windows utilizando sus credenciales de dominio AD. Una vez que inician sesión, los usuarios pueden acceder de forma segura a Office 365 con un solo clic sin tener que ingresar su nombre de usuario y contraseña nuevamente.

ADSelfService Plus admite el SSO iniciado por el proveedor de identidad (IdP) y el proveedor de servicios (SP) para Office 365.

SSO iniciado por IdP para Office 365: los  usuarios deben iniciar sesión en el portal de autoservicio ADSelfService Plus primero y luego hacer clic en el icono de Office 365 en el panel de aplicaciones para acceder a Office 365.

SSO iniciado por SP para Office 365: los  usuarios pueden acceder a su dominio de Office 365 a través de una URL o un marcador. Serán redirigidos automáticamente al portal ADSelfService Plus para iniciar sesión. Una vez que hayan iniciado sesión, se les redirigirá automáticamente y se iniciará sesión en el portal de Office 365.

Pasos de configuración

Antes de que empieces

Nota:
  • El SSO solo se puede habilitar para los dominios que se verifican en Azure AD.
  • No se puede habilitar SSO para los dominios " onmicrosoft.com " creados por Microsoft.
  • SSO no se puede habilitar para el dominio predeterminado (el dominio principal en el que se crean los usuarios). Solo se puede configurar para dominios personalizados. Office 365 prohíbe la configuración de SSO para dominios predeterminados para garantizar que los administradores puedan iniciar sesión en Office 365 independientemente de los problemas con el IdP. Si su organización no tiene un dominio de Office 365 personalizado, debe comprar uno para configurar el SSO.
  • Los dominios federados, es decir, los dominios en los que se ha habilitado SSO, no se pueden configurar para la sincronización de contraseñas.
  1. Descargue e instale ADSelfService Plus si aún no lo ha hecho.

  2. Vincular cuentas de usuario de Office 365 y AD locales mediante:
    • Usando Azure AD Connect.
      • GUID como sourceAnchor: si tiene Azure AD Connect, utilícelo para actualizar el atributo sourceAnchor en Office 365 con el valor del atributo GUID en AD.
      • Otro atributo de AD único como sourceAnchor: si ya ha asignado un valor de atributo diferente al GUID para el atributo sourceAnchor, utilice la  opción Enlace de cuenta en ADSelfService Plus para asignarlo con el atributo correspondiente en AD.
    • Usando una herramienta de conversión de GUID a ImmutableID de terceros.
      • Convertir GUID en ImmutableID: si no tiene Azure AD Connect, puede descargar una herramienta de conversión de GUID a ImmutableID de terceros. Use la herramienta para convertir el valor GUID de cada usuario en valores ImmutableID y actualizarlos en Office 365.
      • Actualice el valor ImmutableID en Office 365: una vez que haya convertido el GUID en ImmutableID, debe actualizar el valor en Office 365 para cada usuario mediante los comandos de PowerShell que se indican a continuación.

      Comando para actualizar el atributo ImmutableID al crear nuevos usuarios:

      $ cred = Get-Credential
        Connect-MsolService -Credential $ cred
        New-MsolUser -UserPrincipalName "user01@mycompany.com" -ImmutableId
       "<immutable_id>" -DisplayName "user 01" -FirstName "user" -LastName "01"
      -LicenseAssignment "<service_pack>" -UsageLocation "<location>"
      Nota:  Puede comprobar si la actualización se realizó correctamente con este comando:
      Get-MsolUser -All | seleccione userprincipalname, ImmutableId

      Comando para actualizar el atributo ImmutableID para usuarios existentes:

      Set-Msoluser -UserPrincipalName "<user_mailID>" -ImmutableID
       “<immutable_id>”

    • Reconfigure o actualice la configuración de SSO.

      Si ya está utilizando SSO para Office 365 de otro proveedor de identidad o desea actualizar la configuración de SSO de ADSelfService Plus, primero debe deshabilitar SSO en Office 365 y luego seguir el proceso paso a paso que se proporciona a continuación. Para deshabilitar el SSO en Office 365, ejecute el comando que se indica a continuación con PowerShell: 

      $ dom = "mycompany.com"
      Set-MsolDomainAuthentication -DomainName $ dom -FederationBrandName $ dom
      -Authentication Managed

Siga la guía paso a paso que se proporciona a continuación para Office 365 SSO

Configuración de su dominio AD en ADSelfService Plus

Con ADSelfService Plus, puede utilizar las credenciales de AD existentes de los usuarios para la autenticación durante el SSO. Entonces, primero debe configurar un dominio de AD en ADSelfService Plus para habilitar SSO para Office 365.

ADSelfService Plus intentará agregar automáticamente todos los dominios que pueda descubrir en su red. Si sus dominios se agregan automáticamente, vaya al Paso 9; de lo contrario, siga los pasos del 1 al 8 para agregarlos manualmente.

