Imprimir

Comentarios

Instalar y configurar Windows PowerShell para el inicio de sesión único

Última modificación del tema: 2013-02-05

Después de que, como administrador, haya implementado Active Directory Federation Services (AD FS) 2.0, el siguiente paso para configurar un inicio de sesión único consiste en descargar, instalar y configurar la Módulo Microsoft Online Services para Windows PowerShell. Para ello, debe disponer del software necesario para la Microsoft Online Services Module. Después de descargar e instalar el módulo, debe ejecutar una serie de cmdlets en la interfaz de línea de comandos de Windows PowerShell para agregar o convertir dominios para el inicio de sesión único.

Para obtener más información sobre la implementación de AD FS 2.0, consulte Planear e implementar AD FS 2.0 para su uso con el inicio de sesión único.

Realizar estos pasos

Seguir los requisitos para el módulo Microsoft Online Services
Descargar el módulo Microsoft Online Services
Configurar una relación de confianza agregando o convirtiendo un dominio para el inicio de sesión único
Siguiente paso

1. Seguir los requisitos para el módulo Microsoft Online Services

Para ejecutar la Microsoft Online Services Module, es necesario lo siguiente:

Sistema operativo: use Windows 7 o Windows Server 2008 R2.
Microsoft .NET Framework: debe activar la característica Microsoft .NET Framework 3.51 en Windows 7 o Windows Server 2008 R2.
Windows PowerShell 2.0 y AD FS 2.0: con el fin de poder ejecutar los cmdlets para configurar el inicio de sesión único, debe activar la característica Windows PowerShell 2.0 y debe tener privilegios de administrador en el servidor de AD FS 2.0. Le recomendamos usar el acceso remoto al servidor de AD FS 2.0 cuando ejecute los cmdlets; para ello, debe usar el entorno remoto de Windows PowerShell. Para obtener información, consulte About_Remote_Requirements.
Todas las actualizaciones de software de Office 365: desde la página de descargas de Office 365, instale las actualizaciones necesarias. para tener acceso a la página de descargas de Office 365 , inicie sesión en el portal de Office 365 y en Recursos, haga clic en Descargas. Estas actualizaciones son necesarias porque las características de Office 365 no funcionarán correctamente sin las versiones adecuadas de los sistemas operativos, exploradores y software. Para obtener más información, consulte Configurar el escritorio para Office 365.

Realizar estos pasos

2. Descargar el módulo Microsoft Online Services

La Módulo Microsoft Online Services para Windows PowerShell es una descarga que viene acompañada de Office 365. Este módulo instala un conjunto de cmdlets para Windows PowerShell; debe ejecutar estos cmdlets para configurar el inicio de sesión único para Office 365. Antes de configurar el inicio de sesión único en su entorno de producción completo, también puede ejecutar un piloto de inicio de sesión único. Consulte Ejecutar un piloto para probar el inicio de sesión único antes de su configuración (opcional).

Nota:
Para obtener más información sobre un cmdlet que puede ejecutar en Windows PowerShell, en el símbolo del sistema de Windows PowerShell, escriba `Get-help` y el nombre del cmdlet. Para obtener más información sobre los cmdlets del inicio de sesión único, consulte Usar Windows PowerShell para administrar Office 365.

Ejecutar un piloto para probar el inicio de sesión único antes de su configuración (opcional)

Antes de agregar o convertir un dominio como un dominio de inicio de sesión único, es posible que desee ejecutar un piloto. En este momento, no se puede realizar una implementación del inicio de sesión único por etapas; todos los usuarios pasan a ser usuarios federados al mismo tiempo. Sin embargo, puede establecer un piloto de inicio de sesión único con un grupo de usuarios de producción desde el bosque de producción de Active Directory.

Los usuarios del plan piloto deben probar de forma exhaustiva diversos escenarios de inicio de sesión único para asegurarse de que el inicio de sesión único (y la implementación de AD FS 2.0) esté configurado correctamente y que esté listo para implementarse en toda la organización. Para ello, deben obtener acceso a Office 365 desde exploradores y aplicaciones para clientes enriquecidos (como Microsoft Office 2010) en los entornos siguientes:

Desde un equipo unido al dominio
Desde un equipo no unido al dominio dentro de la red corporativa
Desde un equipo móvil unido al dominio fuera de la red corporativa
Entre los distintos sistemas operativos que usa en su compañía
Desde un equipo doméstico
Desde un quiosco de Internet (solo explorador)
Desde un smartphone (por ejemplo, un smartphone que use Microsoft Exchange ActiveSync)

Para obtener más información, consulte Establecimiento de un piloto de inicio único de sesión en un bosque de usuarios de producción.

