Ir al contenido
Avanet

Configure el inicio de sesión único de Microsoft Entra ID para el portal cautivo de Sophos Firewall

Sophos Firewall

Con Microsoft Entra ID SSO para portal cautivo, Sophos Firewall puede autenticar a los usuarios con Microsoft Entra ID a través del navegador antes de que las reglas de firewall basadas en usuarios entren en vigor. Esto es particularmente interesante para redes BYOD, zonas de invitados o socios, dispositivos sin detección transparente de AD o entornos donde STAS no se adapta a todos los clientes.

Es importante diferenciar: el portal cautivo no es un portal VPN ni un acceso remoto. El usuario ya está en la red local o Wi-Fi e inicia sesión en el navegador para que el firewall pueda asignar el tráfico posterior a una identidad de usuario. Para el acceso remoto con Sophos Connect, el artículo separado Configure Microsoft Entra ID SSO para Sophos Connect y VPN Portal es adecuado.

Cuando el portal cautivo con Entra ID SSO tiene sentido

El portal cautivo con Entra ID SSO tiene sentido si los usuarios inician sesión con Microsoft 365 de todos modos y el firewall necesita una identidad de usuario para ciertas redes.

Aplicaciones típicas:

  • Redes BYOD o WiFi sin unirse a un dominio.
  • Invitados o usuarios externos con acceso controlado a algunos destinos.
  • Reglas de Internet basadas en el usuario sin STAS o SATC.
  • Redes donde la autenticación transparente no es confiable.
  • Escenarios de transición en los que se debería reducir la autenticación de AD local.

Para clientes Windows totalmente administrados en un dominio clásico, Captive Portal no es automáticamente la mejor solución. Allí STAS, AD SSO u otros procedimientos transparentes pueden ser más ergonómicos porque los usuarios no tienen que activar activamente un inicio de sesión en el navegador. El portal cautivo es más bien una solución alternativa o especial para dispositivos no administrados.

Portal cautivo separado, portal VPN y portal de usuario

Con Entra ID SSO, los términos del portal se confunden rápidamente. La separación es crucial para la configuración.

PortalPropósitoCubierta típica de Entra
Portal cautivoLos usuarios de la red local inician sesión a través del navegador para que las reglas con la identidad del usuario surtan efectoEntra ID SSO para inicio de sesión en el navegador y mapeo de usuarios
Portal VPNLos usuarios de acceso remoto cargan configuraciones de Sophos Connect o VPNEntra ID SSO para acceso remoto e inicio de sesión en el portal
Portal de usuarioFunciones de usuario como OTP u opciones personales más antiguasdependiendo del entorno sigue siendo relevante para tokens u opciones de usuario

Una descripción general del portal está disponible en Portales de Sophos: SophosID, Central, soporte y acceso al firewall. Para el portal cautivo hay que comprobar sobre todo desde qué zona se puede acceder al servicio de firewall local y qué regla de firewall procesa el tráfico de usuario real.

Requisitos

Antes de montar conviene aclarar estos puntos:

  • Sophos Firewall con una versión SFOS compatible con Microsoft Entra ID SSO.
  • Microsoft Entra Tenant con permiso para registro de aplicaciones, URI de redireccionamiento, permisos de API, consentimiento de administrador y secreto de cliente.
  • FQDN y certificado para el portal cautivo para que los usuarios no vean advertencias innecesarias del navegador.
  • Accesibilidad de los puntos finales de inicio de sesión de Microsoft desde la red del cliente afectado.
  • El portal cautivo está permitido en Administración > Acceso al dispositivo para la zona correcta.
  • Los usuarios o grupos se mantienen limpios en Microsoft Entra ID.
  • Las reglas del firewall utilizan los usuarios o grupos esperados.
  • Un usuario de prueba y acceso alternativo están disponibles.
  • La hora y NTP en el firewall y los clientes son correctos porque OAuth/OIDC depende del tiempo.
  • Si Asignación requerida está activo en Microsoft Entra ID, los usuarios o grupos requeridos se asignan a la aplicación empresarial.

⚠️ El portal cautivo es un área de inicio de sesión en el firewall. Sólo debería ser accesible en las zonas donde realmente se necesita. El acceso al dispositivo y la ACL del servicio local son controles de seguridad aquí, no solo configuraciones de conexión.

Para reforzar los servicios de firewall local, es adecuado Proteger el acceso a Sophos Firewall: configurar el acceso al dispositivo correctamente.En este diseño, MFA se implementa en Microsoft Entra ID, por ejemplo mediante acceso condicional. La MFA local de Sophos Firewall no reemplaza el factor de inicio de sesión de Microsoft con Entra ID SSO. Esto suele ser mejor desde la perspectiva del usuario porque se usa la misma MFA que Microsoft 365, pero se debe planificar y probar cuidadosamente en el inquilino.

