Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Habilitación del inicio de sesión único para AWS Microsoft AD administrado
<a name="ms_ad_single_sign_on"></a>

AWS Directory Service ofrece la posibilidad de permitir a los usuarios acceder WorkDocs desde un ordenador unido al directorio sin tener que introducir sus credenciales por separado. 

Antes de habilitar el inicio de sesión único, debe tomar determinadas medidas adicionales para permitir que los navegadores web de los usuarios admitan la función de inicio de sesión único. Los usuarios pueden necesitar modificar la configuración de su navegador web para permitir el inicio de sesión único. 

**nota**  
La función de inicio de sesión único solo funciona en equipos que se hayan unido al directorio de Directory Service . No puede aplicarse en equipos que no estén vinculados al directorio.

Si el directorio es un directorio de Conector AD y la cuenta de servicio de Conector AD no tiene permiso para agregar o eliminar el atributo de nombre de la entidad principal del servicio, en los pasos 5 y 6 siguientes, tiene dos opciones:

1. Puede continuar y se le pedirá el nombre de usuario y la contraseña de un usuario de directorio que tenga este permiso para agregar o eliminar el atributo del nombre de la entidad principal del servicio en la cuenta de servicio de Conector AD. Estas credenciales solo se usan para permitir el inicio de sesión único; el servicio no las guarda. Los permisos de la cuenta del servicio Conector AD no se cambian.

1. Puede delegar permisos para permitir que la cuenta de servicio de AD Connector añada o elimine el atributo de nombre principal del servicio por sí misma. Puede ejecutar los siguientes PowerShell comandos desde un equipo unido a un dominio mediante una cuenta que tenga permisos para modificar los permisos de la cuenta de servicio de AD Connector. El siguiente comando le dará a la cuenta del servicio de Conector AD la capacidad de agregar y eliminar un atributo de nombre de la entidad principal del servicio solo para ella misma.

```
$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
```

**Para activar o desactivar el inicio de sesión único con WorkDocs**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.

1. En la página **Directorios**, elija el ID del directorio.

1. En la página **Directory details (Detalles del directorio)**, seleccione la pestaña **Application management (Administración de aplicaciones)**.

1. En la sección **URL de acceso a la aplicación**, selecciona **Habilitar para habilitar el** inicio de sesión único para. WorkDocs 

   Si no ve el botón **Habilitar**, puede que tenga que crear primero una URL de acceso antes de que se muestre esta opción. Para obtener más información sobre cómo crear una URL de acceso, consulte [Creación de una URL de acceso para Microsoft AD AWS administrado](ms_ad_create_access_url.md). 

1. En el cuadro de diálogo **Habilitar el inicio de sesión único para este directorio**, elija **Habilitar**. El inicio de sesión único está habilitado para el directorio. 

1. **Si más adelante desea deshabilitar el inicio de sesión único con WorkDocs, seleccione **Desactivar** y, a continuación, en el cuadro de diálogo **Desactivar el inicio de sesión único para este directorio**, vuelva a seleccionar Desactivar.** 

**Topics**
+ [Inicio de sesión único en IE y Chrome](#ie_sso)
+ [Inicio de sesión único en Firefox](#firefox_sso)

## Inicio de sesión único en IE y Chrome
<a name="ie_sso"></a>

Para permitir que los navegadores Microsoft Internet Explorer (IE) y Google Chrome admitan la función de inicio de sesión único, deberá hacer lo siguiente en el equipo cliente:
+ Añada su URL de acceso (p. ej., https://*<alias>*.awsapps.com) a la lista de sitios aprobados para el inicio de sesión único.
+ Habilite las secuencias de comandos activas (). JavaScript
+ Permita el inicio de sesión automático.
+ Habilite la autenticación integrada.

Usted o sus usuarios pueden realizar estas tareas manualmente, o bien pueden cambiar estos ajustes mediante la configuración de la política de grupo.

**Topics**
+ [Actualización manual para inicio de sesión único en Windows](#ie_sso_manual_windows)
+ [Actualización manual para inicio de sesión único en OS X](#chrome_sso_manual_mac)
+ [Configuración de la política de grupo para el inicio de sesión único](#ie_sso_gpo)

### Actualización manual para inicio de sesión único en Windows
<a name="ie_sso_manual_windows"></a>

Para habilitar manualmente la función de inicio de sesión único en un equipo Windows, siga estos pasos en el equipo cliente. Es posible que algunos de estos ajustes estén ya establecidos correctamente.

**Habilitación manual de la función de inicio de sesión único en Internet Explorer y Chrome en Windows**

1. Para abrir el cuadro de diálogo **Internet Properties**, elija el menú **Start**, escriba `Internet Options` en el cuadro de búsqueda y elija **Internet Options**.