Realizar estos pasos

3. Configurar una relación de confianza agregando o convirtiendo un dominio para el inicio de sesión único

Cada dominio que desee federar debe agregarse como dominio de inicio de sesión único o se debe convertir para que sea un dominio de inicio de sesión único a partir de un dominio estándar. La adición o conversión de un dominio configura una relación de confianza entre AD FS 2.0 y Office 365.

Importante:
Si está usando un subdominio (por ejemplo, corp.contoso.com) además de un dominio de primer nivel (por ejemplo, contoso.com), debe agregar el dominio de primer nivel en Office 365 antes de agregar ningún subdominio. Cuando el dominio de primer nivel se configura para el inicio de sesión único, todos los subdominios también se configuran automáticamente. La configuración de una relación de confianza es una operación que se realiza una sola vez y no tiene que volver a ejecutar la Microsoft Online Services Module si agrega más servidores de AD FS 2.0 a la granja de servidores. Si agrega y comprueba un dominio con la Microsoft Online Services Module, tendrá que especificar varias configuraciones adicionales en Office 365. Esta configuración es necesaria para poder ver los registros DNS que deben configurarse para permitir que su dominio funcione con los servicios de Office 365. Para obtener más información, consulte Especificar los servicios que usará con el dominio. Si necesita compatibilidad con varios dominios de primer nivel, debe usar el conmutador SupportMultipleDomain con cualquier cmdlets, como los cmdlets usados en los procedimientos “Agregar un dominio” y “Convertir dominios”. Por ejemplo, para agregar contoso.com y fabrikam.com como dominios de inicio de sesión único, debe seguir el procedimiento "Agregar un dominio" para contoso.com con el conmutador SupportMultipleDomain en cada paso que tenga un cmdlet. De este modo, para el paso 5, usaría `New-MsolFederatedDomain -DomainName contoso.com -SupportMultipleDomain`. Después de haber completado todos los pasos del procedimiento para contoso.com, repetiría el procedimiento para el dominio fabrikam.com. En el paso 5, usaría `New-MsolFederatedDomain -DomainName fabrikam.com -SupportMultipleDomain`. Para obtener más información, consulte Compatibilidad con varios dominios de primer nivel.

Importante:

Si está usando un subdominio (por ejemplo, corp.contoso.com) además de un dominio de primer nivel (por ejemplo, contoso.com), debe agregar el dominio de primer nivel en Office 365 antes de agregar ningún subdominio. Cuando el dominio de primer nivel se configura para el inicio de sesión único, todos los subdominios también se configuran automáticamente.
La configuración de una relación de confianza es una operación que se realiza una sola vez y no tiene que volver a ejecutar la Microsoft Online Services Module si agrega más servidores de AD FS 2.0 a la granja de servidores.
Si agrega y comprueba un dominio con la Microsoft Online Services Module, tendrá que especificar varias configuraciones adicionales en Office 365. Esta configuración es necesaria para poder ver los registros DNS que deben configurarse para permitir que su dominio funcione con los servicios de Office 365. Para obtener más información, consulte Especificar los servicios que usará con el dominio.
Si necesita compatibilidad con varios dominios de primer nivel, debe usar el conmutador SupportMultipleDomain con cualquier cmdlets, como los cmdlets usados en los procedimientos “Agregar un dominio” y “Convertir dominios”.
Por ejemplo, para agregar contoso.com y fabrikam.com como dominios de inicio de sesión único, debe seguir el procedimiento "Agregar un dominio" para contoso.com con el conmutador SupportMultipleDomain en cada paso que tenga un cmdlet. De este modo, para el paso 5, usaría New-MsolFederatedDomain -DomainName contoso.com -SupportMultipleDomain. Después de haber completado todos los pasos del procedimiento para contoso.com, repetiría el procedimiento para el dominio fabrikam.com. En el paso 5, usaría New-MsolFederatedDomain -DomainName fabrikam.com -SupportMultipleDomain.
Para obtener más información, consulte Compatibilidad con varios dominios de primer nivel.

Agregar un dominio

Abra la Microsoft Online Services Module.
Ejecute $cred=Get-Credential. Cuando el cmdlet le solicite sus credenciales, escriba las credenciales de su cuenta de administrador de Office 365.
Ejecute Connect-MsolService -Credential $cred. Este cmdlet le conecta con Office 365. Es necesario crear un contexto que le conecte con Office 365 antes de ejecutar cualquier cmdlet adicional instalado por la herramienta.
Ejecute Set-MsolAdfscontext -Computer <servidor principal de AD FS 2.0>, donde <servidor principal de AD FS 2.0> es el nombre FQDN interno del servidor principal de AD FS 2.0. Este cmdlet crea un contexto que le conecta con AD FS 2.0.

