Habilitación del inicio de sesión único - AWS Directory Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación del inicio de sesión único

AWS Directory Service ofrece la posibilidad de permitir a los usuarios acceder a Amazon WorkDocs desde un ordenador unido al directorio sin tener que introducir sus credenciales por separado.

Antes de habilitar el inicio de sesión único, debe tomar determinadas medidas adicionales para permitir que los navegadores web de los usuarios admitan la función de inicio de sesión único. Los usuarios pueden necesitar modificar la configuración de su navegador web para permitir el inicio de sesión único.

nota

La función de inicio de sesión único solo funciona en equipos que se hayan unido al directorio de AWS Directory Service . No puede aplicarse en equipos que no estén vinculados al directorio.

Si el directorio es un directorio de AD Connector y la cuenta de servicio de AD Connector no tiene permiso para agregar o eliminar el atributo de nombre de la entidad principal del servicio, en los pasos 5 y 6 siguientes, tiene dos opciones:

  1. Puede continuar y se le pedirá el nombre de usuario y la contraseña de un usuario de directorio que tenga este permiso para agregar o eliminar el atributo del nombre de la entidad principal del servicio en la cuenta de servicio de AD Connector. Estas credenciales solo se usan para permitir el inicio de sesión único; el servicio no las guarda. Los permisos de la cuenta del servicio AD Connector no se cambian.

  2. Puede delegar permisos para permitir que la cuenta de servicio de AD Connector añada o elimine el atributo de nombre principal del servicio por sí misma. Puede ejecutar los siguientes PowerShell comandos desde un equipo unido a un dominio mediante una cuenta que tenga permisos para modificar los permisos de la cuenta de servicio de AD Connector. El siguiente comando le dará a la cuenta del servicio de AD Connector la capacidad de agregar y eliminar un atributo de nombre de la entidad principal del servicio solo para ella misma.

$AccountName = 'ConnectorAccountName' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID # Getting AD Connector service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AclPath = $AccountProperties.DistinguishedName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for AD Connector service account. $ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Para activar o desactivar el inicio de sesión único con Amazon WorkDocs
  1. En el panel de navegación de la consola de AWS Directory Service, seleccione Directorios.

  2. En la página Directories (Directorios), elija el ID del directorio.

  3. En la página Directory details (Detalles del directorio), seleccione la pestaña Application management (Administración de aplicaciones).

  4. En la URL sección Acceso a la aplicación, selecciona Activar para activar el inicio de sesión único en Amazon. WorkDocs

    Si no ves el botón Activar, es posible que primero tengas que crear un acceso URL antes de que aparezca esta opción. Para obtener más información sobre cómo crear un accesoURL, consulteCreación de un acceso URL para Microsoft AD AWS administrado.

  5. En el cuadro de diálogo Habilitar el inicio de sesión único para este directorio, elija Habilitar. El inicio de sesión único está habilitado para el directorio.

  6. Si más adelante quieres deshabilitar el inicio de sesión único con Amazon WorkDocs, selecciona Inhabilitar y, a continuación, en el cuadro de diálogo Inhabilitar el inicio de sesión único para este directorio, selecciona Inhabilitar de nuevo.

Inicio de sesión único en IE y Chrome

Para permitir que los navegadores Microsoft Internet Explorer (IE) y Google Chrome admitan la función de inicio de sesión único, deberá hacer lo siguiente en el equipo cliente:

  • Añade tu acceso URL (p. ej., https://<alias>.awsapps.com) a la lista de sitios aprobados para el inicio de sesión único.

  • Habilite las secuencias de comandos activas (). JavaScript

  • Permita el inicio de sesión automático.

  • Habilite la autenticación integrada.

Usted o sus usuarios pueden realizar estas tareas manualmente, o bien pueden cambiar estos ajustes mediante la configuración de la política de grupo.

Actualización manual para inicio de sesión único en Windows

Para habilitar manualmente la función de inicio de sesión único en un equipo Windows, siga estos pasos en el equipo cliente. Es posible que algunos de estos ajustes estén ya establecidos correctamente.