1. Añada su URL de acceso a la lista de sitios aprobados para inicio de sesión único siguiendo estos pasos:

   1. En el cuadro de diálogo **Internet Properties**, seleccione la pestaña **Security**.

   1. Seleccione **Local intranet** y elija **Sites**.

   1. En el cuadro de diálogo **Local intranet**, elija **Advanced**.

   1. Añada su URL de acceso a la lista de sitios web y elija **Close**.

   1. En el cuadro de diálogo **Local intranet**, elija **OK**.

1. Para habilitar el scripting activo, siga estos pasos:

   1. En la pestaña **Security** del cuadro de diálogo **Internet Properties**, elija **Custom level**.

   1. En el cuadro de diálogo **Security Settings - Local Intranet Zone**, desplácese hasta **Scripting** y seleccione **Enable** en **Active scripting**.

   1. En el cuadro de diálogo **Security Settings - Local Intranet Zone**, elija **OK**.

1. Para habilitar el inicio de sesión automático, siga estos pasos:

   1. En la pestaña **Security** del cuadro de diálogo **Internet Properties**, elija **Custom level**.

   1. En el cuadro de diálogo **Security Settings - Local Intranet Zone**, desplácese hasta **User Authentication** y seleccione **Automatic logon only in Intranet zone** en **Logon**. 

   1. En el cuadro de diálogo **Security Settings - Local Intranet Zone**, elija **OK**.

   1. En el cuadro de diálogo **Security Settings - Local Intranet Zone**, elija **OK**.

1. Para habilitar la autenticación integrada, siga estos pasos:

   1. En el cuadro de diálogo **Internet Properties**, seleccione la pestaña **Advanced**.

   1. Desplácese hasta **Security** y seleccione **Enable Integrated Windows Authentication**.

   1. En el cuadro de diálogo **Internet Properties**, seleccione **OK**.

1. Cierre el navegador y vuelva a abrirlo para que se apliquen los cambios.

### Actualización manual para inicio de sesión único en OS X
<a name="chrome_sso_manual_mac"></a>

Para habilitar manualmente el inicio de sesión único para Chrome en OS X, siga estos pasos en el equipo cliente. Necesitará derechos de administrador en su equipo para poder completar estos pasos.

**Habilitación manual de la función de inicio de sesión único en Chrome en OS X**

1. Añada su URL de acceso a la [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)política ejecutando el siguiente comando:

   ```
   defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"
   ```

1. Abra **System Preferences**, vaya al panel **Profiles** y elimine el perfil `Chrome Kerberos Configuration`. 

1. Reinicie Chrome y abra chrome://policy en Chrome para confirmar que se haya implementado la nueva configuración.

### Configuración de la política de grupo para el inicio de sesión único
<a name="ie_sso_gpo"></a>

El administrador del dominio puede implementar una configuración de política de grupo para aplicar cambios en la configuración de inicio de sesión único en los equipos cliente vinculados al dominio.

**nota**  
Si administras los navegadores web Chrome en los ordenadores de tu dominio con políticas de Chrome, debes añadir tu URL de acceso a la [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)política. Para obtener más información sobre la configuración de políticas de Chrome, vaya a [Policy Settings in Chrome](https://source.chromium.org/chromium/chromium/src/+/main:docs/enterprise/add_new_policy.md) (en inglés).

**Habilitación del inicio de sesión único para Internet Explorer y Chrome mediante la configuración de la política de grupo**

1. Cree un nuevo objeto de política de grupo siguiendo estos pasos:

   1. Abra la herramienta de administración de directivas de grupo, navegue hasta su dominio y seleccione **Group Policy Objects**.

   1. En el menú principal, elija **Action** y seleccione **New**.

   1. En el cuadro de diálogo **Nuevo GPO**, escriba un nombre descriptivo para el objeto de políticas de grupo, como `IAM Identity Center Policy`, y deje **GPO de inicio de origen** establecido en **(ninguno)**. Haga clic en **OK (Aceptar)**.

1. Añada la URL de acceso a la lista de sitios aprobados para inicio de sesión único siguiendo estos pasos:

   1. En la herramienta de administración de políticas de grupo, navegue hasta su dominio, seleccione **Objetos de políticas de grupo**, abra el menú contextual (clic con el botón derecho) de su política de IAM Identity Center y, a continuación, elija **Editar**.

   1. En el árbol de políticas, navegue a **User Configuration** > **Preferences** > **Windows Settings**.

   1. En la lista **Windows Settings**, abra el menú contextual (clic con el botón derecho) de **Registry** y elija **New registry item**.

   1. En el cuadro de diálogo **New Registry Properties**, especifique las siguientes opciones y elija **OK**:  
**Action**  
`Update`  
**Hive**  
`HKEY_CURRENT_USER`  
**Ruta**  
`Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>`  
El valor de *<alias>* se deriva de tu URL de acceso. Si su URL de acceso es `https://examplecorp.awsapps.com`, el alias será `examplecorp`, y la clave de registro será `Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp`.  
**Value name**  
`https`  
**Value type**  
`REG_DWORD`  
**Value data**  
`1`

1. Para habilitar el scripting activo, siga estos pasos:

   1. En la herramienta de administración de políticas de grupo, navegue hasta su dominio, seleccione **Objetos de políticas de grupo**, abra el menú contextual (clic con el botón derecho) de su política de IAM Identity Center y, a continuación, elija **Editar**.

