Solución de problemas de conexión de punto de conexión de AD FS cuando los usuarios inician sesión en Microsoft 365, Intune o Azure

  • Artículo
  • Se aplica a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Cuando los usuarios inician sesión en un servicio en la nube de Microsoft como Microsoft 365, Microsoft Intune o Microsoft Azure mediante una cuenta de usuario federada, la conexión al servicio Servicios de federación de Active Directory (AD FS) (AD FS) solo se produce cuando los usuarios intentan hacer lo siguiente:

  • Conexión desde una ubicación remota de Internet
  • Uso de conexiones de correo electrónico para iniciar sesión

Esta situación también hace que se produzcan errores en las pruebas de SSO que realiza el Analizador de conectividad remota.

Para obtener más información sobre cómo ejecutar el Analizador de conectividad remota para probar la autenticación de SSO en Microsoft 365, consulte los siguientes artículos en Microsoft Knowledge Base:

  • 2650717 Uso del Analizador de conectividad remota para solucionar problemas de inicio de sesión único en Microsoft 365, Azure o Intune
  • 2466333 los usuarios federados no pueden conectarse a un buzón de Exchange Online

Causa

Estos errores pueden producirse si el servicio de AD FS no se expone correctamente a Internet. Normalmente, el servidor proxy de AD FS se usa para este propósito y los problemas con el servidor proxy de AD FS provocarán estos síntomas. Entre los problemas comunes se incluyen los siguientes:

  • Certificado SSL expirado asignado al servidor proxy de AD FS

    Con frecuencia, se usa el mismo certificado SSL para ayudar a proteger la comunicación (HTTPS) tanto para el servicio de federación de AD FS como para el servidor proxy de AD FS. Cuando este certificado expira y el certificado se renueva o actualiza en la granja de servicios de federación de AD FS, el certificado SSL también debe actualizarse en todos los servidores proxy de AD FS. Si el certificado SSL del servidor proxy de AD FS no se actualiza en este caso, es posible que se produzcan errores en las conexiones de Internet al servicio AD FS, aunque el servicio de federación de AD FS esté en buen estado.

  • Configuración incorrecta de los puntos de conexión de autenticación de IIS

    El rol del servidor proxy de AD FS es recibir la comunicación de Internet dirigida a AD FS y retransmitir esa comunicación al servicio de federación de AD FS. Por lo tanto, es importante que la configuración de autenticación de IIS del servicio de federación de AD FS y el servidor proxy sean complementarias. Cuando la configuración de autenticación iis del servidor proxy de AD FS no está establecida para complementar la configuración de autenticación de IIS del servicio de federación de AD FS, es posible que se produzca un error en el inicio de sesión o que se generen varias solicitudes inesperadas.

  • Confianza rota entre el servidor proxy de AD FS y el servicio de federación de AD FS

    El servicio proxy de AD FS está diseñado para instalarse en un equipo no unido a un dominio. Por lo tanto, la comunicación entre el servidor proxy de AD FS y el servicio de federación de AD FS no puede basarse en una confianza o credenciales de Active Directory. En su lugar, la comunicación entre estos dos roles de servidor se establece mediante un token emitido al servidor proxy de AD FS por el servicio de federación de AD FS y firmado por el certificado de firma de tokens de AD FS. Cuando esta confianza ha expirado o no es válida, el servicio proxy de AD FS no puede retransmitir solicitudes de AD FS y la confianza se debe volver a generar para restaurar la funcionalidad.

Solución

Para resolver este problema, use uno de los métodos siguientes, según corresponda para su situación, en todos los servidores proxy de AD FS que no funcionen correctamente.

Método 1: Corrección de problemas de certificado SSL de AD FS en el servidor de AD FS

Para ello, siga estos pasos:

  1. Solución de problemas de certificados SSL en el servicio de federación de AD FS (no en el servicio proxy) mediante el siguiente artículo de Microsoft Knowledge Base:

    2523494 Recibe una advertencia de certificado de AD FS al intentar iniciar sesión en Microsoft 365, Azure o Intune

  2. Si el certificado SSL del servicio de federación de AD FS funciona correctamente, actualice el certificado SSL en el servidor proxy de AD FS mediante las funciones de exportación e importación de certificados. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:
    179380 Eliminación, importación y exportación de certificados digitales

Método 2: Restablecer la configuración de autenticación de IIS del servidor proxy de AD FS de forma predeterminada

Para ello, siga los pasos que se describen en la Resolución 1 del siguiente artículo de Microsoft Knowledge Base para el servidor proxy de AD FS:

2461628 Se solicitan repetidamente credenciales a un usuario federado durante el inicio de sesión en Microsoft 365, Azure o Intune

Método 3: Volver a ejecutar el Asistente para configuración de proxy de AD FS

Para ello, vuelva a ejecutar el Asistente para configuración de proxy de servidor de federación de AD FS desde la interfaz herramientas administrativas de todos los servidores proxy de AD FS afectados.

Nota:

Es habitual recibir una advertencia del paso "Implementar sitio web de inicio de sesión del explorador" al volver a ejecutar el asistente de configuración. Esto no indica que el asistente no recompilara la confianza entre el servidor proxy de AD FS y el servicio de federación de AD FS.

Más información

Para obtener más información sobre cómo exponer el servicio de AD FS a Internet mediante un servidor proxy de AD FS, vaya al siguiente sitio web de Microsoft:

Planeamiento e implementación de AD FS 2.0 para su uso con el inicio de sesión único

¿Aún necesita ayuda? Visite Comunidad Microsoft.