Autenticarse con certificado en Office 365

Secure Mail admite la autenticación basada en certificados (también conocida como autenticación de cliente) en Office 365. Los usuarios de Secure Mail con dispositivos Android y iOS pueden aprovechar las ventajas de la autenticación basada en certificados al conectarse a Office 365. Cuando inician sesión en Secure Mail, los usuarios se autentican con un certificado de cliente, en lugar de escribir sus credenciales. En este artículo, se describe cómo configurar la autenticación basada en certificados para Office 365.

En Secure Mail, se admite la autenticación basada en certificados para las configuraciones locales de Exchange. Si ya había configurado la autenticación basada en certificados en Endpoint Management, ahora deberá configurar Exchange Online, Azure Active Directory y Active Directory Federation Services (ADFS) en Windows Server. Entonces, los usuarios con Secure Mail 10 y versiones posteriores podrán utilizar la autenticación basada en certificados para conectarse a sus cuentas de Office 365.

En cambio, si no ha configurado la autenticación basada en certificados, primero deberá habilitar esa característica en la consola de Endpoint Management. Para obtener más información, consulte Autenticación de certificado de cliente o certificado + dominio. A continuación, deberá habilitar la autenticación basada en certificados para Exchange Online, Azure AD y ADFS en Windows Server.

En los procedimientos descritos en este artículo, se asume que ha habilitado la autenticación basada en certificados de Endpoint Management.

La siguiente imagen muestra cómo se integran los componentes pertinentes en la autenticación basada en certificados.

Imagen de los componentes de la autenticación basada en certificados

Requisitos previos

  • Una copia del certificado (X.509) que genera la entidad de certificación (CA) cuando se configuran las entidades PKI en la consola de Endpoint Management.
  • La entidad CA debe tener una lista de revocación de certificados (CRL) a la que se pueda hacer referencia mediante una dirección URL.
  • En el campo Nombre alternativo del sujeto del certificado, introduzca la dirección de correo electrónico del usuario en el valor Nombre RFC822 o Nombre principal. Para mayor claridad, consulte la siguiente imagen de ejemplo.

Imagen del campo Nombre alternativo del sujeto del certificado

En los siguientes pasos, se muestra cómo habilitar la autenticación basada en certificados para Exchange Online, Azure AD y ADFS en Windows Server.

En este artículo, se resumen las instrucciones de configuración provenientes de Microsoft. Si tiene problemas con los pasos para configurar los componentes de Microsoft, le recomendamos que consulte la documentación de Microsoft para obtener más información.

Para habilitar Exchange Online

Microsoft Exchange Online utiliza las funcionalidades de la autenticación moderna del arrendatario de Office 365. Esas funcionalidades permiten a su vez las funcionalidades de autenticación (como la autenticación con varios factores o AMF mediante tarjetas inteligentes, la autenticación basada en certificados y otros proveedores externos de identidad SAML). De forma predeterminada, la autenticación moderna no está habilitada en Exchange Online. Para habilitar la autenticación moderna, haga lo siguiente.

  1. Conéctese a PowerShell de Exchange Online. Para obtener más información, consulte la documentación de Microsoft.
  2. Ejecute el comando siguiente.

    Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

  3. Para comprobar que el cambio se realizó correctamente, ejecute el siguiente comando.

    `Get-OrganizationConfig | Format-Table -Auto Name,OAuth*`

Para configurar Azure AD

Exchange Online envía un comando prompt=login a Azure AD en una solicitud. De forma predeterminada, Azure AD traduce este comando en la solicitud para ADFS como wauth=usernamepassworduri.

De forma predeterminada, Azure AD solicita a ADFS una autenticación de nombre de usuario y contraseña. Azure AD también envía el comando 'wfresh=0', que pide a Azure ADD que ignore el estado del inicio de sesión único (Single Sign-On) y haga una nueva autenticación.

  1. Cambie el comportamiento predeterminado de Set PromptLoginBehavior de Azure AD.

    • Conéctese a PowerShell de Office 365. Para obtener más información, consulte la documentación de Microsoft.
    • Ejecute el siguiente comando en PowerShell de Office 365.

      Nota:

      El dominio es el mismo que el del servidor de correo.

