En este artículo se explica cómo configurar Passport para usar el inicio de sesión web. Si desea configurar el inicio de sesión en Mac, consulte Configurar Passport con Microsoft Entra ID - Inicio de sesión en Mac.
Prerrequisitos
Necesitará acceso a una cuenta de usuario administrador de Microsoft Entra ID para conceder a la aplicación Passport los permisos correctos. Para obtener instrucciones sobre cómo configurar la autenticación multifactor (MFA) dentro de Microsoft Entra ID, consulte esta guía de Microsoft.
Crear el registro de la aplicación
Inicie sesión en el Centro de administración de Microsoft Entra con una cuenta de administrador global.
Abra el menú del portal y, a continuación, seleccione Identidad.
En el menú Identidad , en Aplicaciones, seleccione Registros de aplicaciones.
En los registros de la aplicación, seleccione + Nuevo registro en el menú.
En el cuadro de diálogo Register una aplicación , introduzca un nombre para la nueva aplicación (por ejemplo, Kandji Passport Web Login).
Elija Accounts (Solo cuentas) en este directorio organizativo.
En la sección URI de redireccionamiento, en el menú desplegable Seleccionar una plataforma , elija Cliente público/nativo (móvil y de escritorio).
En el campo URI, escriba lo siguiente, https://login.microsoftonline.com/common/oauth2/nativeclient
Haga clic en Registrarse.
Abra un documento de texto seguro donde se puedan almacenar temporalmente los valores de esta aplicación OIDC. Necesitará estos detalles cuando configure el elemento de la biblioteca de pasaportes.
Copie el ID de aplicación (cliente) de la página Información general en un documento de texto seguro temporal.
En la página Información general, haga clic en Puntos de conexión.
Copie el documento de metadatos de OpenID Connect (URL del proveedor de identidad) en un documento de texto seguro temporal.
A la izquierda, seleccione Autenticación.
Establezca Habilitar los siguientes flujos móviles y de escritorio en Sí.
Haga clic en Guardar.
A la izquierda, seleccione Configuración de token.
Haga clic en Agregar notificación opcional.
En Tipo de token, seleccione ID.
En la Notificación, seleccione preferred_username.
Haga clic en Agregar .
Mientras aún se encuentra en la página Configuración de token, haga clic en Agregar notificación de grupos.
Seleccionar todos los grupos...
Haga clic en Agregar.
Una vez que complete las configuraciones de token, verá ambas notificaciones opcionales.
Seleccione Permisos de API.
Haga clic en Agregar un permiso.
Haga clic en Microsoft Graph.
Seleccione Permisos delegados.
Confirme que la sección Permisos de OpenID está expandida. Si no es así, haz clic en el icono situado junto a él para expandirlo.
Selecciona correo electrónico.
Seleccione el perfil.
En el campo Seleccionar permisos , escriba User.Read.
En la sección Usuario, confirme que User.Read ya está seleccionado. Si no es así, selecciónelo.
Haga clic en Agregar permisos.
Mientras aún se encuentra en la página Permisos de API, seleccione Conceder consentimiento de administrador para <your_tenant_name>.
Seleccione Sí.
Debería ver una notificación similar a la que se muestra a continuación y un mensaje que dice "Concedido por <your_tenant_name>..." en la columna Estado junto a cada permiso.
Continúe con la siguiente sección.
Asignar usuarios y grupos
De forma predeterminada, al crear un nuevo registro de aplicación, el atributo "¿Se requiere tarea?" se establece en "No". Sin embargo, si su aplicación Passport Enterprise está configurada para requerir asignación, deberá seguir estos pasos para asignar usuarios y poder usar su aplicación Passport.
En el menú de navegación Identidad de la izquierda, abra Aplicaciones y seleccione Aplicaciones empresariales.
En la lista Todas las aplicaciones, seleccione Kandji Passport Web Login o el nombre que le haya dado al registro de la aplicación en la sección anterior.
En Administrar, seleccione Propiedades.
Si lo desea, puede agregar un logotipo a la aplicación empresarial.
Inspeccione la configuración ¿ Tarea requerida? . Si se establece en "No", puede omitir el resto de esta sección. Todos los usuarios de Entra ID podrán usar la aplicación Passport.
Confirme que la configuración ¿Visible para los usuarios? está configurada en "No"; de lo contrario, los usuarios lo verán en su portal. La aplicación Passport solo es útil como reemplazo de la ventana de inicio de sesión de macOS.
Haga clic en Guardar.
Si la configuración de ¿Tarea requerida? está establecida en "Sí",
En Administrar, seleccione Usuarios y grupos.
En el menú, seleccione + Agregar usuario/grupo.
En el cuadro de diálogo Agregar asignación , seleccione el vínculo en Usuarios y grupos.
Se muestra una lista de usuarios y grupos de seguridad. Puede buscar un usuario o grupo específico o seleccionar varios usuarios y grupos que aparezcan en la lista.
Una vez que haya seleccionado los usuarios y grupos, seleccione Seleccionar.
Si ve el mensaje a continuación, significa que se está utilizando un nivel gratuito. Solo puede agregar usuarios (no grupos) a la aplicación Passport Enterprise.
Seleccione Asignar para finalizar la asignación de usuarios y grupos a la aplicación.
Confirme que los usuarios y grupos que ha agregado aparecen en la lista Usuarios y grupos .
Una vez completada esta parte de la configuración de Entra ID, revise las secciones restantes de este artículo para su entorno de Microsoft Entra ID
Aprovisionamiento de cuentas de usuario a través de Passport
Si utiliza la opción Especificar por grupo de proveedores de identidad en el elemento Biblioteca de pasaportes, utilice el grupo de ID de Entra ObjectID en el campo Grupo de proveedores de identidad .
Inicie sesión en el Centro de administración de Microsoft Entra. En el menú de navegación Identidad de la izquierda, abra Grupos y seleccione Todos los grupos.
Seleccione el grupo que desea utilizar.
Copie el ID de objeto de ese grupo.
En el elemento de la biblioteca de pasaportes de Kandji, en la sección Aprovisionamiento de usuarios, pegue el valor de la sección anterior en el campo Grupo de proveedores de identidad .
Repita los pasos anteriores para cada grupo de ID de Entra adicional que desee utilizar.
En el elemento Biblioteca de pasaportes, haga clic en Guardar.
Otras consideraciones
Si va a establecer el tipo de cuenta predeterminado en usuario estándar, agregue solo los tipos de cuenta de administrador en los grupos de proveedores de identidad. A menos que se especifique lo contrario como administradores en los grupos de proveedores de identidad, todos los usuarios se crearán como usuarios estándar de forma predeterminada.
Si va a establecer el tipo de cuenta predeterminado para administradores, agregue solo los tipos de cuenta estándar en los grupos de proveedores de identidad. Todos los usuarios se crearán como administradores de forma predeterminada, a menos que se especifique lo contrario como usuarios estándar en los grupos de proveedores de identidad.
Solución de problemas de Microsoft Entra ID
Si tiene problemas con Entra ID Passport, visite nuestro artículo de soporte técnico Solución de problemas de Passport con Microsoft Entra ID (anteriormente Azure AD) para obtener más información sobre los pasos comunes de solución de problemas.
Próximos pasos
Continúe con el artículo de soporte Configurar el elemento de la biblioteca de pasaportes para finalizar su configuración.