Habilitación manual de la función de inicio de sesión único en Internet Explorer y Chrome en Windows
  1. Para abrir el cuadro de diálogo Internet Properties, elija el menú Start, escriba Internet Options en el cuadro de búsqueda y elija Internet Options.

  2. Añada su acceso URL a la lista de sitios aprobados para el inicio de sesión único siguiendo estos pasos:

    1. En el cuadro de diálogo Internet Properties, seleccione la pestaña Security.

    2. Seleccione Local intranet y elija Sites.

    3. En el cuadro de diálogo Local intranet, elija Advanced.

    4. Añada su acceso URL a la lista de sitios web y seleccione Cerrar.

    5. En el cuadro de diálogo Local intranet, elija OK.

  3. Para habilitar el scripting activo, siga estos pasos:

    1. En la pestaña Security del cuadro de diálogo Internet Properties, elija Custom level.

    2. En el cuadro de diálogo Security Settings - Local Intranet Zone, desplácese hasta Scripting y seleccione Enable en Active scripting.

    3. En el cuadro de diálogo Security Settings - Local Intranet Zone, elija OK.

  4. Para habilitar el inicio de sesión automático, siga estos pasos:

    1. En la pestaña Security del cuadro de diálogo Internet Properties, elija Custom level.

    2. En el cuadro de diálogo Security Settings - Local Intranet Zone, desplácese hasta User Authentication y seleccione Automatic logon only in Intranet zone en Logon.

    3. En el cuadro de diálogo Security Settings - Local Intranet Zone, elija OK.

    4. En el cuadro de diálogo Security Settings - Local Intranet Zone, elija OK.

  5. Para habilitar la autenticación integrada, siga estos pasos:

    1. En el cuadro de diálogo Internet Properties, seleccione la pestaña Advanced.

    2. Desplácese hasta Security y seleccione Enable Integrated Windows Authentication.

    3. En el cuadro de diálogo Internet Properties, seleccione OK.

  6. Cierre el navegador y vuelva a abrirlo para que se apliquen los cambios.

Actualización manual para inicio de sesión único en OS X

Para habilitar manualmente el inicio de sesión único para Chrome en OS X, siga estos pasos en el equipo cliente. Necesitará derechos de administrador en su equipo para poder completar estos pasos.

Habilitación manual de la función de inicio de sesión único en Chrome en OS X
  1. Añada su acceso URL a la AuthServerAllowlistpolítica ejecutando el siguiente comando:

    defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"
  2. Abra System Preferences, vaya al panel Profiles y elimine el perfil Chrome Kerberos Configuration.

  3. Reinicie Chrome y abra chrome://policy en Chrome para confirmar que se haya implementado la nueva configuración.

Configuración de la política de grupo para el inicio de sesión único

El administrador del dominio puede implementar una configuración de política de grupo para aplicar cambios en la configuración de inicio de sesión único en los equipos cliente vinculados al dominio.

nota

Si administras los navegadores web Chrome en los ordenadores de tu dominio con políticas de Chrome, debes añadir tu acceso URL a la AuthServerAllowlistpolítica. Para obtener más información sobre la configuración de políticas de Chrome, vaya a Policy Settings in Chrome (en inglés).

Habilitación del inicio de sesión único para Internet Explorer y Chrome mediante la configuración de la política de grupo
  1. Cree un nuevo objeto de política de grupo siguiendo estos pasos:

    1. Abra la herramienta de administración de directivas de grupo, navegue hasta su dominio y seleccione Group Policy Objects.

    2. En el menú principal, elija Action y seleccione New.

    3. En el cuadro de GPO diálogo Nuevo, introduce un nombre descriptivo para el objeto de política de grupo, por ejemploIAM Identity Center Policy, y deja Source Starter GPO establecido en (ninguno). Haga clic en OK (Aceptar).

  2. Añada el acceso URL a la lista de sitios aprobados para el inicio de sesión único mediante los siguientes pasos:

    1. En la herramienta de administración de políticas de grupo, vaya a su dominio, seleccione Objetos de política de grupo, abra el menú contextual (haga clic con el botón derecho) de su política de IAM Identity Center y elija Editar.

    2. En el árbol de políticas, navegue a User Configuration > Preferences > Windows Settings.

    3. En la lista Windows Settings, abra el menú contextual (clic con el botón derecho) de Registry y elija New registry item.