Nota:
Si tiene instalada la Microsoft Online Services Module en el servidor principal de AD FS 2.0, no tendrá que ejecutar este cmdlet.

Nota:
Si tiene instalada la Microsoft Online Services Module en el servidor principal de AD FS 2.0, no tendrá que ejecutar este cmdlet.

Ejecute New-MsolFederatedDomain -DomainName <dominio>, donde <dominio> es el dominio que va a agregarse y habilitarse para el inicio de sesión único. Este cmdlet agrega un nuevo subdominio o dominio de primer que se configurarán para la autenticación federada.

Nota:
Tras usar el cmdlet New-MsolFederatedDomain para agregar un dominio de primer nivel, no podrá usar el cmdlet New-MsolDomain para agregar dominios estándar (esto es, no federados).

Con la información proporcionada por los resultados del cmdlet New-MsolFederatedDomain, póngase en contacto con su registrador de dominios para crear el registro DNS necesario. De este modo, se comprobará si es el propietario del dominio. Tenga en cuenta que la propagación puede tardar hasta 15 minutos, dependiendo de su registrador de dominios. La propagación de los cambios en el sistema puede durar hasta 72 horas. Para obtener más información, consulte Comprobar un dominio en cualquier registrador de nombres de dominio.
Ejecute New-MsolFederatedDomain otra vez, especificando el mismo nombre de dominio para finalizar el proceso.

Convertir un dominio

Al convertir un dominio existente en un dominio de inicio de sesión único, todos los usuarios con licencia pasan a ser usuarios federados que usan sus credenciales corporativas existentes de Active Directory (nombre de usuario y contraseña) para obtener acceso a los servicios en Office 365. En este momento, no se puede realizar una implementación del inicio de sesión único por etapas. No obstante, puede establecer un piloto de inicio de sesión único con un grupo de usuarios de producción desde el bosque de producción de Active Directory. para obtener más información, consulte Ejecutar un piloto para probar el inicio de sesión único antes de su configuración (opcional).

Nota:
Conviene realizar una conversión cuando hay menos usuarios, como durante un fin de semana, para reducir el impacto en ellos.

Para convertir un dominio existente en un dominio de inicio de sesión único, siga estos pasos.

Abra la Microsoft Online Services Module.
Ejecute $cred=Get-Credential. Cuando el cmdlet le solicite sus credenciales, escriba las credenciales de su cuenta de administrador de Office 365.
Ejecute Connect-MsolService -Credential $cred. Este cmdlet le conecta con Office 365. Es necesario crear un contexto que le conecte con Office 365 antes de ejecutar cualquier cmdlet adicional instalado por la herramienta.
Ejecute Set-MsolAdfscontext -Computer <servidor principal de AD FS 2.0>, donde <servidor principal de AD FS 2.0> es el nombre FQDN interno del servidor principal de AD FS 2.0. Este cmdlet crea un contexto que le conecta con AD FS 2.0.

Nota:
Si ha instalado la Microsoft Online Services Module en el servidor principal de AD FS 2.0, no tendrá que ejecutar este cmdlet.
Ejecute Convert-MsolDomainToFederated -DomainName <dominio>, donde <dominio> es el dominio que se va a convertir. Este cmdlet cambia el dominio de autenticación estándar a inicio de sesión único.

Nota:
Si ha instalado la Microsoft Online Services Module en el servidor principal de AD FS 2.0, no tendrá que ejecutar este cmdlet.

Nota:
Para comprobar que la conversión se ha realizado correctamente, compare la configuración del servidor de AD FS 2.0 y de Office 365; para ello, ejecute `Get-MsolFederationProperty -DomainName <dominio>`, donde <dominio> es el dominio cuya configuración desea ver. Si no coinciden, puede ejecutar `Update-MsolFederatedDomain -DomainName <dominio>` para sincronizar la configuración.

4. Siguiente paso

Ahora que ha instalado el módulo y configurado los dominios para que usen el inicio de sesión único, debe configurar la sincronización de Active Directory. Para obtener más información, consulte Sincronización de Active Directory: Guía básica. Después de haber configurado la sincronización de Active Directory, consulte Comprobar y administrar el inicio de sesión único.

Realizar estos pasos

Consulte también

Conceptos

Inicio de sesión único: Guía básica
Preparar el inicio de sesión único
Planear e implementar AD FS 2.0 para su uso con el inicio de sesión único

¿Te ha sido útil este artículo? Envíanos tus opiniones

Legal

Privacidad

Comunidad