Hoy vamos a ver como administrar nuestros dominios de Internet en nuestro Azure Active Directory.
Después de inscribirse en Azure AD (o para un servicio de Microsoft como Office 365, Dynamics CRM Online y otros), el único dominio asociado con nuestra cuenta de suscripción y creado con el directorio tennant, es el dominio
Este es el dominio predeterminado. Cuando creamos un nuevo usuario, el nombre de inicio de sesión y la dirección de correo electrónico del usuario se asignan a este dominio predeterminado.
Por supuesto, podemos agregar uno o más dominios de Internet a un directorio en lugar de conservar el dominio onmicrosoft.com y, a continuación, asignar a los usuarios iniciar sesión con cualquiera de los dominios validados.
Podemos registrar varios nombres de dominio de Internet para un directorio, por ejemplo fabrikam.com, además del dominio predeterminado inicial, por ejemplo, corpfabrikam.onmicrosoft.com. Un directorio nos permite registrar un dominio de Internet sólo después de demostrar que nuestra organización es propietaria del espacio de nombres DNS en el DNS de Internet pública. A partir de esta escritura, podemos alojar hasta 600 dominios de Internet registrados en su directorio, cada uno representado por un espacio de nombres DNS diferente.
Un dominio puede ser un dominio de nube (estándar) o un dominio federado (de inicio de sesión único), lo que significa que todos los usuarios de un dominio DEBEN utilizar el mismo sistema de identidad: la identidad de la nube o la identidad federada como se ha cubierto anteriormente.
Por ejemplo, podriamos tener un grupo de usuarios que sólo necesita una identidad de la nube porque no tiene una cuenta en el establecimiento y / o acceso a sistemas locales y otro grupo de usuarios que tiene una cuenta en el establecimiento y/o utilizar aplicaciones en la nube y sistemas locales. Se podría utilizar agregar dos dominios al directorio, como contractors.fabrikam.com y ftes.fabrikam.com, y sólo configuraría la federación para uno de ellos.
Un dominio se puede convertir de nube a federado para sostener identidades federadas en lugar de identidades de nube o de federado a nube.
Para registrar un dominio de Internet, debemos seguir los siguientes pasos:
1. Abrimos una sesión de navegación, vamos al portal de administración de Azure y accedemos como administrador del directorio para configurarlo.
2. Hacemos clic en ACTIVE DIRECTORY y, a continuación, hacemos clic en el nombre del directorio de la organización para el que se debe agregar un dominio de Internet.
3. Hacemos clic en ADD A CUSTOM DOMAIN si no se ha agregado ningún dominio de Internet hasta ahora o ADD en la parte inferior y aparecerá un cuadro de dialogo ADD DOMAIN.
4. En la página Specify a domain name, escribimos el nombre de dominio que deseamos agregar. I plan to configure this domain for single sign-on with my local Active Directory debe estar activado para preparar la configuración como un dominio de Internet federado. Por el momento, no marquemos esta opción.
5. Hacemos clic en añadir.
6. Hacemos clic en el icono de flecha en la parte inferior derecha.
8. Una vez que se haya agregado el registro TXT a su registrador de dominio DNS, hacemos clic en Verificar para completar el registro.
9. Si el dominio se ha verificado correctamente, hacemos clic en la marca de verificación situada en la parte inferior derecha para cerrar el cuadro de diálogo.
Como ilustración de los cmdlets de módulo de Azure AD mencionados anteriormente, veamos cómo agregar y verificar un dominio de Internet personalizado con Windows PowerShell.
Al igual que para los pasos anteriores 4 a 6, el cmdlet New-MsolDomain nos permite agregar un dominio de Internet estándar (en la nube). Después de ejecutar este comando, debe probar que su organización posee el espacio de nombres DNS en el DNS de Internet pública.
Para ello, y para verificar el nombre de dominio DNS, debemos utilizar el cmdlet Get-MsolDomainVerificationDns para obtener la información de registro DNS necesaria para crear el nuevo dominio de nube.
Una vez que se agrega el registro TXT dado en su registro de dominio DNS, finalmente debemos probar nuestro control del espacio de nombres DNS ejecutando el cmdlet Confirm-MsolDomain.
Del mismo modo, puede utilizar el cmdlet New-MsolFederatedDomain para crear el dominio personalizado federado (inicio de sesión único) en su directorio. Por último, el cmdlet Set-MsolDomainAuthentication permite convertir un dominio estándar en un solo signo en el dominio.
Cuando un dominio está federado, ya no tendremos la opción de agregar el sufijo de dominio a las cuentas de usuario. Los usuarios tendrán que ser creados en las instalaciones para que tengan el nombre de dominio federado disponible para ellos. Todavía podemos crear cuentas directamente en la nube, pero no podemos asignarle el nombre de dominio federado a menos que se creen en el local. Recordemos el escenario de integración de directorios Sincronización de directorios con inicio de sesión único que hablamos anteriormente.
Además, y como era de esperar, cuando el usuario inicia sesión en Azure AD con su cuenta federada, se le invita a autenticarse en la infraestructura de identidad local. Si el inicio de sesión único está configurado correctamente, de hecho notará que el usuario ni siquiera puede escribir una contraseña en la página web de inicio de sesión del servicio de inicio de sesión de Azure AD. La contraseña estará realmente sombreada. El usuario será redireccionado al proveedor de identidad local declarado.
Espero que les sea de interés y utilidad. Saludos, Roberto Di Lello.