    Set-MSOLDomainFederationSettings -domainname <domain> -PromptLoginBehavior Disabled

  2. Configure las entidades de certificación en Azure AD. Cargue la parte pública del certificado raíz, como se ha explicado en la lista anterior de requisitos previos.

    • Conéctese a PowerShell de Azure AD. Para obtener más información, consulte la documentación de Microsoft.
    • Ejecute el siguiente conjunto de comandos en PowerShell de Azure AD. El archivo CER está disponible localmente en el equipo.

    $cert=Get-Content -Encoding byte "[LOCATION OF THE CER FILE]" $new_ca=New-Object -TypeName Microsoft.Open.AzureAD.Model.CertificateAuthorityInformation $new_ca.AuthorityType=0 $new_ca.TrustedCertificate=$cert New-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $new_ca

  3. Configure la revocación en Azure AD.

    Para revocar un certificado de cliente, Azure AD obtiene y almacena en caché la lista de revocación de certificados (CRL) de las direcciones URL que se cargaron como parte de la información de la entidad CA. Se utiliza la última marca de tiempo de publicación (Effective Dateproperty) de esa lista CRL para garantizar que la lista sigue siendo válida. Periódicamente, la lista CRL se utiliza como referencia para revocar el acceso a los certificados que forman parte de ella. Para que la revocación sea permanente, debe establecer Effective Date de la lista CRL a una fecha posterior al valor establecido en StsRefreshTokenValidFrom.

    Compruebe también que el certificado en cuestión está incluido en la lista CRL. En los pasos siguientes, se describe el proceso de actualización e invalidación del token de autorización estableciendo el campo StsRefreshTokenValidFrom.

    • Conéctese al servicio MSOL. Para obtener más información, consulte la documentación de Microsoft.
    • Obtenga el valor actual de StsRefreshTokensValidFrom de un usuario válido ejecutando los comandos siguientes.

      $user = Get-MsolUser -UserPrincipalName test@yourdomain.com $user.StsRefreshTokensValidFrom

    • Defina un valor nuevo de StsRefreshTokensValidFrom para el usuario, que sea igual a la marca de tiempo actual, ejecutando el comando siguiente.

      Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/15/2017")

La fecha que establezca debe ser futura. Si la fecha no es futura, la propiedad StsRefreshTokensValidFrom no se establece. Si la fecha es futura, StsRefreshTokensValidFrom se establece en la hora actual (no en la fecha indicada por el comando Set-MsolUser).

Para configurar ADFS

Debe completar dos pasos principales para configurar los Servicios de federación de Active Directory.

  • Habilitar certificados como método de autenticación.
  • Configurar notificaciones en un token ADFS.
  1. Habilitar certificados como método de autenticación.

    • Abra la consola de administración de ADFS y vaya a Servicio > Métodos de autenticación > Editar métodos de autenticación principal.

      Imagen de la pantalla Métodos de autenticación

    • En Extranet, marque la casilla Autenticación de certificado.

    • En Intranet, puede marcar opcionalmente la casilla Autenticación de certificado.

    Lo más probable es que la mayoría de los dispositivos que utilizan la autenticación de certificados provengan solo de la extranet. Por ese motivo, la selección de la intranet es opcional.

    Imagen de las opciones de Extranet

  2. Configurar notificaciones en el token ADFS.

    Azure AD envía el emisor y el número de serie a ADFS para que ADFS revoque o deniegue la autenticación en situaciones varias de acceso. Por ejemplo, en caso de pérdida o robo de un dispositivo, el administrador puede actualizar la lista CRL. Entonces, Azure AD revoca el acceso por la autenticación de certificado. Para configurar las notificaciones, siga este procedimiento.

    • Vaya a Servicio > Descripciones de notificaciones > Agregar descripción de notificación.

      Imagen de la pantalla Agregar descripción de notificación

    • En “Confianza de proveedores de notificaciones de Active Directory”, agregue las dos reglas siguientes. Estas reglas indican a ADFS que permita que un usuario de Active Directory se autentique.

      Serial Number of the Client Certificate - http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>

      Issuer of the client certificate - http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>

Las siguientes imágenes son ejemplos de los campos completados.

Imagen de las propiedades del número de serie

Imagen de las propiedades del emisor

Autenticarse con certificado en Office 365