Error al intentar configurar otro dominio federado en Office 365, Azure o Intune: el identificador de servicio de federación especificado en el servidor de AD FS 2.0 ya está en uso.
En este artículo se proporciona información sobre cómo resolver un problema en el que recibe un mensaje de error al ejecutar el comando o el comando mediante el New-MSOLFederatedDomainConvert-MSOLDomainToFederated módulo de Azure Active Directory para Windows PowerShell.
Versión del producto original: Cloud Services (roles web/roles de trabajo), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Número de KB original: 2618887
Nota:
Los módulos de PowerShell de Azure AD y MSOnline quedarán obsoletos a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, el soporte técnico de estos módulos se limita a la asistencia para la migración al SDK de Microsoft Graph PowerShell y a las correcciones de seguridad. Los módulos obsoletos seguirán funcionando hasta el 30 de marzo de 2025.
Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener respuesta a las preguntas más comunes sobre la migración, consulte las Preguntas frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.
Síntomas
En un servicio en la nube de Microsoft, como Office 365, Microsoft Azure o Microsoft Intune, no se puede configurar un segundo dominio federado en un servidor de Servicios de federación de Active Directory (AD FS) (AD FS). Al usar el módulo de Azure Active Directory para Windows PowerShell ejecutar el New-MSOLFederatedDomain comando o el Convert-MSOLDomainToFederated comando, recibirá el siguiente mensaje de error:
El identificador de servicio de federación especificado en el servidor de Servicios de federación de Active Directory (AD FS) 2.0 ya está en uso. Corrija este valor en la consola de administración de AD FS 2.0 y vuelva a ejecutar el comando.
Causa
El sistema de autenticación de Microsoft Entra requiere un identificador uniforme de recursos (URI) de marca de federación único para cada dominio federado. De forma predeterminada, AD FS usa un valor global para todas las confianzas federadas. Al intentar federar un segundo dominio en un escenario en el que ya existe una confianza federada, se produce un error en la solicitud porque el URI ya se está usando.
Solución
Para resolver el problema, debe usar el -supportmultipledomain modificador para agregar o convertir todos los dominios federados por el servicio en la nube. Esto incluye los dominios federados que ya existen.
Paso 1: Instalación del paquete acumulativo de actualizaciones 1 para AD FS 2.0
En cada nodo de la granja de servicios de federación de AD FS 2.0, descargue e instale el paquete acumulativo de actualizaciones 1 para AD FS 2.0. Para obtener más información sobre cómo descargar e instalar el paquete acumulativo de actualizaciones 1 para AD FS 2.0, consulte Descripción del paquete acumulativo de actualizaciones 1 para Servicios de federación de Active Directory (AD FS) (AD FS) 2.0.
Nota:
Esta actualización requiere un reinicio del equipo. Si no reinicia el equipo, experimentará el problema "Lo sentimos, pero tenemos problemas para iniciar sesión" y el error "8004789A" cuando un usuario federado intenta iniciar sesión en Office 365, Azure o Intune.
Paso 2: Comprobar que el Update-MSOLFederatedDomain comando se puede ejecutar correctamente en el entorno de AD FS
Seleccione Iniciar>todos los programas>de Windows Azure Active Directory, haga clic con el botón derecho en el módulo de Windows Azure Active Directory para Windows PowerShell y seleccione Ejecutar como administrador.
En el símbolo del sistema, ejecute los siguientes comandos en el orden en que se presentan. Presione Entrar después de cada comando.
Connect-MSOLServiceNota:
Cuando se le solicite, escriba las credenciales de administrador global del servicio en la nube.
Set-MSOLADFSContext -Computer <AD FS 2.0 server name>Nota:
En este comando, <el nombre> del servidor de AD FS 2.0 es el nombre de equipo de un nodo de la granja de servidores del servicio de federación de AD FS.
Update-MSOLFederatedDomain -DomainName <Federated Domain Name>Nota:
En este comando, <Nombre> de dominio federado es el nombre del dominio que ya está federado con Microsoft Entra ID para el inicio de sesión único (SSO).
Si el
Update-MSOLFederatedDomaincomando se realiza correctamente y no recibe mensajes de error, vaya al paso 3 para quitar la confianza federada del servidor de AD FS.
Paso 3: Actualización de la confianza federada en el servidor de AD FS
Advertencia
Los pasos siguientes deben planearse cuidadosamente. Los usuarios para los que la funcionalidad de SSO está habilitada en el dominio federado no podrán autenticarse entre la finalización de los pasos C y D. Si la prueba de comandos Update-MSOLFederatedDomain del paso 2 no se completó correctamente, el paso D de este procedimiento no finalizará correctamente. Los usuarios federados no podrán autenticarse hasta que el Update-MSOLFederatedDomain comando se pueda ejecutar correctamente.
Inicie sesión en la consola del servidor de AD FS, seleccione Iniciar> todas lasherramientas administrativasde programas> y, a continuación, seleccione Administración de AD FS (2.0).
En el panel de navegación izquierdo, seleccione AD FS (2.0), seleccione Relaciones de confianza y, a continuación, seleccione Confianzas de usuario de confianza.
En el panel de la derecha, elimine la entrada Microsoft Office 365 Identity Platform.
Vuelva a crear el objeto de confianza eliminado mediante el
-supportmultipledomainmodificador . En la ventana de PowerShell que está abierta desde el paso 1C, ejecute el siguiente comando y, a continuación, presione Entrar:Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain
Nota:
En este comando, <Nombre> de dominio federado es el nombre del dominio que ya está federado con el servicio en la nube para el inicio de sesión único.
Paso 4: Usar el -supportmultipledomain modificador para agregar o convertir dominios federados adicionales
Después de actualizar la confianza existente en el paso 2, use el modificador -supportmultipledomain para agregar o convertir dominios federados adicionales. Este modificador informa al comando de que use un espacio de nombres URI único para cada dominio federado por el servicio en la nube. Para ello, use una de las siguientes sintaxis de comandos:
New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain
Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain
Nota:
En este comando, <el nombre> de dominio representa el nombre del dominio que intenta federar.
Solución alternativa
Implemente una granja de servicios de federación de AD FS para federar todos los dominios de servicio en la nube para los que se usarán las características de SSO. Puede encontrar instrucciones de implementación de AD FS para Office 365 en el artículo siguiente:
Guía de implementación paso a paso: planeación e implementación de Servicios de federación de Active Directory (AD FS) 2.0 para su uso con el inicio de sesión único
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de