Comprobar y administrar el inicio de sesión único

Cuando haya comprobado que el inicio de sesión único se ha completado, pruebe las siguientes situaciones de inicio de sesión para asegurarse de que el inicio de sesión único y la implementación de AD FS 2.0 se han configurado correctamente. Pida a un grupo de usuarios que prueben el acceso a los servicios de Office 365 desde los exploradores y aplicaciones de clientes sofisticadas, como Microsoft Office 2010, en los siguientes entornos:

• Desde un equipo unido al dominio
  
• Desde un equipo no unido al dominio dentro de la red corporativa
  
• Desde un equipo móvil unido al dominio fuera de la red corporativa
  
• Entre los distintos sistemas operativos que usa en su compañía
  
• Desde un equipo doméstico
  
• Desde un quiosco de Internet (solo acceso de prueba a Office 365 mediante un explorador)
  
• Desde un smartphone (por ejemplo, un smartphone que use Microsoft Exchange ActiveSync)
  

Para probar la conectividad del inicio de sesión único, puede utilizar el Microsoft Remote Connectivity Analyzer. En Microsoft Single Sign-On, haga clic en la ficha Office 365 y, a continuación, en Next. Siga los mensajes que aparecen en pantalla para realizar la prueba. El analizador valida la capacidad de iniciar sesión en Office 365 con sus credenciales corporativas. También valida la configuración básica de AD FS 2.0.

¿Qué desea hacer?

• Agregar direcciones URL a la lista de Sitios de confianza de Internet Explorer
  
• Restringir los usuarios que pueden iniciar sesión en Office 365
  
• Ver la configuración actual
  
• Actualizar las propiedades de confianza
  
• Recuperar un servidor de AD FS 2.0
  

Después de agregar o convertir los dominios como parte de la configuración de inicio de sesión único, es posible que desee agregar el nombre de dominio completo del servidor de AD FS 2.0 a la lista Sitios de confianza de Internet Explorer; esto garantizará que no se solicite la contraseña a los usuarios en el servidor de AD FS 2.0. Este cambio debe realizarse en el cliente. También puede realizar este cambio para los usuarios especificando una opción de Directiva de grupo que agregue automáticamente esta URL a la lista Sitios de confianza de equipos unidos al dominio. Para obtener más información, consulte Configuración de directivas de Internet Explorer.

AD FS 2.0 ofrece a los administradores la posibilidad de definir reglas personalizadas que concedan o denieguen el acceso a los usuarios. En el caso del inicio de sesión único, las reglas personalizadas deben aplicarse a la relación de usuario de confianza de Office 365. Usted ha creado esta confianza al ejecutar los cmdlets en Windows PowerShell para configurar el inicio de sesión único.

Para obtener más información sobre cómo restringir los usuarios que pueden iniciar sesión en servicios, vea Crear una regla para permitir o denegar usuarios basándose en una notificación entrante. Para obtener más información acerca de la ejecución de cmdlets con el propósito de configurar el inicio de sesión único, consulte Instalar y configurar Windows PowerShell para el inicio de sesión único.

Si en cualquier momento desea ver el servidor de AD FS 2.0 y la configuración de Office 365 actuales, puede abrir la Módulo Microsoft Online Services para Windows PowerShell y ejecutar Connect-MSOLService y, a continuación, Get-MSOLFederationProperty -DomainName <dominio>. Esto le permitirá comprobar que la configuración del servidor AD FS 2.0 es coherente con la de Office 365. Si la configuración no coincide, puede ejecutar Update-MsolFederatedDomain -DomainName <dominio>. Consulte la siguiente sección, “Actualizar las propiedades de confianza”, para obtener más información.

Nota:
Si necesita compatibilidad con varios dominios de primer nivel, como contoso.com y fabrikam.com, debe utilizar el modificador SupportMultipleDomain con cualquier cmdlet. Para obtener más información, consulte Compatibilidad con varios dominios de primer nivel.

¿Qué desea hacer?

Debe actualizar las propiedades de confianza del inicio de sesión único en Office 365 en las siguientes situaciones:

• La URL cambia: si realiza cambios en la URL del servidor AD FS 2.0, debe actualizar las propiedades de confianza.
  
• El certificado principal de firma de tokens ha cambiado: al cambiar el certificado principal de firma de tokens, se activa el evento ID 334 o ID 335 en el Visor de eventos para el servidor AD FS 2.0. Se recomienda que compruebe el Visor de eventos con regularidad, al menos una vez a la semana.
  Para ver los eventos del servidor de AD FS 2.0, siga estos pasos.
  
  1. Haga clic en Inicio y, a continuación, en Panel de control. En la vista Categoría, haga clic en Sistema y seguridad y, a continuación, en Herramientas administrativas; después, haga clic en Visor de eventos.
     
  2. Para ver los eventos de AD FS 2.0, en el panel izquierdo del Visor de eventos, haga clic en Registros de aplicaciones y servicios, después en AD FS 2.0 y, a continuación, en Administrador.
     
• El certificado de firma de tokens caduca todos los años:de forma predeterminada, AD FS 2.0 genera un nuevo certificado de firma de tokens (un certificado autofirmado) 20 días antes de que el certificado caduque cada año. La sustitución del certificado, o la generación de uno nuevo cuando el existente esté a punto de expirar, seguida de su promoción a certificado principal, solo se aplica a los certificados autofirmados que genera AD FS 2.0.
  