    4. En el cuadro de diálogo New Registry Properties, especifique las siguientes opciones y elija OK:

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      Ruta

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      El valor de <alias> se deriva de su accesoURL. Si su acceso URL eshttps://examplecorp.awsapps.com, el alias es examplecorp y la clave de registro seráSoftware\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.

      Value name

      https

      Value type

      REG_DWORD

      Value data

      1

  3. Para habilitar el scripting activo, siga estos pasos:

    1. En la herramienta de administración de políticas de grupo, vaya a su dominio, seleccione Objetos de política de grupo, abra el menú contextual (haga clic con el botón derecho) de su política de IAM Identity Center y elija Editar.

    2. En el árbol de políticas, navegue a Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone.

    3. En la lista Intranet Zone, abra el menú contextual (clic con el botón derecho) para Allow active scripting y elija Edit.

    4. En el cuadro de diálogo Allow active scripting, especifique las siguientes opciones y elija OK:

      • Seleccione el botón de opción Enabled.

      • En Options ajuste Allow active scripting en Enable.

  4. Para habilitar el inicio de sesión automático, siga estos pasos:

    1. En la herramienta de administración de políticas de grupo, vaya a su dominio, seleccione Objetos de política de grupo, abra el menú contextual (haga clic con el botón derecho) de su SSO política y elija Editar.

    2. En el árbol de políticas, navegue a Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone.

    3. En la lista Intranet Zone, abra el menú contextual (clic con el botón derecho) para Logon options y elija Edit.

    4. En el cuadro de diálogo Logon options, especifique las siguientes opciones y elija OK:

      • Seleccione el botón de opción Enabled.

      • En Options ajuste Logon options en Automatic logon only in Intranet zone.

  5. Para habilitar la autenticación integrada, siga estos pasos:

    1. En la herramienta de administración de políticas de grupo, vaya a su dominio, seleccione Objetos de política de grupo, abra el menú contextual (haga clic con el botón derecho) de su política de IAM Identity Center y elija Editar.

    2. En el árbol de políticas, navegue a User Configuration > Preferences > Windows Settings.

    3. En la lista Windows Settings, abra el menú contextual (clic con el botón derecho) de Registry y elija New registry item.

    4. En el cuadro de diálogo New Registry Properties, especifique las siguientes opciones y elija OK:

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      Ruta

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      Value name

      EnableNegotiate

      Value type

      REG_DWORD

      Value data

      1

  6. Cierre la ventana de Group Policy Management Editor si aún está abierta.

  7. Asigne la nueva política a su dominio siguiendo estos pasos:

    1. En el árbol de administración de políticas de grupo, abra el menú contextual (haga clic con el botón derecho) de su dominio y seleccione Vincular una existente GPO.

    2. En la lista de objetos de política de grupo, seleccione su política del centro de IAM identidad y pulse Aceptar.

Estos cambios se aplicarán tras la siguiente actualización de la política de grupo en el cliente o la siguiente vez que el usuario inicie sesión.

Inicio de sesión único en Firefox

Para permitir que el navegador Mozilla Firefox admita el inicio de sesión único, añada su acceso URL (p. ej., https://<alias>.awsapps.com) a la lista de sitios aprobados para el inicio de sesión único. Esto puede hacerse manualmente o con un script automatizado.

Actualización manual para inicio de sesión único

Para añadir manualmente tu acceso URL a la lista de sitios aprobados de Firefox, lleva a cabo los siguientes pasos en el ordenador cliente.

Para añadir manualmente tu acceso URL a la lista de sitios aprobados en Firefox
  1. Abra Firefox y abra luego la página about:config.

  2. Abre la network.negotiate-auth.trusted-uris preferencia y añade tu acceso URL a la lista de sitios. Utilice una coma (,) para separar varias entradas.

Actualización automática para inicio de sesión único

Como administrador de dominio, puedes usar un script para añadir tu acceso URL a las preferencias de network.negotiate-auth.trusted-uris usuario de Firefox en todos los ordenadores de tu red. Para obtener más información, visita https://support.mozilla. org/en-US/questions/939037.