Configuración de SAML SSO para Office 365

Estos pasos lo guiarán a través de la configuración de la funcionalidad de inicio de sesión único entre ADSelfService Plus y Office 365. 

    Nota:

  • El SSO solo se puede habilitar para los dominios verificados en Azure AD.
  • El SSO no se puede habilitar para los dominios " onmicrosoft.com " creados por Microsoft.
  • El SSO no se puede habilitar para el dominio predeterminado (el dominio principal en el que se crean los usuarios). Solo se puede configurar para dominios personalizados. Office 365 prohíbe la configuración de SSO para dominios predeterminados para garantizar que los administradores puedan iniciar sesión en Office 365 independientemente de los problemas con el IdP. Si su organización no tiene un dominio de Office 365 personalizado, debe comprar uno para configurar el SSO.
  • Los dominios federados, es decir, los dominios en los que se ha habilitado SSO, no se pueden configurar para la sincronización de contraseñas.

Vincular cuentas de usuario de Office 365 y Active Directory local

  1. Uso de Azure AD Connect

    • GUID como sourceAnchor : si tiene Azure AD Connect, utilícelo para actualizar el atributo sourceAnchor en Office 365 con el valor del atributo GUID de AD.
    • Otro atributo de AD único como sourceAnchor : si ya ha asignado un valor de atributo diferente al GUID para el atributo sourceAnchor, utilice la  opción Enlace de cuenta en ADSelfService Plus para asignarlo con el atributo correspondiente en Active Directory.
  2. Uso de una herramienta de conversión de GUID a ImmutableID de terceros

    • Convierta GUID en ImmutableID : si no tiene Azure AD Connect, puede descargar una herramienta de terceros 'GUID to ImmutableID Converter'. Use la herramienta para convertir el valor GUID de cada usuario en valores ImmutableID y actualizarlos en Office 365.
    • Actualice el valor de ImmutableID en Office 365 : una vez que haya convertido el GUID en ImmutableID, debe actualizar el valor en Office 365 para cada usuario mediante los comandos de PowerShell que se indican a continuación.
      Comando para actualizar el atributo ImmutableID al crear nuevos usuarios

      $ cred = Get-Credential
      Connect-MsolService -Credential $ cred
      New-MsolUser -UserPrincipalName "user01@mycompany.com" -ImmutableId "<immutable_id>" -DisplayName "user 01" -FirstName "user" -LastName "01" -LicenseAssignment "<paquete_servicio>" -Ubicación de uso "<ubicación>"

      Nota: Puede verificar si la actualización fue exitosa usando este comando: Get-MsolUser -All | seleccione userprincipalname, ImmutableId
      Comando para actualizar el atributo ImmutableID para usuarios existentes

      Set-Msoluser -UserPrincipalName "<user_mailID>" -ImmutableID "<immutable_id & gt"

Requisito previo

  1. Inicie sesión en ADSelfService Plus como administrador.

  2. Vaya a  Aplicación → Agregar aplicación y seleccione Office 365 de las aplicaciones que se muestran.
    Nota: También puede encontrar la aplicación Office 365 que necesita en la barra de búsqueda ubicada en el panel izquierdo o en la opción de navegación alfabética en el panel derecho.
  3. Haga clic en Detalles de IdP en la esquina superior derecha de la pantalla.
  4. En la ventana emergente que aparece, copie la URL de inicio de sesión y descargue el certificado SSO haciendo clic en  Descargar certificado SSO .

  5. Captura de pantalla

Pasos de configuración de Office 365 (proveedor de servicios)

  1. Abra Powershell con derechos de administrador.
  2. Ingrese el siguiente comando. En la ventana emergente que aparece, ingrese el nombre de usuario y la contraseña de su cuenta de administrador de Office 365.

    $ cred = Obtener credencial

  3. Conéctese con MsolService usando el siguiente comando.

    Connect-MsolService -Credential $ cred
    Get-MsolDomain

    Este comando mostrará una lista de dominios.
  4. Ingrese el dominio para el que le gustaría habilitar SSO.

    $ dom = "miempresa.com"

  5. Ingrese el valor de URL de inicio de sesión del paso 5 del requisito previo para los comandos $ url y $ uri, y el valor de URL de cierre de sesión para el comando $ logouturl.

    $ url = "<valor de URL de inicio de sesión>"
    Por ejemplo, $ url = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"
    $ uri = "<valor de URL de inicio de sesión>"
    Por ejemplo, $ uri = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"
    $ logouturl = "<valor de URL de cierre de sesión>"
    Por ejemplo, $ logouturl = "https://selfservice.com:9251/iamapps/ssolog / office365 / 1352163ea82348a5152487b2eb05c5adeb4aaf73 "

  6. Ahora copie el contenido del archivo de certificado SSO (del paso 5 del requisito previo) y péguelo como el valor del comando siguiente.

    Importante :

    Edite el archivo para que no haya ninguna línea nueva antes de copiar el contenido.

    $ cert = "MIICqjCCAhOgAwIBAgIJAN .......... dTOjFfqqA ="


    Captura de pantalla
  7. Ejecute el siguiente comando para habilitar SSO en Office 365.

    Set-MsolDomainAuthentication -DomainName $ dom -FederationBrandName $ dom -Authentication Federated -PassiveLogOnUri $ url -SigningCertificate $ cert -IssuerUri $ uri -LogOffUri $ logouturl -PreferredAuthenticationProtocol SAMLP

  8. Para probar la configuración, use el siguiente comando.

    Get-MSolDomainFederationSettings -DomainName "mycompany.com" | Lista de formato *


    Captura de pantalla
  9. Reconfigure o actualice la configuración de SSO: si ya está usando SSO para Office 365 de otro proveedor de identidad o desea actualizar la configuración de SSO de ADSelfService Plus, primero debe deshabilitar SSO en Office 365 y luego seguir los pasos de esta guía. Para deshabilitar SSO en Office 365, use el comando que se proporciona a continuación:

    $ dom = "mycompany.com"
    Set-MsolDomainAuthentication -DomainName $ dom -FederationBrandName $ dom -Authentication Managed

Pasos de configuración de ADSelfService Plus (proveedor de identidad)

  1. Ahora, cambie a la página de configuración de Office 365 de ADSelfService Plus
  2. Ingrese el nombre y la descripción de la aplicación .
  3. En el campo Nombre de dominio , ingrese el nombre de dominio que usó en el Paso 4 de la configuración de Office 365.
  4. En el campo Asignar políticas , seleccione las políticas para las que es necesario habilitar SSO.
    Nota: ADSelfService Plus le permite crear políticas OU y basadas en grupos para sus dominios AD. Para crear una política, vaya a Configuración → Autoservicio → Configuración de política → Agregar nueva política .
  5. Seleccione Habilitar inicio de sesión único .
  6. Haga clic en  Agregar aplicación
Nota: Para Office 365, el inicio de sesión único es compatible con el flujo iniciado por SP e IdP.
Ve arriba

Copyright © 2021 , Zoho Corp . Reservados todos los derechos.