   1. En el árbol de políticas, navegue a **Computer Configuration** > **Policies** > **Administrative Templates** > **Windows Components** > **Internet Explorer** > **Internet Control Panel** > **Security Page** > **Intranet Zone**.

   1. En la lista **Intranet Zone**, abra el menú contextual (clic con el botón derecho) para **Allow active scripting** y elija **Edit**.

   1. En el cuadro de diálogo **Allow active scripting**, especifique las siguientes opciones y elija **OK**:
      + Seleccione el botón de opción **Enabled**.
      + En **Options** ajuste **Allow active scripting** en **Enable**.

1. Para habilitar el inicio de sesión automático, siga estos pasos:

   1. En la herramienta de administración de políticas de grupo, navegue hasta su dominio, seleccione Group Policy Objects, abra el menú contextual (clic con el botón derecho) de su política de inicio de sesión único y, a continuación, elija **Edit**.

   1. En el árbol de políticas, navegue a **Computer Configuration** > **Policies** > **Administrative Templates** > **Windows Components** > **Internet Explorer** > **Internet Control Panel** > **Security Page** > **Intranet Zone**.

   1. En la lista **Intranet Zone**, abra el menú contextual (clic con el botón derecho) para **Logon options** y elija **Edit**.

   1. En el cuadro de diálogo **Logon options**, especifique las siguientes opciones y elija **OK**:
      + Seleccione el botón de opción **Enabled**.
      + En **Options** ajuste **Logon options** en **Automatic logon only in Intranet zone**.

1. Para habilitar la autenticación integrada, siga estos pasos:

   1. En la herramienta de administración de políticas de grupo, navegue hasta su dominio, seleccione **Objetos de políticas de grupo**, abra el menú contextual (clic con el botón derecho) de su política de IAM Identity Center y, a continuación, elija **Editar**.

   1. En el árbol de políticas, navegue a **User Configuration** > **Preferences** > **Windows Settings**.

   1. En la lista **Windows Settings**, abra el menú contextual (clic con el botón derecho) de **Registry** y elija **New registry item**.

   1. En el cuadro de diálogo **New Registry Properties**, especifique las siguientes opciones y elija **OK**:  
**Action**  
`Update`  
**Hive**  
`HKEY_CURRENT_USER`  
**Ruta**  
`Software\Microsoft\Windows\CurrentVersion\Internet Settings`  
**Value name**  
`EnableNegotiate`  
**Value type**  
`REG_DWORD`  
**Value data**  
`1`

1. Cierre la ventana de **Group Policy Management Editor** si aún está abierta.

1. Asigne la nueva política a su dominio siguiendo estos pasos:

   1. En el árbol de administración de la directiva de grupo, abra el menú contextual (clic con el botón derecho) de su dominio y elija **Link an Existing GPO**.

   1. En la lista **Objetos de políticas de grupo**, seleccione su política de IAM Identity Center y elija **Aceptar**.

Estos cambios se aplicarán tras la siguiente actualización de la política de grupo en el cliente o la siguiente vez que el usuario inicie sesión.

## Inicio de sesión único en Firefox
<a name="firefox_sso"></a>

Para permitir que el navegador Mozilla Firefox admita el inicio de sesión único, añade tu URL de acceso (p. ej., https://*<alias>*.awsapps.com) a la lista de sitios aprobados para el inicio de sesión único. Esto puede hacerse manualmente o con un script automatizado.

**Topics**
+ [Actualización manual para inicio de sesión único](#firefox_sso_manual)
+ [Actualización automática para inicio de sesión único](#firefox_sso_script)

### Actualización manual para inicio de sesión único
<a name="firefox_sso_manual"></a>

Para añadir manualmente su URL de acceso a la lista de sitios aprobados en Firefox, siga estos pasos en el equipo cliente.

**Para añadir manualmente su URL de acceso a la lista de sitios aprobados en Firefox**

1. Abra Firefox y abra luego la página `about:config`.

1. Abra la preferencia `network.negotiate-auth.trusted-uris` y agregue su URL de acceso a la lista de sitios. Utilice una coma (,) para separar varias entradas.

### Actualización automática para inicio de sesión único
<a name="firefox_sso_script"></a>

Como administrador del dominio, puede utilizar un script para agregar su URL de acceso a la preferencia de usuario `network.negotiate-auth.trusted-uris` de Firefox en todos los equipos que haya en la red. [Para obtener más información, visita https://support.mozilla. org/en-US/questions/939037](https://support.mozilla.org/en-US/questions/939037).