Inicio de sesión único - AWS Directory Service
IE/ChromeFirefox

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Inicio de sesión único

AWS Directory Service ofrece la posibilidad de permitir a los usuarios acceder a Amazon WorkDocs desde un ordenador unido al directorio sin tener que introducir sus credenciales por separado.

Antes de habilitar el inicio de sesión único, debe tomar determinadas medidas adicionales para permitir que los navegadores web de los usuarios admitan la función de inicio de sesión único. Los usuarios pueden necesitar modificar la configuración de su navegador web para permitir el inicio de sesión único.

nota

La función de inicio de sesión único solo funciona en equipos que se hayan unido al directorio de AWS Directory Service . No puede aplicarse en equipos que no estén vinculados al directorio.

Si el directorio es un directorio de AD Connector y la cuenta de servicio de AD Connector no tiene permiso para agregar o eliminar el atributo de nombre de la entidad principal del servicio, en los pasos 5 y 6 siguientes, tiene dos opciones:

  1. Puede continuar y se le pedirá el nombre de usuario y la contraseña de un usuario de directorio que tenga este permiso para agregar o eliminar el atributo del nombre de la entidad principal del servicio en la cuenta de servicio de AD Connector. Estas credenciales solo se usan para permitir el inicio de sesión único; el servicio no las guarda. Los permisos de la cuenta del servicio AD Connector no se cambian.

  2. Puede delegar permisos para permitir que la cuenta de servicio de AD Connector añada o elimine el atributo de nombre principal del servicio por sí misma. Puede ejecutar los siguientes PowerShell comandos desde un equipo unido a un dominio mediante una cuenta que tenga permisos para modificar los permisos de la cuenta de servicio de AD Connector. El siguiente comando le dará a la cuenta del servicio de AD Connector la capacidad de agregar y eliminar un atributo de nombre de la entidad principal del servicio solo para ella misma.

$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE 
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath" 
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Para activar o desactivar el inicio de sesión único con Amazon WorkDocs

  1. En el panel de navegación de la consola de AWS Directory Service, seleccione Directorios.

  2. En la página Directories (Directorios), elija el ID del directorio.

  3. En la página Directory details (Detalles del directorio), seleccione la pestaña Application management (Administración de aplicaciones).

  4. En la sección URL de acceso a la aplicación, selecciona Habilitar para habilitar el inicio de sesión único en Amazon. WorkDocs

    Si no ve el botón Habilitar, puede que tenga que crear primero una URL de acceso antes de que se muestre esta opción. Para obtener más información sobre cómo crear una URL de acceso, consulte Creación de una URL de acceso.

  5. En el cuadro de diálogo Habilitar el inicio de sesión único para este directorio, elija Habilitar. El inicio de sesión único está habilitado para el directorio.

  6. Si más adelante quieres deshabilitar el inicio de sesión único con Amazon WorkDocs, selecciona Inhabilitar y, a continuación, en el cuadro de diálogo Inhabilitar el inicio de sesión único para este directorio, selecciona Inhabilitar de nuevo.

Inicio de sesión único en IE y Chrome

Para permitir que los navegadores Microsoft Internet Explorer (IE) y Google Chrome admitan la función de inicio de sesión único, deberá hacer lo siguiente en el equipo cliente:

  • Agregue su URL de acceso (por ejemplo, https://<alias>.awsapps.com) a la lista de sitios aprobados para inicio de sesión único.

  • Habilita las secuencias de comandos activas (). JavaScript

  • Permita el inicio de sesión automático.

  • Habilite la autenticación integrada.

Usted o sus usuarios pueden realizar estas tareas manualmente, o bien pueden cambiar estos ajustes mediante la configuración de la política de grupo.

Actualización manual para inicio de sesión único en Windows

Para habilitar manualmente la función de inicio de sesión único en un equipo Windows, siga estos pasos en el equipo cliente. Es posible que algunos de estos ajustes estén ya establecidos correctamente.

Habilitación manual de la función de inicio de sesión único en Internet Explorer y Chrome en Windows

  1. Para abrir el cuadro de diálogo Internet Properties, elija el menú Start, escriba Internet Options en el cuadro de búsqueda y elija Internet Options.

  2. Añada su URL de acceso a la lista de sitios aprobados para inicio de sesión único siguiendo estos pasos:

    1. En el cuadro de diálogo Internet Properties, seleccione la pestaña Security.

    2. Seleccione Local intranet y elija Sites.

    3. En el cuadro de diálogo Local intranet, elija Advanced.

    4. Añada su URL de acceso a la lista de sitios web y elija Close.

    5. En el cuadro de diálogo Local intranet, elija OK.

  3. Para habilitar el scripting activo, siga estos pasos:

    1. En la pestaña Security del cuadro de diálogo Internet Properties, elija Custom level.

    2. En el cuadro de diálogo Security Settings - Local Intranet Zone, desplácese hasta Scripting y seleccione Enable en Active scripting.

    3. En el cuadro de diálogo Security Settings - Local Intranet Zone, elija OK.

  4. Para habilitar el inicio de sesión automático, siga estos pasos:

    1. En la pestaña Security del cuadro de diálogo Internet Properties, elija Custom level.

    2. En el cuadro de diálogo Security Settings - Local Intranet Zone, desplácese hasta User Authentication y seleccione Automatic logon only in Intranet zone en Logon.

    3. En el cuadro de diálogo Security Settings - Local Intranet Zone, elija OK.

    4. En el cuadro de diálogo Security Settings - Local Intranet Zone, elija OK.

  5. Para habilitar la autenticación integrada, siga estos pasos:

    1. En el cuadro de diálogo Internet Properties, seleccione la pestaña Advanced.

    2. Desplácese hasta Security y seleccione Enable Integrated Windows Authentication.

    3. En el cuadro de diálogo Internet Properties, seleccione OK.

  6. Cierre el navegador y vuelva a abrirlo para que se apliquen los cambios.

Actualización manual para inicio de sesión único en OS X

Para habilitar manualmente el inicio de sesión único para Chrome en OS X, siga estos pasos en el equipo cliente. Necesitará derechos de administrador en su equipo para poder completar estos pasos.

Habilitación manual de la función de inicio de sesión único en Chrome en OS X

  1. Añada su URL de acceso a la AuthServerAllowlistpolítica ejecutando el siguiente comando:

    defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"

  2. Abra System Preferences, vaya al panel Profiles y elimine el perfil Chrome Kerberos Configuration.

  3. Reinicie Chrome y abra chrome://policy en Chrome para confirmar que se haya implementado la nueva configuración.

Configuración de la política de grupo para el inicio de sesión único

El administrador del dominio puede implementar una configuración de política de grupo para aplicar cambios en la configuración de inicio de sesión único en los equipos cliente vinculados al dominio.

nota

Si administras los navegadores web Chrome en los ordenadores de tu dominio con políticas de Chrome, debes añadir tu URL de acceso a la AuthServerAllowlistpolítica. Para obtener más información sobre la configuración de políticas de Chrome, vaya a Policy Settings in Chrome (en inglés).

Habilitación del inicio de sesión único para Internet Explorer y Chrome mediante la configuración de la política de grupo

  1. Cree un nuevo objeto de política de grupo siguiendo estos pasos:

    1. Abra la herramienta de administración de directivas de grupo, navegue hasta su dominio y seleccione Group Policy Objects.

    2. En el menú principal, elija Action y seleccione New.

    3. En el cuadro de diálogo Nuevo GPO, escriba un nombre descriptivo para el objeto de políticas de grupo, como IAM Identity Center Policy, y deje GPO de inicio de origen establecido en (ninguno). Haga clic en OK (Aceptar).

  2. Añada la URL de acceso a la lista de sitios aprobados para inicio de sesión único siguiendo estos pasos:

    1. En la herramienta de administración de políticas de grupo, navegue hasta su dominio, seleccione Objetos de políticas de grupo, abra el menú contextual (clic con el botón derecho) de su política de IAM Identity Center y, a continuación, elija Editar.

    2. En el árbol de políticas, navegue a User Configuration > Preferences > Windows Settings.

    3. En la lista Windows Settings, abra el menú contextual (clic con el botón derecho) de Registry y elija New registry item.

    4. En el cuadro de diálogo New Registry Properties, especifique las siguientes opciones y elija OK:

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      Ruta

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      El valor de <alias> se deriva de la URL de acceso. Si su URL de acceso es https://examplecorp.awsapps.com, el alias será examplecorp, y la clave de registro será Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.

      Value name

      https

      Value type

      REG_DWORD

      Value data

      1

  3. Para habilitar el scripting activo, siga estos pasos:

    1. En la herramienta de administración de políticas de grupo, navegue hasta su dominio, seleccione Objetos de políticas de grupo, abra el menú contextual (clic con el botón derecho) de su política de IAM Identity Center y, a continuación, elija Editar.

    2. En el árbol de políticas, navegue a Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone.

    3. En la lista Intranet Zone, abra el menú contextual (clic con el botón derecho) para Allow active scripting y elija Edit.

    4. En el cuadro de diálogo Allow active scripting, especifique las siguientes opciones y elija OK:

      • Seleccione el botón de opción Enabled.

      • En Options ajuste Allow active scripting en Enable.

  4. Para habilitar el inicio de sesión automático, siga estos pasos:

    1. En la herramienta de administración de políticas de grupo, navegue hasta su dominio, seleccione Group Policy Objects, abra el menú contextual (clic con el botón derecho) de su política de inicio de sesión único y, a continuación, elija Edit.

    2. En el árbol de políticas, navegue a Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone.

    3. En la lista Intranet Zone, abra el menú contextual (clic con el botón derecho) para Logon options y elija Edit.

    4. En el cuadro de diálogo Logon options, especifique las siguientes opciones y elija OK:

      • Seleccione el botón de opción Enabled.

      • En Options ajuste Logon options en Automatic logon only in Intranet zone.

  5. Para habilitar la autenticación integrada, siga estos pasos:

    1. En la herramienta de administración de políticas de grupo, navegue hasta su dominio, seleccione Objetos de políticas de grupo, abra el menú contextual (clic con el botón derecho) de su política de IAM Identity Center y, a continuación, elija Editar.

    2. En el árbol de políticas, navegue a User Configuration > Preferences > Windows Settings.

    3. En la lista Windows Settings, abra el menú contextual (clic con el botón derecho) de Registry y elija New registry item.

    4. En el cuadro de diálogo New Registry Properties, especifique las siguientes opciones y elija OK:

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      Ruta

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      Value name

      EnableNegotiate

      Value type

      REG_DWORD

      Value data

      1

  6. Cierre la ventana de Group Policy Management Editor si aún está abierta.

  7. Asigne la nueva política a su dominio siguiendo estos pasos:

    1. En el árbol de administración de la directiva de grupo, abra el menú contextual (clic con el botón derecho) de su dominio y elija Link an Existing GPO.

    2. En la lista Objetos de políticas de grupo, seleccione su política de IAM Identity Center y elija Aceptar.

Estos cambios se aplicarán tras la siguiente actualización de la política de grupo en el cliente o la siguiente vez que el usuario inicie sesión.

Inicio de sesión único en Firefox

Para permitir que el navegador Mozilla Firefox admita el inicio de sesión único, agregue su URL de acceso (por ejemplo, https://<alias>.awsapps.com) a la lista de sitios aprobados para inicio de sesión único. Esto puede hacerse manualmente o con un script automatizado.

Actualización manual para inicio de sesión único

Para añadir manualmente su URL de acceso a la lista de sitios aprobados en Firefox, siga estos pasos en el equipo cliente.

Para añadir manualmente su URL de acceso a la lista de sitios aprobados en Firefox

  1. Abra Firefox y abra luego la página about:config.

  2. Abra la preferencia network.negotiate-auth.trusted-uris y agregue su URL de acceso a la lista de sitios. Utilice una coma (,) para separar varias entradas.

Actualización automática para inicio de sesión único

Como administrador del dominio, puede utilizar un script para agregar su URL de acceso a la preferencia de usuario network.negotiate-auth.trusted-uris de Firefox en todos los equipos que haya en la red. Para obtener más información, consulte https://support.mozilla.org/es-es/questions/939037.