PROBLEMA

Un usuario recién federado no puede iniciar sesión en un servicio en la nube de Microsoft como Office 365, Microsoft Azure o Microsoft Intune. El usuario experimenta uno de los siguientes síntomas:

  • Después de que el usuario escriba su id. de usuario en la página web de login.microsoftonline.com, el id. de usuario no se puede identificar como un usuario federado mediante la detección de dominios de inicio de sesión y el usuario no se redirige automáticamente a iniciar sesión a través del inicio de sesión único (SSO).

  • Se produce un error en la autenticación en servicios de federación de Active Directory (AD FS) y el usuario recibe el siguiente mensaje de error de autenticación basado en formularios:

    El nombre de usuario o la contraseña son incorrectos

    texto alternativo
  • El usuario recibe el siguiente mensaje de error en la login.microsoftonline.com web:

    Lo sentimos, pero tenemos problemas para firmarte

CAUSA

Estos síntomas pueden producirse debido a un id. de usuario habilitado para SSO mal piloto. Los requisitos generales para pilotar un id. de usuario habilitado para SSO son los siguientes:

  • La cuenta de usuario local de Active Directory debe usar el nombre de dominio federado como sufijo de nombre principal de usuario (UPN).

  • El id. de usuario y la dirección de correo electrónico principal del buzón Microsoft Exchange Online asociado no comparten el mismo sufijo de dominio.

  • La herramienta de sincronización de Azure Active Directory debe sincronizar la cuenta de usuario local de Active Directory con un id. de usuario basado en la nube.

  • El UPN de la cuenta de usuario local de Active Directory y el id. de usuario basado en la nube deben coincidir.

Antes de suponer que un id. de usuario habilitado para SSO mal piloto es la causa de este problema, asegúrese de que las condiciones siguientes son verdaderas:

  • El usuario no experimenta un problema común de inicio de sesión. Para obtener más información sobre cómo solucionar problemas comunes de inicio de sesión, vea el siguiente artículo de Microsoft Knowledge Base:

    2412085 No puede iniciar sesión en su cuenta de organización, como Office 365, Azure o Intune

  • El dominio federado está preparado correctamente para admitir SSO de la siguiente manera:

SOLUCIÓN

Para resolver este problema, asegúrese de que la cuenta de usuario se pilote correctamente como id. de usuario habilitado para SSO. Para ello, use uno o varios de los siguientes métodos:

Método 1: Consulte el artículo 2615736 de Knowledge Base si los usuarios reciben el error "Lo sentimos, pero tenemos problemas para iniciar sesión"

Si el usuario recibe un mensaje de error "Lo sentimos, pero tenemos problemas para iniciar sesión", use el siguiente artículo de Microsoft Knowledge Base para solucionar el problema:

2615736 Error "Lo sentimos, pero tenemos problemas para iniciar sesión" cuando un usuario intenta iniciar sesión en Office 365, Azure o Intune

Método 2: Actualizar el UPN de la cuenta de usuario local para usar el dominio federado como sufijo

Advertencia: Cambiar el UPN de una cuenta de usuario de Active Directory puede tener un efecto significativo en la funcionalidad local de Active Directory para el usuario. Le recomendamos que tenga cuidado y que se deba a los cambios de UPN.

El efecto posiblemente incluye lo siguiente:

  • Acceso remoto a recursos locales mediante la itinerancia de usuarios que inician sesión en el sistema operativo mediante credenciales almacenadas en caché

  • Tecnologías de autenticación de acceso remoto mediante certificados de usuario

  • Tecnologías de cifrado que se basan en certificados de usuario como MIME seguro (SMIME), tecnologías de administración de derechos de información (IRM) y la característica Sistema de archivos cifrado (EFS) de NTFS

  • Funcionalidad de tarjeta inteligente

Le recomendamos encarecidamente que pilote una sola cuenta de usuario para comprender mejor cómo la actualización del UPN afecta al acceso de los usuarios. La información es útil para planear con antelación o disminuir la reedición de certificados, la recuperación de datos y cualquier otra corrección necesaria para mantener la accesibilidad a los datos mediante estas tecnologías.

