Uso de WS-FED para registrar dispositivos con Windows 10 con Azure AD
Azure AD permite el registro de cualquier dispositivo con Windows 10 como dispositivo de confianza. Los usuarios pueden usar este dispositivo registrado para acceder sin problemas a los servicios protegidos de Azure sin afectar la seguridad de los activos de TI.
casso1283
A partir de la versión 12.8.03, Azure AD permite el registro de cualquier dispositivo con Windows 10 como dispositivo de confianza. Los usuarios pueden usar este dispositivo registrado para acceder sin problemas a los servicios protegidos de Azure sin afectar la seguridad de los activos de TI.
El proceso de alto nivel incluye lo siguiente:
- SiteMinder como proveedor de identidades autentica a un usuario y genera una aserción para que Azure AD actúe como parte confidente.
- Azure AD acepta la aserción y permite a los usuarios registrar dispositivos con Windows 10 y, a continuación, les permite acceder sin problemas a servicios protegidos por Azure como, por ejemplo, Office 365.
Mire el siguiente vídeo para obtener una demostración sobre cómo registrar dispositivos con Windows 10 con Azure AD:
Configuración
El proceso de configuración incluye los pasos siguientes:
- Integrar Office 365 con SiteMinder mediante el runbook de Office 365.Realizar la sincronización de usuarios y la sincronización de dispositivos en Azure AD usando la herramienta AAD Connect.Habilitar Service Connection Point usando la herramienta AAD Connect.Para obtener más información, consulte el sitio web de Microsoft.
- Configure una asociación de federaciones de WS-FED en SiteMinder con las siguientes configuraciones:
- Seleccione la opciónEliminar saltos de línea en la asercióngenerada en el cuadro de diálogo Configuración de la aserción.
- Especifique el atributoObjectSID;binaryde Active Directory con el formatoAD:objectSid;binaryen el cuadro de diálogo Configuración de la aserción.
- (Opcional) SeleccioneAlgoritmo de firmaen el cuadro de diálogo Firma.
Comandos de registro de dispositivos
Cualquier dispositivo autenticado por SiteMinder como proveedor de identidades se puede registrar con Azure AD. Al unir el dispositivo en Azure AD, se registra.
Unión de un dispositivo
Comando:
dsregcmd /join /debug
Respuesta correcta:
DsrCmdJoinHelper::Join: AutoEnrollAsComputer completed successfullyDSREGCMD_END_STATUSAzureAdJoined : YES
Búsqueda del estado de un dispositivo
Después de unir el dispositivo, compruebe el estado del dispositivo antes de continuar con los siguientes pasos.
Comando:
dsregcmd /status /debug
Respuesta correcta:
+----------------------------------------------------------------------+| Device State |+----------------------------------------------------------------------+AzureAdJoined : YESEnterpriseJoined : NODomainJoined : YESDomainName : BROADCOM
Comandos de registro de usuarios
Cuando un usuario inicia sesión en el dispositivo que está registrado con Azure AD, SiteMinder autentica al usuario y genera una aserción en Azure AD. Azure AD utiliza la aserción para generar PRT para el usuario, con lo que el usuario puede acceder sin problemas a los servicios protegidos de Azure.
Búsqueda del estado de un usuario
Se puede verificar si un usuario tiene un PRT para acceder a los servicios protegidos de Azure.
Comando:
Dsregcmd /status /debug
Respuesta correcta:
+----------------------------------------------------------------------+| SSO State |+----------------------------------------------------------------------+AzureAdPrt : YESAzureAdPrtUpdateTime : 2019-08-29 09:15:00.000 UTCAzureAdPrtExpiryTime : 2019-09-12 09:15:49.000 UTCAzureAdPrtAuthority : https://login.microsoftonline.com/682390bb-69bf-4491-9330-a23013c140bc EnterprisePrt : NOEnterprisePrtAuthority :