  1. Inicie la consola web ADSelfService Plus e inicie sesión con las credenciales de administrador.
  2. Haga clic en el  enlace Configuración de dominio disponible en la esquina superior derecha de la aplicación.

    configuración-de-dominio-office365

  3. Una  añadir detalles de dominio  aparecerá la ventana.

    office365-domain-details

  4. En el  campo Nombre de dominio , ingrese el nombre del dominio que desea agregar.
  5. En el  campo Agregar controladores de dominio , haga clic en  Descubrir . ADSelfService Plus intentará descubrir automáticamente los controladores de dominio asociados con el dominio.
  6. Si los dominios no se descubren automáticamente, ingrese el nombre del controlador de dominio en el campo provisto y haga clic en  Agregar .
  7. Puede dejar los campos de autenticación vacíos si no va a utilizar las funciones de autoservicio de usuario final de ADSelfService Plus.
  8. De vuelta en la   ventana Agregar detalles de dominio , haga clic en  Agregar para completar la adición del dominio en ADSelfService Plus.
  9. Obtener los detalles SAML de ADSelfService Plus.

  10. Vaya a  Configuración → Autoservicio → Sincronización de contraseña / Inicio de sesión único .
  11. Haga clic en  Office 365 en la lista de aplicaciones proporcionadas.
  12. Haga clic en  Descargar certificado SSO  en la esquina superior derecha de la pantalla.
  13. En la ventana emergente que aparece, copie la  URL de inicio de sesión y descargue el certificado SSO haciendo clic en  Descargar certificado SSO.
  14. descargar-certificado-sso

    Configurar los ajustes de SSO en Office 365

  15. Abra PowerShell con derechos de administrador.
  16. Ingrese el siguiente comando:

    $ cred = Get-Credential

    En la ventana emergente que aparece, ingrese el nombre de usuario y la contraseña de su cuenta de administrador de Office 365.

  17. Conéctese con MsolService usando el siguiente comando:

    Connect-MsolService -Credential $ cred

  18. Ahora, obtenga una lista de sus dominios de Office 365 ingresando el siguiente comando:

    Get-MsolDomain

  19. Ingrese el dominio para el que le gustaría habilitar SSO.

    $ dom = "miempresa.com"

  20. Ingrese el valor de la URL de inicio de sesión del Paso 12 para los  comandos $ url$ uri , y el valor de la URL de cierre de sesión para el  comando $ logouturl .

    $ url = "<valor de URL de inicio de sesión>"
    Por ejemplo, $ url =
    "https://selfservice.com:9251/iamapps/ssologin/office365/
    1352163ea82348a5152487b2eb05c5adeb4aaf73"
    $ uri = "<valor de URL de inicio de sesión>"
      Por ejemplo, $ uri =
    "https://selfservice.com:9251/iamapps/ssologin/office365/
    1352163ea82348a5152487b2eb05c5adeb4aaf73"
    $ logouturl = "<valor de URL de cierre de sesión>"
    Por ejemplo, $ logouturl =
     "https://selfservice.com:9251/iamapps/ssologout / office365 /
    1352163ea82348a5152487b2eb05c5adeb4aaf73 "

  21. Ahora copie el contenido del archivo de certificado SSO del Paso 12 y páselo como valor para el siguiente comando:

    Importante: edite el archivo para que no haya nuevas líneas antes de pegar el contenido en el archivo.

    $ cert = "MIICqjCCAhOgAwIBAgIJAN .......... dTOjFfqqA ="

    office365-samlconfig

  22. A continuación, ejecute el siguiente comando para habilitar SSO en Office 365:

    Set-MsolDomainAuthentication -DomainName $ dom -FederationBrandName $ dom -Authentication Federated -PassiveLogOnUri $ url -SigningCertificate $ cert -IssuerUri $ uri -LogOffUri $ logouturl -PreferredAuthenticationProtocol SAMLP

  23. Pruebe la configuración con el siguiente comando:

    Get-MSolDomainFederationSettings -DomainName "mycompany.com" | Lista de formatos *

    office365-samlsuccess

  24. Agregue su configuración de Office 365 en ADSelfService Plus y habilite SSO.

  25. Ahora, cambie a la página de configuración de Office 365 de ADSelfService Plus  .
  26. Elija  Inicio de sesión único en Módulos.
  27. En el  campo Nombre de dominio , ingrese el nombre de dominio que usó en el Paso 16.
  28. Proporcione una descripción adecuada en el   campo Descripción .
  29. En el   campo Políticas disponibles , haga clic en el cuadro desplegable y seleccione las políticas para las que desea habilitar SSO. La política que seleccione determinará qué usuarios tienen habilitada la función SSO.

    Nota:  ADSelfService Plus le permite crear políticas OU y basadas en grupos para sus dominios AD. Para crear una política, vaya a  Configuración → Autoservicio → Configuración de política → Agregar nueva política. Haga clic en  Seleccionar unidades organizativas / grupos y realice la selección según sus requisitos. Debe seleccionar al menos una función de autoservicio. Finalmente, haga clic en  Guardar política.

    Office365-pasos-de-configuración

  30. Haga clic en  Guardar.

    Ahora los usuarios pueden iniciar sesión en sus cuentas de Office 365 automáticamente sin tener que ingresar su nombre de usuario y contraseña nuevamente.

 

ADSelfService Plus cuenta con la confianza de: