Puede elegir entre tres modelos de identidad principales en Office 365 cuando configura y administra cuentas de usuario:
Administre sus cuentas de usuario solo en Office 365. No se requieren servidores locales para administrar usuarios; Todo se realiza en la nube. |
Sincronice los objetos de directorio locales con Office 365 y administre a los usuarios en el entorno local. También puede sincronizar las contraseñas para que los usuarios tengan la misma contraseña en las instalaciones y en la nube, pero tendrán que iniciar sesión nuevamente para utilizar Office 365. |
Sincronice los objetos de directorio locales con Office 365 y administre a los usuarios en el entorno local. Los usuarios tienen la misma contraseña en las instalaciones y en la nube, y no es necesario volver a iniciar sesión para utilizar Office 365. A menudo, esto se conoce como inicio de sesión único. |
Es importante considerar cuidadosamente qué modelo de identidad utilizar para ponerse en marcha. Piense en el tiempo, la complejidad existente y el costo. Estos factores son diferentes para cada organización; En este tema se revisarán estos conceptos clave para cada modelo de identidad con el fin de ayudarle a elegir la identidad que desea usar para la implementación.
También puede cambiar a un modelo de identidad diferente si sus requisitos cambian.
En este modelo, los usuarios se crean y administran en el portal de Microsoft Office y se almacenan las cuentas en Azure AD. Azure AD verifica las contraseñas. Azure AD es el directorio de nube que utiliza Office 365. No se requieren servidores locales: Microsoft administra todo eso por usted. Cuando la identidad y la autenticación se manejan completamente en la nube, puede administrar las cuentas de usuario y las licencias de usuario a través del Portal en línea de Microsoft o los cmdlets de Windows PowerShell.
El siguiente gráfico resume cómo administrar usuarios en el modelo de identidad en la nube.
El administrador se conecta al portal en línea de Microsoft en la plataforma de nube de Microsoft para crear o administrar usuarios.
Las solicitudes de creación o administración se transfieren a Azure AD.
Si se trata de una solicitud de cambio, el cambio se realiza y se vuelve a copiar en el portal de Microsoft Office
Las cuentas de usuario nuevas y los cambios en las cuentas de usuario existentes se copian nuevamente en el portal de Microsoft Office.
¿Cuándo utilizaría la identidad en la nube? La identidad en la nube es una buena opción si:
Si tiene un entorno de directorio existente en el entorno local, puede integrar Office 365 con el directorio mediante el uso de la identidad sincronizada o el inicio de sesión único y la identidad federada para crear y administrar los usuarios en Office 365.
En este modelo, se administra la identidad del usuario en un servidor local y se sincronizan las cuentas y, opcionalmente, las contraseñas en la nube. El usuario escribe la misma contraseña en el entorno local que en la nube y, al iniciar sesión, Azure AD verifica la contraseña. Este modelo usa una herramienta de sincronización de directorios para sincronizar la identidad local con Office 365.
Para configurar el modelo de identidad sincronizada, debe tener un directorio local desde el que sincronizarse e instalar una herramienta de sincronización de directorios. Ejecutará algunas comprobaciones de coherencia en el directorio local antes de sincronizar las cuentas.
Cuándo usar identidades sincronizadas o federadas:
Este modelo: |
Funciona en estas situaciones: |
Identidades sincronizadas |
Cuando tiene un directorio en las instalaciones y desea sincronizar las cuentas de usuario y, opcionalmente, las contraseñas. Si también sincroniza contraseñas, los usuarios usarán la misma contraseña para acceder a los recursos locales y a Office 365. Cuando en última instancia desea identidades federadas, pero está ejecutando un piloto de Office 365 o, por algún otro motivo, aún no está listo para dedicar tiempo a implementar los servidores de Active Directory Federation Services (AD FS). |
Identidades federadas |
Cuando necesita un escenario avanzado, como los requisitos técnicos, de políticas o de federación existentes |
En el siguiente diagrama se muestra un escenario de identidad sincronizada con una sincronización de contraseñas. La herramienta de sincronización mantiene sincronizadas las identidades de usuario corporativo en las instalaciones y en la nube.
Se instala Microsoft Azure Active Directory Connect.
Los usuarios nuevos se crean en el directorio local.
La herramienta de sincronización comprobará periódicamente el directorio local en busca de nuevas identidades que haya creado. A continuación, aprovisiona estas identidades en Azure AD, vincula las identidades locales y en la nube entre sí, sincroniza las contraseñas y las hace visibles a través del portal de Microsoft Office.
A medida que realiza cambios en los usuarios del directorio local, esos cambios se sincronizan con Azure AD y se ponen a su disposición a través del portal de Microsoft Office.
Este modelo requiere una identidad sincronizada, pero con un cambio en ese modelo: el proveedor de identidades local verifica la contraseña del usuario. Esto significa que no es necesario sincronizar el hash de contraseña con Azure AD. Este modelo utiliza Active Directory Federation Services (AD FS) o un proveedor de identidades de terceros.
Entre las razones para usar una identidad federada, se incluyen las siguientes:
Infraestructura existente
Requisitos técnicos
Requisitos de la política
En el siguiente diagrama se muestra un escenario de identidad federada con una implementación híbrida en las instalaciones y en la nube. El directorio local de este ejemplo es AD FS. La herramienta de sincronización mantiene sincronizadas las identidades de usuario corporativo en las instalaciones y en la nube.
Instale Azure Active Directory Connect La herramienta de sincronización ayuda a mantener Azure AD actualizado con los cambios más recientes que realice en el directorio local. Deberá usar una instalación personalizada de Azure AD Connect para configurar el inicio de sesión único.
Los usuarios nuevos se crean en Active Directory local.
La herramienta de sincronización comprobará periódicamente el servidor de Active Directory local en busca de nuevas identidades que haya creado. A continuación, aprovisiona estas identidades en Azure AD, vincula las identidades locales y en la nube entre sí y las hace visibles a través del portal de Microsoft Office.
A medida que se realizan cambios en la identidad en Active Directory local, esos cambios se sincronizan con Azure AD.
Estos cambios están disponibles para usted a través del portal de Microsoft Office.
Los usuarios federados inician sesión con su AD FS.
AD FS genera un token de seguridad y ese token se pasa a Azure AD. El token se verifica y valida y, a continuación, los usuarios se autorizan para Office 365.