Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual - Lec03 Identificacion y Autenticacion Office 365
Manual - Lec03 Identificacion y Autenticacion Office 365
1. INTRODUCCIÓN
Una de las tareas más importantes que tiene el administrador de Office 365, sobre todo al
principio, es establecer los medios necesarios para asegurar la identidad de los usuarios que
acceden al servicio. En la mayoría de los casos, esto significa establecer la base de datos de
usuarios que estarán autorizados a utilizar dicho servicio (es decir, establecer identidades) y
proporcionar los métodos para que dichos usuarios puedan demostrar su identidad (es decir,
establecer los métodos de autenticación). Estos asuntos se pueden ver al estudiar Office 365,
pero en una empresa normalmente ya se habrán tratado, existiendo una base de datos de usuarios
para acceder a las aplicaciones empresariales o simplemente a la red empresarial. Así pues, en un
entorno empresarial basado en Windows, será habitual que la empresa haya distribuido sus
equipos y usuarios bien en una configuración de grupos de trabajo o, si es una empresa de cierta
entidad, en un dominio de Windows Server. Por ello, en muchos casos la empresa ya dispondrá
de un sistema de usuarios. Pues bien, al trasladar este asunto a Office 365 nos podemos encontrar
entonces con dos escenarios:
Que la empresa quiera utilizar esas cuentas de usuario que ya tiene para poder identificar a
los usuarios que utilizarán Office 365.
Que la empresa no quiera o no disponga de esas cuentas de usuario, por lo que la
identificación se realizará creándolas en el propio servicio de Office 365.
Elegir entre una opción u otra es una decisión que se debe tomar al principio de la configuración
de Office 365, ya que posteriormente será difícil cambiarla. Por ello, se deben considerar las
opciones que tenemos para determinar cuáles son las que mejor se adaptan a nuestras
necesidades.
Ese es el propósito de esta lección.
Bueno, pues presentados los dos asuntos que vamos a estudiar: identidades y autenticación; así
como el componente de software que se encarga de ello (Azure AD), vamos a empezar a ver las
posibilidades que tenemos.
3. MODELOS DE IDENTIFICACIÓN
Dentro de los modelos de identificación que tenemos disponibles en Office 365 encontramos
tres principales:
Identidades que existen solo online.
Identidades sincronizadas.
Identidades federadas.
Y una nueva opción que recoge ventajas de los dos últimos, la Autenticación de paso a través
(PTA).
Identidades que existen solo online:
Es decir, las cuentas de usuario se crean exclusivamente en el tenant de Office 365 (ya sabemos
que a través de Azure Active Directory).
Esto significa que los usuarios tienen una cuenta de usuario en Office 365 distinta a la que
puedan tener en su red empresarial.
Este escenario podría ser válido en una pequeña empresa, donde solo algunos usuarios tienen
que tener acceso a los servicios de Office 365, por lo que disponer de dos cuentas de usuario
(con sus correspondientes contraseñas) no es demasiado molesto para ellos.
Por lo tanto, en este escenario es Azure AD el que autentica al usuario, como hemos visto hasta
ahora.
Identidades sincronizadas:
Es decir, que las cuentas de usuario de la red empresarial (del dominio de Active Directory) se
sincronizan con las cuentas que se utilizan en Office 365 (en Azure AD). Normalmente esto
incluye sincronizar las contraseñas de esas cuentas, pero no es obligatorio.
Eso tiene la ventaja de que el usuario solo tiene que recordar y utilizar una cuenta para acceder
tanto a los recursos de la red empresarial como a los servicios que utiliza en Office 365. La
autenticación se sigue haciendo en el Azure AD en este caso, que mantiene una copia
sincronizada de la base de datos.
Identidades federadas:
En este escenario se utiliza un tercer servicio para autenticar a los usuarios. Estos tienen una
única cuenta que se almacena on-premises, por lo que es Active Directory (a través de un
componente especial) el que determina si un usuario se autentica con éxito o no para utilizar
Office 365.
Este escenario es el que ha sido elegido por muchas empresas que desean tener la base de datos de
los usuarios en sus servidores y no en la nube de Microsoft. Además, les ha permitido forzar
políticas de seguridad, como: cuándo tienen que cambiar las contraseñas los usuarios, establecer
requisitos de complejidad de las contraseñas que utilizan los usuarios, establecer horarios
Copyright © Computer Aided Elearning, S.A.
Identificación y autenticación
permitidos y prohibidos de inicio de sesión, etc. Sin embargo, se trata de una configuración de
complejidad alta al tener que trabajar con distintos componentes. Por una parte, tenemos el
componente de la nube, Azure AD; por otra, el componente on-premises, Active Directory; y,
finalmente, el tercer componente que facilita la autenticación, como puede ser los Servicios de
Federación de Active Directory.
