Cómo no romper los límites, cómo crear una buena arquitectura y cómo hacer un buen mantenimiento

Single Sign-On sin gastarte un duro

Azure Seamless Single Sign-on permite iniciar sesión en Azure AD automáticamente en equipos y redes corporativas. Esta característica gratuita proporciona a los usuarios un fácil acceso a las aplicaciones sin necesidad de componentes locales.

Características

Con Azure Seamless SSO los usuarios pueden iniciar sesión automáticamente, sin tener que escribir contraseñas, tanto en aplicaciones locales como en la nube. Estas son sus características principales:

  • No se necesitan componentes locales adicionales
  • Se puede aplicar a todos o sólo algunos usuarios por GPO
  • Se habilita a través de Azure AD Connect
  • Al solicitar el inicio de sesión en Azure Ad, si la aplicación envía un parámetro que identifique el dominio o el usuario, no es necesario escribir nombres de usuario ni contraseñas
  • Y lo mejor: Es una característica gratuita y no es necesario usar ninguna versión de pago de Azure AD para usarla

Cómo funciona

Azure Seamless SSO se habilita a través de Azure AD Connect. Una vez completada la instalación, Seamless SSO funciona como cualquier otro sistema de sign-in que utilice Autenticación Integrada de Windows (IWA). El flujo es el siguiente:

  • El usuario intenta acceder a una aplicación desde un dispositivo unido a dominio, dentro de la red corporativa.
  • Si el usuario aún no está logado, se le redirige a la página de inicio de sesión de Azure AD.
  • El usuario ingresa su nombre de usuario.
  • Azure AD obliga al explorador, a través de una respuesta 401 No autorizado, a que proporcione un ticket Kerberos.
  • El explorador solicita un ticket de Active Directory para la cuenta del dispositivo AZUREADSSOACC (que representa a Azure AD).
  • Active Directory busca la cuenta del dispositivo y devuelve al explorador un ticket Kerberos cifrado con el secret de la cuenta del dispositivo.
  • El explorador reenvía el ticket Kerberos de Active Directory a Azure AD.
  • Azure AD descifra el ticket Kerberos, que incluye la identidad del usuario que inició sesión en el dispositivo corporativo, mediante la clave compartida previamente.
  • Azure AD devuelve un token a la aplicación o le pide al usuario que realice pruebas adicionales, como por ejemplo MFA.
  • Si el inicio de sesión del usuario se realiza correctamente, el usuario puede acceder a la aplicación.

Si hay algún problema, Azure Seamless SSO vuelve al inicio de sesión habitual, y el usuario deberá escribir su contraseña.

Implementación

Paso 1: verificar requisitos

  • AD Connect: si usamos pass-through authentication no existen requisitos adicionales. En el caso de usar password hash synchronization y habiendo un Firewall, verificar los requisitos en este enlace.
  • Configurar las credenciales de un administrador de dominio

Paso 2: habilitar la característica

Al realizar la instalación de Azure AD Connect debemos seleccionar password synchronization o pass-through authentication como método de inicio de sesión, y habilitar single sign-on

Si ya tenemos desplegado Azure AD Connect, debemos seleccionar Tasks, y Change user sign-in. A continuación habilitamos single sign-on.

Para verificar que SSO se ha habilitado correctamente:

  • Iniciamos sesión en el portal de Azure AD como global admin
  • Vamos a Azure AD -> Azure AD Connect
  • Verificamos que Seamless single sign-on está habilitado

Paso 3: implementación

Para habilitar la característica a los usuarios se deben agregar, mediante GPO, las siguientes URLs a los sitios de intranet del usuario:

Además, hay que habilitar la directiva de intranet Allow updates to status bar via script a través de GPO.

Paso 4: probando

Requisitos para probar la característica:

  • El usuario inicia sesión en un dispositivo corporativo, unido a dominio
  • Se ha habilitado Azure Seamless SSO para este usuario mediante GPO.

Para iniciar sesión escribiendo solo nombre de usuario, pero no la contraseña:

Para iniciar sesión sin escribir ni el nombre de usuario ni la contraseña, seguir uno de estos pasos:

Y eso es todo. Azure Seamless SSO es una opción estupenda si queremos desplegar single sign-on sin agregar servidores locales, y sobre todo si no queremos gastarnos un duro.

Para más información y procedimientos detallados:

https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso

mm

Sobre Pablo Ortiz Baiardo

Especializado en seguridad e infraestructuras. Llevo toda la vida trabajando con tecnologías Microsoft. MCSE Cloud Platform & Infrastructure , MCSE SharePoint, MCSE Productivity, MCSA Windows Server 2012. Soy un apasionado de la tecnología y disfruto aportando mi energía en proyectos de arquitectura y seguridad de Microsoft cloud.
Esta entrada ha sido publicada en Azure, Cloud. Enlace permanente.
ENCAMINA, piensa en colores