Enlazar suscripción de Azure con Azure Active Directory (u Office 365, Intune, etc…)

La administración de Azure Active Directory y como esta se relaciona con las instancias de Azure AD que ya tenemos en servicios como Office 365 o Intune puede llegar a ser realmente confusa, así que en esta semana navideña me ha parecido muy oportuno dedicar un post a aclarar todo este tema.

 ¿Qué es Azure Active Directory?

Azure Active Directory (AAD) es una plataforma de identidad en la nube gestionada y hospedada por Microsoft. Un buen rango de servicios de Microsoft se apoyan directamente en Azure Active Directory como su base de usuarios y autenticación. Es por ello que si disponemos de un tenant de Office 365, Intune o CRM Online, ya estamos usando Azure Active Directory aunque no tuviéramos una constancia de ello.

Por tanto podríamos decir que todo los servicios que usen Azure Active Directory comparten la misma base de datos de usurios y el mismo proceso de autenticación, obteniéndose el consiguiente Single Sign On entre ellos.

A continuación podéis ver un esquema de cómo distintos servicios se valen de Azure Active Directory para gestionar su identidad:

image

Es importante reseñar que NO es lo mismo Azure Active Directory que Active Directory en Azure. El segundo se refiere a llevar controladores de dominio de nuestra infraestructura a máquinas virtuales de Azure para así poder desplegar servicios dependientes de los mismos en la nube, tema que nos dará para un artículo en otra ocasión.

Los siguientes servicios usan Azure Active Directory:

  • Office 365
  • Intune
  • Dynamics CRM Online
  • Azure Rights Managements System

¿Como integro el Azure Active Directory de Office 365 con mi suscripción de Azure?

A pesar de que el nombre induzca a confusión, Azure Active Directory y una suscripción de Azure son entidades separadas. Esto quiere decir que tener AAD no implica tener una suscripción de Azure, por lo que existe un procedimiento para integrarlo con tu suscripción.

  1. Iniciamos la sesión en nuestra suscripción de Azure.
  2. Vamos a New –> Active Directory –> Directory –> Custom Create
    image
  3. Seleccionamos Use existing directory.
    image
  4. El asistente nos pedirá iniciar sesión con nuestras credenciales del tenant de Azure Active Directory (que pueden ser las de nuestro administrador global de Office 365).
  5. Nuestro Azure Active Directory queda enlazado con nuestra suscripción de Azure.

Como resultado deberíamos ver algo así:

image

Directorio por defecto

Después de hacer el enlace, si este es el único directorio que tenemos, quedará establecido automáticamente como directorio por defecto. Si tuviésemos más directorios bajo administración de la misma cuenta de usuario, podríamos seleccionar cuál de ellos es el directorio por defecto de nuestra suscripción de Azure. Este concepto indica en qué directorio nuestra suscripción de Azure va a confiar para poder realizar autenticación y aprovisionar usuarios. Gráficamente se puede ver en este esquema de la Microsoft Technet:

image

Es importante también reseñar que distintas suscripción de Azure pueden confiar en el mismo AAD, pero una suscripción de Azure sólo puede confiar en un único AAD. Por tanto, en nuestra suscripción el directorio por defecto es único. Los usuarios de este directorio serán los habilitados para poder autenticar con distintos servicios SaaS de Azure, como RemoteApp.

A la vista de lo explicado, podemos entender que tampoco sería posible integrar los directorios de dos tenants distintos de Office 365 bajo una única suscripción de Azure.

Ahora puedo ver mi Azure Active Directory con cualquier suscripción de Azure, ¿está enlazado a todas?

Esta es la parte truculenta de la historia. Cuando iniciamos la sesión en manage.windowsazure.com y vemos entre la lista el servicio de Active Directory, no se nos están mostrando los AAD enlazados con la suscripción, sino aquellos para los que el usuario con el que nos hemos validado al entrar en manage.windowsazure.com tiene permiso para administrar. De esta forma, si vemos:

image

Esto viene a significar que nuestro usuario tiene permiso para administrar 2 AAD distintos que no necesariamente están enlazados con nuestra suscripción de Azure. Deberemos establecer un directorio por defecto (e insisto, sólo uno) para que pueda pasar a ser utilizado.

Espero que el articulo haya servido para aclarar dudas sobre la administración de AAD, donde la interfaz puede inducir a bastante confusión.

Enlace relacionado: How Azure subscriptions are associated with Azure AD – Microsoft Technet

0 pensamientos en “Enlazar suscripción de Azure con Azure Active Directory (u Office 365, Intune, etc…)”

  1. Buen día.

    Tengo un problema y quisiera ver si me podrían ayudar.

    Estamos implementado ADFS con windows server 2012 R2, ya lo teníamos listo y configurado, para ponerlo en producción, pero tuvimos un problema con el servidor en el que estaba instalado, el cual nos dispusimos a instalar y configurar uno nuevo y no podemos, después e agregar el rol y seguir con la configuración, en el ultimo paso no sale el erro “a constraint violation occurred”.

    me podrían ayudar por favor.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *