Recursos aplicados

[!important] Queremos usar DNS en Azure para centralizar y gestionar de forma sencilla la resolución de nombres de nuestros servicios y aplicaciones en la nube.

[!important] A través de Terraform, definiremos y aprovisionaremos una aplicación en Azure Entra id que permita a nuestros usuarios autenticarse de forma segura en nuestra página web.

1. Creación de nuevo inquilino

Para crear un nuevo inquilino en Azure, iniciaremos sesión en portal azure con un usuario de administrador global, iremos al servicio de Entra ID, seleccionaremos Administrar inquilinos.

Lo siguiente será clicar sobre + Crear

Después seleccionaremos la opción de recursos

Una vez completados los pasos anteriores, podrás asignar al inquilino un nombre, definir su dominio inicial y elegir la región donde estará ubicado.

2. Cambio de inquilino y asignación de suscripción

A continuación, para empezar a trabajar con nuestro nuevo inquilino, haremos clic en el icono de usuario (donde aparece nuestro correo) en la esquina superior derecha y seleccionaremos Cambiar directorio.

Aquí verás tu nuevo inquilino; simplemente haz clic en el botón Conmutar, pero no lo realizaremos aun ya que tenemos que asignar la suscripción de Azure.

Volvemos a nuestro inquilino principal con el que estábamos trabajando.

A continuación, abre el portal de Azure, ve al apartado Suscripciones y, dentro de él, haz clic en Cambiar directorio.

Ahora cambiaremos la suscripción del directorio actual al inquilino que deseamos.

Y como podemos ver ya se ha asignado la suscripción correctamente al inquilino.

3. Creación de grupo de recursos

A continuación, crearemos un grupo de recursos, que servirá como contenedor lógico para organizar todos los elementos de nuestro proyecto de Entra ID; gracias a este enfoque, podremos aplicar políticas y permisos de manera homogénea, centralizar el control de costes y la asignación de presupuestos, y automatizar despliegues y actualizaciones mediante plantillas de Azure Resource Manager, garantizando así una infraestructura reproducible, segura y fácil de gestionar.

En este paso, completaremos los campos esenciales con la información que deseemos, incluyendo el nombre del grupo de recursos, la suscripción asociada, la región de implementación

Aquí podremos ver como se ha creado nuestro grupo de recursos.

Como hemos mencionado anteriormente, a continuación procederemos a instalar el paquete de Microsoft Domain Services, una extensión fundamental que nos permitirá integrar y sincronizar dominios en nuestro entorno. Este componente facilitará la autenticación de usuarios, la gestión de políticas de grupo y la resolución de nombres DNS, reforzando así la seguridad y la coherencia operativa de nuestra infraestructura. Con su implementación, ganaremos en eficiencia al delegar gran parte de las tareas de administración de dominios en un servicio gestionado, reduciendo la complejidad y asegurando el cumplimiento de estándares corporativos.

En el formulario de configuración de Microsoft Domain Services deberemos indicar un nombre de recurso que identifique de forma única tu instancia, especificar el dominio DNS gestionado, seleccionar la SKU según el volumen de usuarios y las características de seguridad necesarias, elegir la red virtual y subred donde se desplegarán las máquinas administradas para garantizar conectividad y aislamiento, definir el método de sincronización de contraseñas, señalar la unidad organizativa (OU) donde se crearán los objetos y asignar las cuentas con permisos de administrador de dominio, añadir una dirección de correo para recibir notificaciones sobre el estado del servicio y eventos críticos, y, opcionalmente, configurar el número de réplicas y la alta disponibilidad distribuidas en distintas zonas para asegurar la continuidad operativa.

Aquí podremos ver las opciones que hemos seleccionado y lo que haremos es crearlo.

4. Configuración de dominios y confianzas de Active directory

A continuación, accederemos al servidor local de Active Directory, navegaremos hasta la sección Dominios y Confianzas y añadiremos el nombre del dominio que deseamos integrar; de este modo, estableceremos la relación de confianza necesaria para que los equipos y usuarios puedan autenticarse y acceder a los recursos de manera segura y transparente.

5. Configuración de Azure connect

[!important] Descargar Azure connect

Una vez completada la descarga de Azure AD Connect, iniciaremos el asistente de instalación: ejecutaremos el instalador con privilegios de administrador, aceptaremos los términos de licencia, y configuraremos los parámetros básicos.

Seleccionaremos la opción de configuración personalizada.

Clicaremos sobre el botón de instalar sin marcar ninguna opción.

En el siguiente paso, accederemos al portal de Entra ID y navegaremos hasta Usuarios > Nuevo usuario; allí definiremos un nombre de usuario y una dirección de correo, completaremos los datos de perfil y, en Roles y administradores, asignaremos el rol de Administrador global para garantizarle los permisos más elevados. De este modo, dispondremos de una cuenta capaz de gestionar políticas, configuraciones y recursos críticos en todo el inquilino de Entra ID.

A continuación, elegiremos el método de sincronización de hash de contraseña y activaremos la casilla de Inicio de sesión único (SSO); con esto aseguramos que las credenciales de nuestros usuarios se mantengan sincronizadas entre el Active Directory local y Entra ID de forma segura, y que estos puedan acceder a todas las aplicaciones federadas sin necesidad de volver a introducir sus credenciales en cada servicio.

Aquí introduciremos la cuenta de administrador que hemos creado anteriormente.

Para desactivar la automatización de los applets de Java, abriremos las Propiedades de Internet, nos dirigiremos a la pestaña Seguridad, seleccionaremos la zona Internet y haremos clic en Nivel personalizado…; a continuación, nos desplazaremos hasta la sección “Automatización de los applets de Java”, marcaremos Deshabilitar y pulsaremos Aceptar para guardar los cambios.

Aquí introduciremos la cuenta de administrador de nuestro dominio local.

A continuación, añadiremos el sufijo de dominio correspondiente en el campo habilitado y, una vez verificado que coincide con nuestra nomenclatura, haremos clic en Siguiente para avanzar al siguiente paso del asistente. De este modo, garantizamos que todas las peticiones de resolución de nombres internas incluyan el sufijo adecuado y se resuelvan correctamente en nuestro entorno.

Haremos clic en el botón Instalar y, a continuación, el asistente pondrá en marcha el proceso de sincronización automáticamente; veremos cómo avanza la barra de progreso y se registran los eventos de copia y verificación de objetos desde nuestro Active Directory local hacia Entra ID. Una vez finalizada la operación, recibiremos una confirmación de éxito y podremos revisar el informe de logs para asegurarnos de que todos los usuarios y grupos se han sincronizado correctamente.

Y como podremos ver en las siguientes fotos se ha sincronizado correctamente con nuestro dominio local.