Ejemplos de Configuraciones de Red para el SSO de Active Directory
Existen muchas formas en la que puede configurar SSO en su red. Este tema explica dos ejemplos de configuraciones de SSO:
- Red con un solo dominio
- Red con dos dominios
Para obtener instrucciones de configuración paso a paso, consulte Inicio Rápido — Configurar el Inicio de Sesión Único (SSO) de Active Directory. Para ver una demostración de video del proceso de configuración, consulte el tutorial de video Introducción al Inicio de Sesión Único (9 minutos).
Dominio único
En este ejemplo, usted configura SSO para un solo dominio y usa esta configuración:
- El SSO Agent y el Event Log Monitor están instalados en el controlador de dominio
- Exchange Monitor está instalado en un servidor de Microsoft Exchange
- SSO Client está instalado en los equipos del usuario en su red
- Se especifican los métodos principales y de respaldo de SSO
Cuando un usuario en un equipo en la red intenta conectarse a Internet:
- Firebox envía una solicitud al SSO Agent.
- El SSO Agent se contacta con el componente de SSO que especificó como el método de SSO principal.
- El SSO Agent se contacta con los componentes de SSO que especificó como métodos de SSO de respaldo.
- El SSO Agent envía una respuesta al Firebox.
- Si la autenticación SSO tiene éxito, el usuario se conecta a Internet.
Este diagrama explica cómo funciona esta configuración de SSO de ejemplo.
Por ejemplo, puede configurar el SSO Agent para que se comunique con el SSO Client primero para obtener las credenciales de usuario y la información del grupo. Esto significa que el SSO Client es el método de SSO principal. Puede configurar el SSO Agent para comunicarse con Event Log Monitor y Exchange Monitor en segundo y tercer lugar, lo que significa que esos componentes son métodos de SSO de respaldo.
En este ejemplo, si el SSO Client no está disponible, el SSO Agent se contacta con el Event Log Monitor. Si el equipo cliente es un dispositivo Linux o móvil, el SSO Agent contacta al Exchange Monitor para obtener la información de inicio y cierre de sesión del usuario.
El SSO Agent y el Event Log Monitor no tienen que estar instalados en el controlador del dominio. Puede instalar tanto el SSO Agent como el Event Log Monitor en otro equipo en el mismo dominio, siempre que ambos ejecuten una cuenta de usuario en el grupo de seguridad de Usuarios de Dominio. La cuenta de Usuarios de Dominio que seleccione debe tener privilegios para ejecutar servicios en el Active Directory server para buscar en el directorio y para buscar toda otra información de auditoría de usuario. Para configurar los permisos y ajustes correctos, consulte Instalar el Agente de Inicio de Sesión Único (SSO) WatchGuard y el Event Log Monitor.
En Fireware v12.2 o superior, para agregar redundancia, puede especificar hasta cuatro SSO Agents en la configuración de Firebox SSO. Solo un SSO Agent está activo a la vez. Si el agente activo deja de estar disponible, ocurre una conmutación por error al siguiente SSO Agent especificado en la configuración del Firebox.
Dos Dominios
En este ejemplo, usted configura SSO para dos dominios y usa esta configuración:
- El SSO Agent está instalado en un solo controlador de dominio en su red
- El SSO Client está instalado en cada equipo cliente
- El Event Log Monitor está instalado en un servidor miembro de Windows en cada dominio de su red
- El Exchange Monitor está instalado en su Servidor de Microsoft Exchange
Dominio A
- Un usuario en un equipo en la red unido al Dominio A intenta conectarse a Internet.
- Firebox envía una solicitud al SSO Agent.
- El SSO Agent se contacta con el componente de SSO en el Dominio A que especificó como el método de SSO principal.
- Si el paso 3 falla, el SSO Agent contacta a los componentes de SSO en el Dominio A que especificó como métodos de SSO de respaldo.
- El SSO Agent envía una respuesta al Firebox.
- Si la autenticación SSO tiene éxito, el usuario puede conectarse a Internet.
Dominio B
- Un usuario en un equipo en la red unido al Dominio B intenta conectarse a Internet.
- Firebox envía una solicitud al SSO Agent.
- El SSO Agent se contacta con el componente de SSO en el Dominio B que especificó como el método de SSO principal.
- Si el paso 3 falla, el SSO Agent contacta a los componentes de SSO en el Dominio B que especificó como métodos de SSO de respaldo.
- El SSO Agent envía una respuesta al Firebox.
- Si la autenticación SSO tiene éxito, el usuario puede conectarse a Internet.
Este diagrama explica cómo funciona esta configuración de SSO de ejemplo.
Por ejemplo, puede configurar el SSO Agent para que se comunique con el SSO Client primero para obtener las credenciales de usuario y la información del grupo. Esto significa que el SSO Client es el método de SSO principal. Puede configurar el SSO Agent para comunicarse con Event Log Monitor y Exchange Monitor en segundo y tercer lugar, lo que significa que esos componentes son métodos de SSO de respaldo.
En este ejemplo, si el SSO Client no está disponible, el SSO Agent se contacta con el Event Log Monitor que está en el mismo dominio del equipo cliente. Si el equipo cliente es un dispositivo Linux o móvil, el SSO Agent contacta al Exchange Monitor para obtener la información de inicio y cierre de sesión del usuario.
En Fireware v12.2 o superior, para agregar redundancia, puede especificar hasta cuatro SSO Agents en la configuración de Firebox SSO. Solo un SSO Agent está activo a la vez. Si el agente activo deja de estar disponible, ocurre una conmutación por error al siguiente SSO Agent especificado en la configuración del Firebox.
Ver También
Acerca de Inicio de Sesión Único (SSO) con Active Directory
Cómo Funciona el SSO de Active Directory
Elegir Sus Componentes de SSO de Active Directory
Inicio Rápido — Configurar el Inicio de Sesión Único (SSO) con Active Directory