  Nota:

  Puede configurar el momento en el que AD FS 2.0 genera el nuevo certificado de firma de tokens. Llegado el momento de la sustitución del certificado, AD FS 2.0 genera uno nuevo con el mismo nombre que el que va a expirar, aunque con una clave privada y una huella digital diferentes. Tras su generación, el nuevo certificado permanecerá como secundario durante cinco días, transcurridos los cuales tendrá lugar su promoción a certificado primario. Cinco días es el período predeterminado, pero se puede configurar.

Precaución:

El certificado de firma de tokens es fundamental para la estabilidad del Servicio de federación. Si se modifica, este cambio deberá notificarse a Office 365 . De lo contrario, se producirán errores en las solicitudes de servicios de Office 365. Por este motivo, se recomienda descargar y configurar la Herramienta de instalación de automatización de actualización de metadatos de federación de Microsoft Office 365, que supervisará y actualizará automáticamente los metadatos de federación de Office 365 de forma periódica para que los cambios realizados en el certificado de firma de token en el Servicio de federación de AD FS 2.0 se repliquen en Office 365 automáticamente. Para obtener información general acerca de la administración de certificados en la granja de servidores de federación de AD FS 2.0 y en Office 365, consulte Actualizar las propiedades de confianza.

Para actualizar las propiedades de confianza, siga los pasos que se detallan a continuación.

Nota:
Si necesita compatibilidad con varios dominios de primer nivel, como contoso.com y fabrikam.com, debe utilizar el modificador SupportMultipleDomain con cualquier cmdlet. Para obtener más información, consulte Compatibilidad con varios dominios de primer nivel.

1. Abra Módulo Microsoft Online Services para Windows PowerShell.

2. Ejecute $cred=Get-Credential. Cuando este cmdlet solicite las credenciales, especifique las de su cuenta de administración de Office 365.

3. Ejecute Connect-MsolService -Credential $cred. Este cmdlet le conecta con Office 365. Es necesario crear un contexto que le conecte con Office 365 antes de ejecutar cualquier cmdlet adicional instalado por la herramienta.

4. Ejecute Set-MSOLAdfscontext -Computer <servidor principal de AD FS 2.0>, donde <servidor principal de AD FS 2.0> denota el FQDN interno del servidor de AD FS 2.0 principal. Este cmdlet crea un contexto que permite efectuar la conexión con AD FS 2.0.

   Nota:
   Si ha instalado la Microsoft Online Services Module en el servidor principal de AD FS 2.0, no tendrá que ejecutar este cmdlet.

5. Ejecute Update-MSOLFederatedDomain -DomainName <dominio>. Este cmdlet actualiza la configuración de AD FS 2.0 a Office 365 y define la relación de confianza entre ambos.

¿Qué desea hacer?

En caso de que pierda el servidor principal y no pueda recuperarlo, tendrá que promocionar otro servidor para que se convierta en el servidor principal. Para obtener más información, consulte AD FS 2.0 - How to Set the Primary Federation Server in a WID Farm (AD FS 2.0: Procedimiento para definir el servidor principal de federaciones en una granja de WID).

Nota:

Si se produce un error en uno de los servidores de AD FS 2.0 y ha definido una configuración de granja de alta disponibilidad, los usuarios seguirán pudiendo tener acceso a los servicios de Office 365. Si el servidor que ha generado el error es el servidor principal, no podrá realizar ninguna actualización a la configuración de la granja hasta que promueva otro servidor para que se convierta en el servidor principal.

Si pierde todos los servidores de la granja, debe volver a crear la relación de confianza mediante los pasos siguientes.

Nota:

Si necesita compatibilidad con varios dominios de primer nivel, como contoso.com y fabrikam.com, debe utilizar el modificador SupportMultipleDomain con cualquier cmdlet. Al utilizar el modificador SupportMultipleDomain, normalmente debe ejecutar el procedimiento en cada uno de sus dominios. Sin embargo, para recuperar el servidor de AD FS 2.0, solo debe seguir el procedimiento una vez para uno de sus dominios. Una vez recuperado su servicio, todos los demás dominios de inicio de sesión único se conectarán a Office 365. Para obtener más información, consulte Compatibilidad con varios dominios de primer nivel.

1. Abra la Microsoft Online Services Module.

2. Ejecute $cred=Get-Credential. Cuando el cmdlet le solicite sus credenciales, escriba las credenciales de su cuenta de administrador de Office 365.

3. Ejecute Connect-MsolService -Credential $cred. Este cmdlet le conecta con Office 365. Es necesario crear un contexto que le conecte con Office 365 antes de ejecutar cualquier cmdlet adicional instalado por la herramienta.

4. Ejecute Set-MSOLAdfscontext -Computer <servidor principal de AD FS 2.0>, donde <servidor principal de AD FS 2.0> denota el FQDN interno del servidor de AD FS 2.0 principal. Este cmdlet crea un contexto que permite efectuar la conexión con AD FS 2.0.

   Nota:
   Si ha instalado la Microsoft Online Services Module en el servidor principal de AD FS 2.0, no tendrá que ejecutar este cmdlet.

5. Ejecute Update-MsolFederatedDomain -DomainName <dominio>, donde <dominio> es el dominio cuyas propiedades desee actualizar. Este cmdlet actualiza las propiedades y establece la relación de confianza.

6. Ejecute Get-MsolFederationProperty -DomainName <dominio>, donde <dominio> es el dominio cuyas propiedades desea ver. A continuación, puede comparar las propiedades del servidor principal de AD FS 2.0 y las propiedades de Office 365 para asegurarse de que coinciden. Si no es así, vuelva a ejecutar Update-MsolFederatedDomain -DomainName <dominio> para sincronizar las propiedades.