Habilitación del inicio de sesión único - AWS Directory Service
IE/ChromeFirefox

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación del inicio de sesión único

AWS Directory Service ofrece la posibilidad de permitir a los usuarios acceder a WorkDocs desde un equipo vinculado al directorio sin tener que introducir sus credenciales por separado.

Antes de habilitar el inicio de sesión único, debe tomar determinadas medidas adicionales para permitir que los navegadores web de los usuarios admitan la función de inicio de sesión único. Los usuarios pueden necesitar modificar la configuración de su navegador web para permitir el inicio de sesión único.

nota

La función de inicio de sesión único solo funciona en equipos que se hayan unido al directorio de Directory Service. No puede aplicarse en equipos que no estén vinculados al directorio.

Si el directorio es un directorio de Conector AD y la cuenta de servicio de Conector AD no tiene permiso para agregar o eliminar el atributo de nombre de la entidad principal del servicio, en los pasos 5 y 6 siguientes, tiene dos opciones:

  1. Puede continuar y se le pedirá el nombre de usuario y la contraseña de un usuario de directorio que tenga este permiso para agregar o eliminar el atributo del nombre de la entidad principal del servicio en la cuenta de servicio de Conector AD. Estas credenciales solo se usan para permitir el inicio de sesión único; el servicio no las guarda. Los permisos de la cuenta del servicio Conector AD no se cambian.

  2. Puede delegar permisos para permitir que la cuenta del servicio de Conector AD agregue o elimine el atributo del nombre de la entidad principal del propio servicio, puede ejecutar los siguientes comandos de PowerShell desde un equipo unido a un dominio utilizando una cuenta que tenga permisos para modificar los permisos en la cuenta del servicio de Conector AD. El siguiente comando le dará a la cuenta del servicio de Conector AD la capacidad de agregar y eliminar un atributo de nombre de la entidad principal del servicio solo para ella misma.

$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Habilitación o deshabilitación del inicio de sesión único con WorkDocs

  1. En el panel de navegación de la consola de AWS Directory Service, seleccione Directorios.

  2. En la página Directorios, elija el ID del directorio.

  3. En la página Directory details (Detalles del directorio), seleccione la pestaña Application management (Administración de aplicaciones).

  4. En la sección URL de acceso a la aplicación, elija Habilitar para habilitar el inicio de sesión único para WorkDocs.

    Si no ve el botón Habilitar, puede que tenga que crear primero una URL de acceso antes de que se muestre esta opción. Para obtener más información sobre cómo crear una URL de acceso, consulte Creación de una URL de acceso para el AWS Managed Microsoft AD.

  5. En el cuadro de diálogo Habilitar el inicio de sesión único para este directorio, elija Habilitar. El inicio de sesión único está habilitado para el directorio.

  6. Si más adelante desea deshabilitar el inicio de sesión único con WorkDocs, elija Deshabilitar y, a continuación, en el cuadro de diálogo Deshabilitar el inicio de sesión único para este directorio, vuelva a elegir Deshabilitar.

Inicio de sesión único en IE y Chrome

Para permitir que los navegadores Microsoft Internet Explorer (IE) y Google Chrome admitan la función de inicio de sesión único, deberá hacer lo siguiente en el equipo cliente:

  • Agregue su URL de acceso (por ejemplo, https://<alias>.awsapps.com) a la lista de sitios aprobados para inicio de sesión único.

  • Habilite la función de scripting activo (JavaScript).

  • Permita el inicio de sesión automático.

  • Habilite la autenticación integrada.

Usted o sus usuarios pueden realizar estas tareas manualmente, o bien pueden cambiar estos ajustes mediante la configuración de la política de grupo.

Actualización manual para inicio de sesión único en Windows

Para habilitar manualmente la función de inicio de sesión único en un equipo Windows, siga estos pasos en el equipo cliente. Es posible que algunos de estos ajustes estén ya establecidos correctamente.

Habilitación manual de la función de inicio de sesión único en Internet Explorer y Chrome en Windows

  1. Para abrir el cuadro de diálogo Internet Properties, elija el menú Start, escriba Internet Options en el cuadro de búsqueda y elija Internet Options.

  2. Añada su URL de acceso a la lista de sitios aprobados para inicio de sesión único siguiendo estos pasos:

    1. En el cuadro de diálogo Internet Properties, seleccione la pestaña Security.

    2. Seleccione Local intranet y elija Sites.

    3. En el cuadro de diálogo Local intranet, elija Advanced.

    4. Añada su URL de acceso a la lista de sitios web y elija Close.

    5. En el cuadro de diálogo Local intranet, elija OK.

  3. Para habilitar el scripting activo, siga estos pasos:

    1. En la pestaña Security del cuadro de diálogo Internet Properties, elija Custom level.

    2. En el cuadro de diálogo Security Settings - Local Intranet Zone, desplácese hasta Scripting y seleccione Enable en Active scripting.

    3. En el cuadro de diálogo Security Settings - Local Intranet Zone, elija OK.

  4. Para habilitar el inicio de sesión automático, siga estos pasos:

    1. En la pestaña Security del cuadro de diálogo Internet Properties, elija Custom level.

    2. En el cuadro de diálogo Security Settings - Local Intranet Zone, desplácese hasta User Authentication y seleccione Automatic logon only in Intranet zone en Logon.

    3. En el cuadro de diálogo Security Settings - Local Intranet Zone, elija OK.

    4. En el cuadro de diálogo Security Settings - Local Intranet Zone, elija OK.

  5. Para habilitar la autenticación integrada, siga estos pasos:

    1. En el cuadro de diálogo Internet Properties, seleccione la pestaña Advanced.

    2. Desplácese hasta Security y seleccione Enable Integrated Windows Authentication.

    3. En el cuadro de diálogo Internet Properties, seleccione OK.

  6. Cierre el navegador y vuelva a abrirlo para que se apliquen los cambios.

Actualización manual para inicio de sesión único en OS X

Para habilitar manualmente el inicio de sesión único para Chrome en OS X, siga estos pasos en el equipo cliente. Necesitará derechos de administrador en su equipo para poder completar estos pasos.

Habilitación manual de la función de inicio de sesión único en Chrome en OS X

  1. Agregue su URL de acceso a la política AuthServerAllowlist mediante la ejecución del siguiente comando:

    defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"

  2. Abra System Preferences, vaya al panel Profiles y elimine el perfil Chrome Kerberos Configuration.

  3. Reinicie Chrome y abra chrome://policy en Chrome para confirmar que se haya implementado la nueva configuración.

Configuración de la política de grupo para el inicio de sesión único

El administrador del dominio puede implementar una configuración de política de grupo para aplicar cambios en la configuración de inicio de sesión único en los equipos cliente vinculados al dominio.

nota

Si gestiona los navegadores web Chrome en los equipos de su dominio con políticas de Chrome, debe agregar su URL de acceso a la política AuthServerAllowlist. Para obtener más información sobre la configuración de políticas de Chrome, vaya a Policy Settings in Chrome (en inglés).

Habilitación del inicio de sesión único para Internet Explorer y Chrome mediante la configuración de la política de grupo

  1. Cree un nuevo objeto de política de grupo siguiendo estos pasos:

    1. Abra la herramienta de administración de directivas de grupo, navegue hasta su dominio y seleccione Group Policy Objects.

    2. En el menú principal, elija Action y seleccione New.

    3. En el cuadro de diálogo Nuevo GPO, escriba un nombre descriptivo para el objeto de políticas de grupo, como IAM Identity Center Policy, y deje GPO de inicio de origen establecido en (ninguno). Haga clic en OK (Aceptar).

  2. Añada la URL de acceso a la lista de sitios aprobados para inicio de sesión único siguiendo estos pasos:

    1. En la herramienta de administración de políticas de grupo, navegue hasta su dominio, seleccione Objetos de políticas de grupo, abra el menú contextual (clic con el botón derecho) de su política de IAM Identity Center y, a continuación, elija Editar.

    2. En el árbol de políticas, navegue a User Configuration > Preferences > Windows Settings.

    3. En la lista Windows Settings, abra el menú contextual (clic con el botón derecho) de Registry y elija New registry item.

    4. En el cuadro de diálogo New Registry Properties, especifique las siguientes opciones y elija OK:

      Acción

      Update

      Hive

      HKEY_CURRENT_USER

      Ruta

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      El valor de <alias> se deriva de la URL de acceso. Si su URL de acceso es https://examplecorp.awsapps.com, el alias será examplecorp, y la clave de registro será Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.

      Value name

      https

      Tipo de valor

      REG_DWORD

      Value data

      1

  3. Para habilitar el scripting activo, siga estos pasos:

    1. En la herramienta de administración de políticas de grupo, navegue hasta su dominio, seleccione Objetos de políticas de grupo, abra el menú contextual (clic con el botón derecho) de su política de IAM Identity Center y, a continuación, elija Editar.

    2. En el árbol de políticas, navegue a Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone.

    3. En la lista Intranet Zone, abra el menú contextual (clic con el botón derecho) para Allow active scripting y elija Edit.

    4. En el cuadro de diálogo Allow active scripting, especifique las siguientes opciones y elija OK:

      • Seleccione el botón de opción Enabled.

      • En Options ajuste Allow active scripting en Enable.

  4. Para habilitar el inicio de sesión automático, siga estos pasos:

    1. En la herramienta de administración de políticas de grupo, navegue hasta su dominio, seleccione Group Policy Objects, abra el menú contextual (clic con el botón derecho) de su política de inicio de sesión único y, a continuación, elija Edit.

    2. En el árbol de políticas, navegue a Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone.

    3. En la lista Intranet Zone, abra el menú contextual (clic con el botón derecho) para Logon options y elija Edit.

    4. En el cuadro de diálogo Logon options, especifique las siguientes opciones y elija OK:

      • Seleccione el botón de opción Enabled.

      • En Options ajuste Logon options en Automatic logon only in Intranet zone.

  5. Para habilitar la autenticación integrada, siga estos pasos:

    1. En la herramienta de administración de políticas de grupo, navegue hasta su dominio, seleccione Objetos de políticas de grupo, abra el menú contextual (clic con el botón derecho) de su política de IAM Identity Center y, a continuación, elija Editar.

    2. En el árbol de políticas, navegue a User Configuration > Preferences > Windows Settings.

    3. En la lista Windows Settings, abra el menú contextual (clic con el botón derecho) de Registry y elija New registry item.

    4. En el cuadro de diálogo New Registry Properties, especifique las siguientes opciones y elija OK:

      Acción

      Update

      Hive

      HKEY_CURRENT_USER

      Ruta

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      Value name

      EnableNegotiate

      Tipo de valor

      REG_DWORD

      Value data

      1

  6. Cierre la ventana de Group Policy Management Editor si aún está abierta.

  7. Asigne la nueva política a su dominio siguiendo estos pasos:

    1. En el árbol de administración de la directiva de grupo, abra el menú contextual (clic con el botón derecho) de su dominio y elija Link an Existing GPO.

    2. En la lista Objetos de políticas de grupo, seleccione su política de IAM Identity Center y elija Aceptar.

Estos cambios se aplicarán tras la siguiente actualización de la política de grupo en el cliente o la siguiente vez que el usuario inicie sesión.

Inicio de sesión único en Firefox

Para permitir que el navegador Mozilla Firefox admita el inicio de sesión único, agregue su URL de acceso (por ejemplo, https://<alias>.awsapps.com) a la lista de sitios aprobados para inicio de sesión único. Esto puede hacerse manualmente o con un script automatizado.

Actualización manual para inicio de sesión único

Para añadir manualmente su URL de acceso a la lista de sitios aprobados en Firefox, siga estos pasos en el equipo cliente.

Para añadir manualmente su URL de acceso a la lista de sitios aprobados en Firefox

  1. Abra Firefox y abra luego la página about:config.

  2. Abra la preferencia network.negotiate-auth.trusted-uris y agregue su URL de acceso a la lista de sitios. Utilice una coma (,) para separar varias entradas.

Actualización automática para inicio de sesión único

Como administrador del dominio, puede utilizar un script para agregar su URL de acceso a la preferencia de usuario network.negotiate-auth.trusted-uris de Firefox en todos los equipos que haya en la red. Para obtener más información, consulte https://support.mozilla.org/es-es/questions/939037.