Debe actualizar el UPN de la cuenta de usuario para reflejar el sufijo de dominio federado tanto en el entorno local de Active Directory como en Azure AD. Para ello, siga estos pasos:

  1. Asegúrese de que el dominio federado se agrega como sufijo UPN:

    1. En el controlador de dominio local de Active Directory, haga clic en Inicio ,seleccione Todos los programas,haga clic en Herramientas administrativas y, a continuación, haga clic en Dominios y confianzas de Active Directory.

    2. Haga clic con el botón derecho en el nodo raíz de Dominios y confianzas de Active Directory,seleccione Propiedades y, después, asegúrese de que el nombre de dominio que se usa para SSO está presente.

    Nota Un sufijo de dominio no enrutable, como dominio.interno o el dominio domain.microsoftonline.com no puede aprovechar la funcionalidad de SSO o los servicios federados. No se debe usar un sufijo de dominio no enrutable en este paso.

  2. Actualice manualmente el sufijo UPN de la cuenta de usuario con problemas:

    1. En el controlador de dominio local de Active Directory, haga clic en Inicio ,seleccione Todos los programas, haga clic en Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

    2. Busque la cuenta de usuario problemática, haga clic con el botón derecho en la cuenta y, a continuación, haga clic en Propiedades.

    3. En la pestaña Cuenta, use la lista desplegable de la esquina superior izquierda para cambiar el sufijo UPN al dominio personalizado y, a continuación, haga clic en Aceptar.

Método 3: Asegúrese de que el id. de usuario y la dirección principal del Protocolo simple de transferencia de correo (SMTP) del buzón de Exchange Online tienen el mismo dominio

Use herramientas de administración de Exchange locales para establecer la dirección SMTP principal del usuario local en el mismo dominio del atributo UPN que se describe en método 2. Para obtener más información, vaya a los siguientes sitios web de Microsoft TechNet:

Editar una directiva de dirección de correo electrónico

Configurar las propiedades del buzón de usuario y recurso Si Exchange no está instalado en el entorno local, puede administrar el valor de la dirección SMTP con Usuarios y equipos de Active Directory. Para ello, siga estos pasos:

  1. En Usuarios y equipos de Active Directory, haga clic con el botón derecho en el objeto de usuario y, a continuación, haga clic en Propiedades.

  2. En la pestaña General, actualice el campo Correo electrónico y, a continuación, haga clic en Aceptar.

Método 4: Configurar la sincronización de Active Directory para upn de la cuenta de usuario

Para que el SSO funcione correctamente, debe configurar el cliente de sincronización de Active Directory. Para obtener más información sobre cómo configurar la sincronización de Active Directory, vaya al siguiente sitio web de Microsoft:

Sincronización de Active Directory: Guía básicaPara obtener más información sobre cómo forzar y comprobar la sincronización, vaya a los siguientes sitios web de Microsoft:

Método 5: Solucionar problemas de actualización de UPN para una cuenta de usuario específica

Si se puede comprobar la sincronización pero el UPN de un id. de usuario piloto aún no se actualiza, es posible que el problema de sincronización se produzca para el usuario específico.

Para obtener más información sobre cómo solucionar posibles problemas con la sincronización de un objeto específico de Active Directory, vea el siguiente artículo de Microsoft Knowledge Base:

2643629 Uno o varios objetos no se sincronizan al usar la herramienta de sincronización de Azure Active Directory


¿Aún necesita ayuda? Vaya a Microsoft Community o al sitio web de Foros de Azure Active Directory.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cómo de satisfecho está con la calidad de la traducción?
¿Qué ha afectado a tu experiencia?

¡Gracias por sus comentarios!

×