Autenticación de paso a través:
Microsoft ha añadido una cuarta opción llamada "Autenticación de paso a través" (Pass-
through Authentication), que permite obtener los requerimientos de seguridad de las identidades
federadas con una configuración mucho más sencilla.
Utilizado Autenticación de paso a través, los usuarios se validan únicamente en los servidores
locales (on-premises), por lo que Azure AD tampoco mantiene la información de las cuentas de
usuario.
Lo que ocurre es que cuando un usuario se valida en Office 365 y está activado este modo,
Azure AD preguntará al correspondiente Active Directory local si ese usuario es válido.
En función de la respuesta que reciba, le permitirá acceder al servicio o no.
Es un resultado parecido al que se obtiene con las identidades federadas, pero sin la necesidad de
configurar ningún intermediario ni servicio de federación de terceros, por lo que la configuración
es mucho más sencilla.
En el caso del modelo de identidades solo online no se requiere nada más que crear las cuentas
de usuario a través del centro de administración de Office o de Azure AD.
Por ello, veremos más tarde cómo hacerlo, ya que elegiremos este modelo para el curso.
Sin embargo, para los otros casos, es necesario utilizar una aplicación pensada expresamente para
facilitar el trabajo entre los servicios on-premises y en la nube. Esta aplicación es Azure AD
Connect.
En este paso podríamos configurar otros aspectos de la instalación de la propia aplicación Azure
AD Connect en los que no nos vamos a parar ahora.
Pulsa en Instalar sin activar ninguna de las opciones.
En este paso es dónde realmente podemos ver las opciones que tenemos a nuestra disposición:
Pues bien, una vez se ha autenticado correctamente, ya no tendrá que volver a hacerlo en Office
365. Normalmente esta es una buena opción para facilitar el trabajo de los usuarios. Y es que, si
no la habilitamos, entonces los usuarios tendrán que volver a introducir sus credenciales de
Active Directory al acceder a Office 365, aunque se trate de la misma cuenta en ambos casos.
Marca la casilla Habilitar el inicio de sesión único.
Por lo tanto, ahora tendríamos configurado un método de sincronización con hash de
contraseñas e inicio de sesión único.
Pulsa en Siguiente.
Ahora ya empieza el proceso. Lo primero es identificarnos en Azure AD.
Aquí vemos que tenemos ya tres usuarios de Office 365, siendo el Administrador global el que
se creó durante la configuración del tenant de Office 365 y el único que hemos utilizado hasta el
momento. Además, en la columna ORIGEN podemos comprobar que se trata de identidades
online. Fíjate que se indica que el origen en los tres casos es Azure Active Directory y no un
directorio local.
Pues desde aquí puedes configurar la Autenticación multifactor, que es una característica que se
puede establecer para cada usuario de forma particular.
Pulsa en los tres puntos que aparecen a la izquierda de la palabra Más.
Elige Multi-Factor Authentication.
Por ejemplo, vamos a habilitarla para el tercer usuario, de nombre Prueba.
Para ello, iniciaré sesión con esa cuenta de usuario, pero lo haré en una ventana InPrivate del
navegador para que no detecte que tengo una sesión iniciada con la cuenta del Administrador
global.
Pulsa en los tres puntos del menú del navegador. Están en la parte superior derecha de la
ventana.
Elige Ventana InPrivate nueva.
Pulsa en Siguiente.
Al ser la primera vez que el usuario inicia sesión teniendo habilitada esta característica, tendrá
que configurar cómo desea proporcionar la información adicional.
Ahora debes elegir el país e introducir el número del correspondiente teléfono móvil.
Lo he hecho por ti...
Elige Enviarme un código mediante mensaje de texto.
Normalmente introducir el método de contacto solo será necesario la primera vez que inicies
sesión.
Pulsa en Siguiente.
Ahora deberás tener a mano tu móvil para introducir aquí el código que se te ha enviado.
Lo he hecho por ti.
Pulsa en Comprobar.
Pulsa en Listo.
Ya hemos accedido al portal de este usuario.
Por lo tanto, a partir de este momento, cada vez que inicie sesión este usuario no solo tendrá que
conocer su correspondiente contraseña, sino que tendrá que introducir un código que será enviado
a su teléfono móvil. La seguridad se refuerza mucho de esta forma.
Fíjate que aquí ya pone que el estado de la Autenticación multifactor para este usuario es
forzado, es decir, que se requiere.
Pulsa en Cancelar.