Autenticación Office 365 en ADFS con múltiples dominios

¡Hola a todos! Hoy toca hablar de un proceso que puede que tengamos que afrontar tarde o temprano, e involucra Office 365, múltiples dominios validados, federación, e integración con Active Directory. Dicho así, parece más difícil de lo que en realidad es, así que… empecemos por plantear un posible escenario, y a continuación dar los pasos para resolverlo.

Imaginemos el siguiente escenario: Tenemos un tenant de Office 365 con varios dominios validados para gestionar nuestro correo electrónico y tenemos desplegado ADFS y DirSync para proporcionar servicios de sincronización y autenticación del Active Directory contra Office 365 con nuestro dominio principal. Y supongamos que nuestra empresa dispone de una gama de productos, cada uno de ellos con su propio dominio.

Y justo hoy, deciden añadir un nuevo producto a la lista… ¿Qué tenemos que hacer para preparar nuestro dominio y Office 365 para la nueva situación?

 

Primero: Agregar el nuevo dominio a Office 365 y validarlo, con el código de verificación que Office 365 nos proporciona y que hay que utilizar en el registro TXT de DNS.

addDomain

Segundo: Añadir el nuevo dominio a la lista de sufijos de UPN de nuestro AD. Para ello, debemos acudir a las herramientas administrativas, y abrir “Dominios y Confianzas de Active Directory” (Active Directory Domains and Trusts)

HerramientasAdministrativas

Una vez abierto, lo que deseamos es cambiar las propiedades de nuestro dominio, así que pulsamos con click derecho sobre el nodo raíz del árbol de dominios, y seleccionamos “Propiedades”

ADDomainsTrusts

En ese instante, podremos añadir los sufijos de UserPrincipalName que necesitemos para definir las cuentas de usuario. En este caso tenemos tres sufijos definidos: dos .com y un .net. Adicionalmente podemos añadir “nuevodominio.com”, o simplemente eliminar un sufijo que ya no sea necesario.

ADDomainsTrusts_newdomain

Podemos conformarnos con añadir “nuevodominio.com”, aunque podemos añadir todos los que deseemos. Cada dominio que añadamos aquí, pasa a formar parte de las confianzas de nuestro Active Directory, por lo que podemos utlizarlo como sufijo del UserPrincipalName para crear o modificar cuentas de usuario en nuestro AD a placer.

Tercero: Añadir el dominio elegido al servicio de federación ADFS. Para hacer esto, debemos conectarnos con office 365 mediante el cmdlet “connect-msolservice”. Una vez hemos conectado, nos encontramos ante dos casos habituales:

  • Hemos seguido las instrucciones hasta ahora y hemos agregado el dominio. Tan sólo nos falta asegurarnos de que está validado (por ejemplo con la ayuda de https://www.whatsmydns.net/ para comprobar el estado de propagación de los DNS), y una vez validado, simplemente tenemos que lanzar este cmdlet: Convert-MsolDomainToFederated -SupportMultipleDomain -DomainName nuevodominio.com
  • Si por el contrario, no hemos agregado el dominio, entonces tendremos que usar este otro cmdlet: New-MsolFederatedDomain -SupportMultipleDomain -DomainName nuevodominio.com

Además de los avisos que el proceso de conversión pueda generar, una forma de verificar si hemos tenido éxito es con el cmdlet “Get-MsolDomain”

getMSOLDomain

Una vez ejecutados los cmdlets, nos encontraremos con que la pantalla de inicio de sesión de Office365 nos redirige correctamente a nuestros servidores de ADFS para autenticar al usar un UPN con el nuevo dominio.

 

Cuarto: Ahora que ya tenemos la capacidad de definir UPNs con el nuevo dominio, hemos añadido el dominio a Office365, y ADFS está aceptando el nuevo dominio para autenticación de usuarios… la fase final es la más sencilla de todas: Agregar/modificar los usuarios que necesitemos que utilicen el nuevo UPN, y sincronizarlos con DirSync.

 

¡Y eso es todo! Como es habitual, prestad atención a la sección de Bonus, porque puede contener algunos trucos o situaciones que os podáis encontrar al realizar este proceso.

 

Bonus:

  • Si necesitamos convertir el dominio de Federado a Standard, se utiliza el cmdlet “Convert-MsolDomainToStandard -DomainName nuevodominio.com -PasswordFile pwd.txt -SkipUserConversion $false”. Este cmdlet, lo que hace es deshacer el proceso de federación, y generar un archivo de texto en el que se encuentran TODOS los usuarios que hay actualmente en Office365, proporcionando una nueva contaseña aleatoria para todos los afectados por el paso de dominio Federado a Standard.
  • Si estáis convirtiendo un usuario desde un UPN federado hacia otro UPN federado… DirSync puede dar problemas de sincronización. El motivo es que actualmente no está soportado.
  • Gracias a la magia de ADFS, podemos federar múltiples subdominios sin tener que volver a validarlos por DNS en Office 365. El motivo principal es que como ya está federado el dominio principal, es de confianza, y por tanto todo subdominio se valida y federa automáticamente. Para acelerar las cosas los podemos añadir con el cmdlet “New-MsolFederatedDomain”, desde la shell directamente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *