Azure Active Directory (Azure AD) es el servicio de administración de acceso e identidad (IAM) basado en la nube de Microsoft, que ayuda a sus empleados a iniciar sesión en su sitio Joomla y acceder a sus recursos. miniOrange Joomla LDAP proporciona una solución donde las identidades existentes en Azure Active Directory Services se pueden aprovechar para el inicio de sesión único (SSO) en su sitio Joomla. Para interactuar con su dominio administrado de Azure Active Directory Domain Services (Azure AD DS), se utiliza principalmente el Protocolo ligero de acceso a directorios (LDAP). De forma predeterminada, el tráfico LDAP no está codificado, lo que supone un problema de seguridad para muchos entornos. Con Azure Active Directory Domain Services, puede configurar el dominio administrado para utilizar el protocolo ligero de acceso a directorios (LDAPS) seguro. Cuando utiliza LDAP seguro, el tráfico se cifra. Secure LDAP también se conoce como LDAP sobre Secure Sockets Layer (SSL).

Siga la guía paso a paso que se proporciona a continuación para configurar la conexión LDAP segura entre Azure Active Directory y miniOrange Joomla LDAP para intranet.

1. Cree y configure una instancia de Servicios de dominio de Azure Active Directory

(Omita esto si ya ha configurado una instancia AADDS para una suscripción)

1. Prerequisites

• Una suscripción activa de Azure.
• Necesita administrador global privilegios en su inquilino de Azure AD para habilitar los servicios de dominio de Azure Active Directory, ya sea sincronizados con un directorio local o con un directorio solo en la nube.
• Necesita Contribuyente privilegios en su suscripción de Azure para crear los recursos necesarios de Azure Active Directory Domain Services.

1.1 Crear una instancia y configurar ajustes básicos

• En la esquina superior izquierda del portal de Azure, haga clic en + Crear un recurso.
• Ingrese Servicios de dominio en la barra de búsqueda, luego elija Servicios de dominio de Azure AD de las sugerencias de búsqueda.



• En la página Servicios de dominio de Azure AD, haga clic en Crear. Se inicia el asistente Habilitar servicios de dominio de Azure AD.



• Complete los campos en la ventana Conceptos básicos de Azure Portal para crear una instancia de Azure AD DS:
  • Ingrese un nombre de dominio DNS para su dominio administrado, tomando en consideración los puntos anteriores.
  • Seleccione la suscripción de Azure en la que desea crear el dominio administrado.
  • Seleccione el grupo de recursos al que debe pertenecer el dominio administrado. Elija Crear nuevo o seleccione un grupo de recursos existente.
  • Elija la ubicación de Azure en la que se debe crear el dominio administrado.
  • Haga clic en Aceptar para pasar a la sección Red.

1.2 Crear y configurar la red virtual

• Complete los campos en la ventana Red de la siguiente manera:
  • En la ventana Red, elija Seleccionar red virtual.
  • Para este tutorial, elija Crear una nueva red virtual para implementar Azure AD DS.
  • Ingrese un nombre para la red virtual, como myVnet, luego proporcione un rango de direcciones, como 10.1.0.0/16.
  • Cree una subred dedicada con un nombre claro, como DomainServices. Proporcione un rango de direcciones, como 10.1.0.0/24.
• Con la red virtual y la subred creadas, la subred debe seleccionarse automáticamente, como DomainServices. En su lugar, puede elegir una subred alternativa existente que forme parte de la red virtual seleccionada.
• Haga clic en OK para confirmar la configuración de la red virtual.

1.3 Configurar un grupo administrativo

• El asistente crea automáticamente el Administradores de AAD DC grupo en su directorio de Azure AD. Si tiene un grupo existente con este nombre en su directorio de Azure AD, el asistente selecciona este grupo. Opcionalmente, puede optar por agregar usuarios adicionales a este Administradores de AAD DC grupo durante el proceso de implementación.
  
  NOTA: Hemos incluido miembros en el grupo de administradores más adelante en este documento.

1.4 Configurar la sincronización

• Los servicios de dominio de Azure Active Directory le permiten sincronizar todos los usuarios y grupos disponibles en Azure AD, o una sincronización con alcance solo de grupos específicos.
• Seleccione el alcance y luego haga clic en Aceptar.
  
  NOTA: El alcance no se puede cambiar más adelante. Si surge la necesidad, será necesaria la creación de un nuevo dominio.

1.5 Implemente su dominio administrado

• En la página Resumen del asistente, revise los ajustes de configuración del dominio administrado. Puede volver a cualquier paso del asistente para realizar cambios.
• Para crear el dominio administrado, haga clic en OK.
• El proceso de aprovisionamiento de su dominio administrado puede tardar hasta una hora. Se muestra una notificación en el portal que muestra el progreso de su implementación de Azure AD DS. Seleccione la notificación para ver el progreso detallado de la implementación.
• Cuando el dominio administrado está completamente aprovisionado, la pestaña Descripción general muestra el estado del dominio como En ejecución.



NOTA: Durante el proceso de aprovisionamiento, Azure AD DS crea dos aplicaciones empresariales denominadas Servicios de controlador de dominio y AzureActiveDirectoryDomainControllerServices en su directorio. Estas aplicaciones empresariales son necesarias para dar servicio a su dominio administrado. Es imperativo que estas aplicaciones no se eliminen en ningún momento.

2. Cree y delegue certificados para LDAP seguro

2.1 Crear un certificado autofirmado

• Para utilizar LDAP seguro, se utiliza un certificado digital para cifrar la comunicación. Este certificado digital se aplica a su dominio administrado de Azure AD DS.
• Abra una PowerShell ventana como Administrador y ejecute los siguientes comandos.
  
  NOTA: Reemplace la variable $dnsName con el nombre DNS utilizado por su propio dominio administrado, como ejemplodominio.com. Este dominio debe ser el mismo que su dominio administrado por ADDS.
Haga la siguiente entrada en su archivo de hosts <Define your own DNS name used by your Azure AD DS managed domain
$dnsName="exampledomain.com"
# Get the current date to set a one-year expiration
$lifetime=Get-Date
# Create a self-signed certificate for use with Azure AD DS New-SelfSignedCertificate -Subject *.$dnsName `

-NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
-Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName
2.2 Exportar un certificado para Azure AD DS
Antes de poder usar el certificado digital creado en el paso anterior con su dominio administrado de Azure AD DS, exporte el certificado a un archivo de certificado .PFX que incluya la clave privada.


• Para abrir el cuadro de diálogo Ejecutar, presione las teclas Windows y R.
• Abra la Consola de administración de Microsoft (MMC) ingresando MMC en el cuadro de diálogo Ejecutar y luego seleccione Aceptar.
• En el mensaje de Control de cuentas de usuario, haga clic en Sí para iniciar MMC como administrador.
• En el menú Archivo, haga clic en Agregar o quitar complemento…
• En Asistente del complemento Certificados, escoger Cuenta de computadora, A continuación, seleccione > Siguiente
• En la página Seleccionar computadora, elija Computadora local: (la computadora en la que se ejecuta esta consola), luego seleccione Finalizar.
• En Agregar o quitar complementos diálogo, haga clic OK para agregar el complemento de certificados a MMC.
• En la ventana de MMC, expanda Raíz de consola. Seleccione Certificados (computadora local), luego expanda el nodo personal, Seguido por el Nodo de certificados.



• Se muestra el certificado autofirmado creado en el paso anterior, como ejemplodominio.com. Haga clic derecho en este certificado, luego elija Todas las tareas > Exportar.



• En Asistente de exportación de certificados, seleccione Siguiente.
• Se debe exportar la clave privada del certificado. Si la clave privada no está incluida en el certificado exportado, la acción para habilitar LDAP seguro para su dominio administrado falla.
  En la página Exportar clave privada, elija Sí, exporte la clave privada y luego seleccione Siguiente.



• Los dominios administrados de Azure AD DS solo admiten la Formato de archivo de certificado .PFX eso incluye la clave privada. No exporte el certificado como formato de archivo de certificado .CER sin la clave privada.
• En la página Exportar formato de archivo, seleccione Intercambio de información personal: PKCS #12 (.PFX) como formato de archivo para el certificado exportado. Marque la casilla Incluir todos los certificados en la ruta de certificación si es posible y haga clic en Siguiente.



• En la página Seguridad, elija la opción para Contraseña para proteger el archivo de certificado .PFX. Ingrese y confirme una contraseña, luego seleccione Siguiente. Esta contraseña se usa en la siguiente sección para habilitar LDAP seguro para su dominio administrado de Azure AD DS.



• En la página Archivo para exportar, especifique el nombre del archivo y la ubicación donde desea exportar el certificado, como C:\Usuarios\nombre de cuenta\azure-ad-ds.pfx.
• En la página de revisión, haga clic en Finalizar para exportar el certificado a un archivo de certificado .PFX. Se muestra un cuadro de diálogo de confirmación cuando el certificado se ha exportado correctamente.
• Deje el MMC abierto para usarlo en la siguiente sección.
2.3 Exportar un certificado para computadoras cliente
Los equipos cliente deben confiar en el emisor del certificado LDAP seguro para poder conectarse correctamente al dominio administrado mediante LDAPS. Los equipos cliente necesitan un certificado para cifrar correctamente los datos que Azure AD DS descifra. Siga los siguientes pasos para exportar y luego instalar el certificado autofirmado en el almacén de certificados confiable en la computadora cliente:

• Regrese al MMC para Certificados (Computadora local) > Personal > Almacén de certificados. Se muestra el certificado autofirmado creado en un paso anterior, como ejemplodominio.com. Haga clic derecho en este certificado, luego elija Todas las tareas > Exportar...
• En el Asistente para exportación de certificados, seleccione Siguiente.
• Como no necesita la clave privada para los clientes, en el En la página Exportar clave privada elija No, no exporte la clave privada y luego seleccione Siguiente.



• En la página Exportar formato de archivo, seleccione Base-64 codificado X.509 (.CER) como formato de archivo para el certificado exportado:



• En la página Archivo para exportar, especifique el nombre del archivo y la ubicación donde desea exportar el certificado, como C:\Users\accountname\client.cer.



• En la página de revisión, seleccione Finalizar para exportar el certificado a un archivo de certificado .CER. Se muestra un cuadro de diálogo de confirmación cuando el certificado se ha exportado correctamente.

3. Habilite LDAP seguro para Azure AD DS

• En Portal Azure, busque servicios de dominio en el cuadro Buscar recursos. Seleccionar Servicios de dominio de Azure AD del resultado de la búsqueda.



• Elija su dominio administrado, como ejemplodominio.com.



• En el lado izquierdo de la ventana de Azure AD DS, elija LDAP seguro.



• De forma predeterminada, el acceso LDAP seguro a su dominio administrado está deshabilitado. Cambie LDAP seguro para habilitar.
• palanca Permitir el acceso LDAP seguro a través de Internet para permitir.
• Seleccione el icono de carpeta al lado de Archivo .PFX con un certificado LDAP seguro. Busque la ruta del archivo .PFX y luego seleccione el certificado creado en un paso anterior que incluye la clave privada.
• Ingrese la Contraseña para descifrar el archivo .PFX establecida en un paso anterior cuando el certificado se exportó a un archivo .PFX.
• Haga clic en Guardar para habilitar LDAP seguro.
  
  NOTA: Se muestra una notificación de que se está configurando LDAP seguro para el dominio administrado. No puede modificar otras configuraciones para el dominio administrado hasta que se complete esta operación. Se necesitan unos minutos para habilitar LDAP seguro para su dominio administrado.



• Se muestra una notificación de que se está configurando LDAP seguro para el dominio administrado. No puede modificar otras configuraciones para el dominio administrado hasta que se complete esta operación. Toma un pocos minutos para habilitar LDAP seguro para su dominio administrado.



4. Agregar reglas de seguridad

• En el lado izquierdo de la ventana de Azure AD DS, elija Propiedades.
• Luego seleccione el correspondiente Grupo de red asociado con este dominio en el grupo de seguridad de red asociado con la subred.



• Se muestra la lista de reglas de seguridad entrantes y salientes existentes. En el lado izquierdo de las ventanas del grupo de seguridad de red, elija Seguridad > Reglas de seguridad entrantes.
• Seleccione Añada, luego cree una regla para permitir el puerto TCP 636.
• Opción A: agregue una regla de seguridad entrante para permitir todas las solicitudes TCP entrantes.

Ajustes	Valor
Fuente	Alquiler y venta
Rangos de puertos de origen	*
Destino	Alquiler y venta
Rangos de puertos de destino	636
Protocolo	TCP
la columna Acción	Permitir
Prioridad	401
Nombre	PermitirLDAPS

• Opción B: agregue una regla de seguridad entrante para permitir solicitudes TCP entrantes desde un conjunto específico de direcciones IP.(Recomendado)

Ajustes	Valor
Fuente	Direcciones IP
Direcciones IP de origen/rangos CIDR	Dirección IP válida o rango para su entorno.
Rangos de puertos de origen	*
Destino	Alquiler y venta
Rangos de puertos de destino	636
Protocolo	TCP
la columna Acción	Permitir
Prioridad	401
Nombre	PermitirLDAPS





• Cuando esté listo, haga clic en Añada para guardar y aplicar la regla.

5. Configurar DNS para acceso externo

• Con el acceso LDAP seguro habilitado a través de Internet, actualice la zona DNS para que las computadoras cliente puedan encontrar este dominio administrado. La dirección IP externa de LDAP seguro aparece en la pestaña Propiedades de su dominio administrado de Azure AD DS:



• Haga la siguiente entrada en su archivo de hosts <Secure LDAP external IP address>ldaps.<domainname>
Replace <Secure LDAP external IP address> with the IP we get from azure portal and replace
&l;tdomainname> with the domain name for which the certificate was created.(Value used in $dnsName)
Eg: 99.129.99.939 ldaps.exampledomain.com

6. Permitir que un usuario se vincule exitosamente

• En el lado izquierdo de la ventana de Azure AD DS, elija Propiedades.
• Luego seleccione el correspondiente Grupo de administración asociado con este dominio.



• Luego seleccione Miembros en la pestaña Administrar del panel lateral izquierdo.



• Haga clic en Añadir miembros y seleccione el miembro que usaría para realizar la operación de vinculación. Luego inicie sesión en Azure Portal con el mismo usuario que ahora es administrador (si aún no ha iniciado sesión).
• Seleccione la configuración de usuario en la esquina superior derecha y haga clic en ver cuenta.



• Luego seleccione Configurar restablecimiento de contraseña de autoservicio y continúe con su configuración.



• Después de una configuración exitosa, seleccione Azure Portal de la lista de aplicaciones.



• Luego vaya nuevamente al perfil de usuario y seleccione cambiar contraseña.



• Una vez que la contraseña se cambia correctamente, este usuario es elegible para la operación vinculante.

7. Configure Joomla LDAP usando Azure Active Directory

• Descargue el archivo zip del complemento LDAP miniOrange para Joomla desde el enlace esta página.
• Inicie sesión en su sitio Joomla Administrador consola.
• Desde el menú de alternancia de la izquierda, haga clic en System, luego en la sección Instalar haga clic en Prórrogas de tiempo para presentar declaraciones de impuestos.

• Aquí haga clic en Buscar archivo para localizar e instalar el archivo del complemento descargado anteriormente.

• Una vez que la instalación del complemento sea exitosa. Ahora haga clic en Comience a utilizar el complemento LDAP miniOrange.

• Serás redirigido a la pestaña Configurar LDAP. Para conectar su sitio Joomla a Microsoft Azure Active Directory, deberá configurar los siguientes ajustes:

Campo	Valor
Servidor de directorio	Microsoft Active Directory
URL del servidor LDAP	URL del servidor LDAP: este es el nombre de dominio que agregamos en la configuración del archivo de host de los sistemas de nombres de dominio. Puede obtener la URL del servidor LDAP desde haga clic aquí
Dominio de cuenta de servicio	Puede obtener el nombre de dominio de la cuenta de servicio de haga clic aquí
Contraseña de la cuenta de servicio	Contraseña de la cuenta utilizada para vincular esta página.
Base de búsqueda	Proporcione el nombre distintivo del objeto de la base de búsqueda. Por ejemplo: cn=Usuario,dc=dominio,dc=com. Puede seleccionar la base de búsqueda como se proporciona en el menú desplegable
Filtro de búsqueda	Los filtros de búsqueda le permiten definir criterios de búsqueda y proporcionar búsquedas más eficientes y efectivas. Por ejemplo: nombre principal de usuario


• En Configuraciones de mapeo LDAP de usuario, seleccione su Base de búsqueda (el árbol LDAP en el que se buscarán sus usuarios) y su Atributo de nombre de usuario (el valor con el que se buscará a tu usuario en el AD). Haga clic en Guardar Mapeo de usuario botón para guardar su configuración.

• Bajo la Sección de autenticación de prueba, puedes ingresar tu nombre de usuario nombre de usuario y la contraseña para probar su conexión y autenticación con el servidor LDAP.

• En Asignación de atributos pestaña, ingrese el Usuario del usuario presente en su AD y haga clic en Verificar atributos recibiendo para obtener una lista de los atributos recibidos del AD.

• Desde el Configuración de inicio de sesión pestaña, seleccione el ,Habilitar inicio de sesión LDAP casilla de verificación para habilitar el inicio de sesión mediante LDAP. Haga clic en el botón Guardar para guardar esta opción. Puede habilitarlo solo después de configurar la configuración del complemento.

• Felicitaciones, ha configurado exitosamente el mini LDAP naranja complemento con su Directorio Activo.

Soporte activo 24 horas al día, 7 días a la semana

Si tiene algún problema o tiene alguna pregunta, no dude en comunicarse con nosotros en joomlasupport@xecurify.com. En caso de que desee que se incluyan algunas funciones adicionales en el complemento, comuníquese con nosotros y podremos personalizarlas para usted. Además, si lo deseas, también podemos programar una reunión en línea para ayudarte a configurar el Joomla LDAP Enchufar.