Azure Seamless Single Sign-on permite iniciar sesión en Azure AD automáticamente en equipos y redes corporativas. Esta característica gratuita proporciona a los usuarios un fácil acceso a las aplicaciones sin necesidad de componentes locales.
Características
Con Azure Seamless SSO los usuarios pueden iniciar sesión automáticamente, sin tener que escribir contraseñas, tanto en aplicaciones locales como en la nube. Estas son sus características principales:
No se necesitan componentes locales adicionales
Se puede aplicar a todos o sólo algunos usuarios por GPO
Se habilita a través de Azure AD Connect
Al solicitar el inicio de sesión en Azure Ad, si la aplicación envía un parámetro que identifique el dominio o el usuario, no es necesario escribir nombres de usuario ni contraseñas
Y lo mejor: Es una característica gratuita y no es necesario usar ninguna versión de pago de Azure AD para usarla
Cómo funciona
Azure Seamless SSO se habilita a través de Azure AD Connect. Una vez completada la instalación, Seamless SSO funciona como cualquier otro sistema de sign-in que utilice Autenticación Integrada de Windows (IWA). El flujo es el siguiente:
El usuario intenta acceder a una aplicación desde un dispositivo unido a dominio, dentro de la red corporativa.
Si el usuario aún no está logado, se le redirige a la página de inicio de sesión de Azure AD.
El usuario ingresa su nombre de usuario.
Azure AD obliga al explorador, a través de una respuesta 401 No autorizado, a que proporcione un ticket Kerberos.
El explorador solicita un ticket de Active Directory para la cuenta del dispositivo AZUREADSSOACC (que representa a Azure AD).
Active Directory busca la cuenta del dispositivo y devuelve al explorador un ticket Kerberos cifrado con el secret de la cuenta del dispositivo.
El explorador reenvía el ticket Kerberos de Active Directory a Azure AD.
Azure AD descifra el ticket Kerberos, que incluye la identidad del usuario que inició sesión en el dispositivo corporativo, mediante la clave compartida previamente.
Azure AD devuelve un token a la aplicación o le pide al usuario que realice pruebas adicionales, como por ejemplo MFA.
Si el inicio de sesión del usuario se realiza correctamente, el usuario puede acceder a la aplicación.
Si hay algún problema, Azure Seamless SSO vuelve al inicio de sesión habitual, y el usuario deberá escribir su contraseña.
Implementación
Paso 1: verificar requisitos
AD Connect: si usamos pass-through authentication no existen requisitos adicionales. En el caso de usar password hash synchronization y habiendo un Firewall, verificar los requisitos en este enlace.
Configurar las credenciales de un administrador de dominio
Paso 2: habilitar la característica
Al realizar la instalación de Azure AD Connect debemos seleccionar password synchronization o pass-through authentication como método de inicio de sesión, y habilitar single sign-on
Si ya tenemos desplegado Azure AD Connect, debemos seleccionar Tasks, y Change user sign-in. A continuación habilitamos single sign-on.
Para verificar que SSO se ha habilitado correctamente:
Iniciamos sesión en el portal de Azure AD como global admin
Vamos a Azure AD -> Azure AD Connect
Verificamos que Seamless single sign-on está habilitado
Paso 3: implementación
Para habilitar la característica a los usuarios se deben agregar, mediante GPO, las siguientes URLs a los sitios de intranet del usuario:
Y eso es todo. Azure Seamless SSO es una opción estupenda si queremos desplegar single sign-on sin agregar servidores locales, y sobre todo si no queremos gastarnos un duro.
Este sitio web utiliza cookies para que tengas la mejor experiencia de usuario. Si continuas navegando, estás dando tu consentimiento para aceptar las cookies y también nuestra política de cookies (esperemos que no te empaches con tanta cookie 😊)