Planificar la arquitectura antes de amueblar

Antes de la configuración técnica, debe decidir qué tarea debe resolver específicamente el portal cautivo. De lo contrario, rápidamente terminará con un inicio de sesión que funciona pero que no activa una regla de firewall adecuada.

Preguntas de diseño importantes:

PreguntaPor qué es importante
¿Qué zona utiliza el Portal Cautivo?El acceso al dispositivo y el origen de las reglas dependen de la zona.
¿Qué grupo de usuarios puede iniciar sesión?El grupo Entra debe coincidir con la regla de firewall posterior.
¿Qué objetivos se pueden lograr después de iniciar sesión?El portal cautivo no reemplaza la segmentación limpia.
¿Cuánto tiempo deben ser válidas las sesiones?Las sesiones demasiado largas diluyen la asignación de usuarios y las sesiones demasiado cortas interrumpen las operaciones.
¿Qué sucede en caso de una interrupción de Entra o Internet?Es necesario que haya un claro respaldo para los empleos críticos.
¿Cómo se activa el inicio de sesión?Los usuarios necesitan una URL de portal cautivo accesible o una redirección limpia.

El portal cautivo no debe usarse como reemplazo de VLAN, zonas o reglas mínimas de firewall. El firewall conoce mejor al usuario después de iniciar sesión, pero la arquitectura de la red aún debe permanecer limpia. Configurar zonas e interfaces de Sophos Firewall es adecuado para la lógica básica de zonas.

Crear servidor de identificación de Microsoft Entra

La configuración consta de dos partes: primero, se prepara el registro de una aplicación en Microsoft Entra ID. Luego, esta aplicación se registra como servidor de autenticación en el firewall de Sophos.

Preparar el registro de la aplicación en Microsoft Entra ID

Se debe crear un registro de aplicación independiente para el firewall en Microsoft Entra ID. Esto significa que los URI de redireccionamiento, los permisos y los secretos del cliente permanecen claramente separados de otras aplicaciones.

Proceso típico:

  1. Abra el centro de administración de Microsoft Entra.
  2. Abra Registros de aplicaciones > Nuevo registro.
  3. Dé un nombre significativo, por ejemplo Sophos-Firewall-Captive-Portal.
  4. Como regla general, seleccione su propio inquilino como tipo de cuenta admitida.
  5. Utilice la Plataforma Web.
  6. Anote el ID de la aplicación (cliente) y el ID del directorio (inquilino).
  7. Cree un secreto de cliente en Certificados y secretos y guarde inmediatamente el valor del secreto de forma segura.
  8. En Permisos de API agregue los permisos necesarios de Microsoft Graph, normalmente User. Read. All y Group. Read. All.
  9. Otorgue Consentimiento del administrador para los permisos.
  10. Si se utiliza Asignación requerida, asigne los usuarios o grupos permitidos a la aplicación empresarial.

Sin los permisos de API adecuados y el consentimiento del administrador, el inicio de sesión puede llegar al inicio de sesión de Microsoft, pero el firewall no puede evaluar correctamente los datos del usuario o del grupo. En la práctica, esto suele parecer un problema de portal cautivo, aunque la causa esté en Microsoft Entra ID.

Crear un servidor Entra ID en Sophos Firewall

La ruta del menú en Sophos Firewall es:

Authentication > Servers

Proceso básico:

  1. Abra Agregar.
  2. Seleccione la opción Microsoft Entra ID SSO como Tipo de servidor.
  3. Asigne un nombre descriptivo, por ejemplo Entra-SSO-Captive-Portal.
  4. Ingrese ID de aplicación (cliente) desde la aplicación Entra.
  5. Ingrese ID del directorio (inquilino).
  6. Ingrese Secreto de cliente.
  7. Dependiendo del diseño, active Coincidir con usuarios conocidos si se van a asignar usuarios o grupos locales existentes.
  8. Utilice únicamente Usar autenticación web para usuarios desconocidos si los usuarios desconocidos van a ser manejados deliberadamente a través de un grupo alternativo.
  9. Establezca conscientemente un grupo de respaldo y manténgalo lo más restrictivo posible.
  10. Pruebe la conexión.
  11. Guardar.

El grupo de reserva no debe compartir Internet o redes de forma amplia. Sobre todo, es una red de seguridad para que un usuario no obtenga de forma incontrolable más acceso del previsto.> ⚠️ Los secretos del cliente son datos de acceso productivo. Se debe documentar la fecha de vencimiento, la rotación y la responsabilidad. Un secreto caducado a menudo parece un problema de inicio de sesión normal desde la perspectiva del usuario, pero en realidad es un problema operativo o de configuración.

Ingrese los URI de redireccionamiento correctamente

El URI de redireccionamiento que coincida con el firewall se debe ingresar en el registro de la aplicación en Microsoft Entra ID. Es fundamental que el FQDN, el certificado, el puerto y la ruta coincidan exactamente. Pequeñas diferencias en el nombre de host, puerto, protocolo o barra son suficientes para que falle el proceso OAuth/OIDC.

Sophos Firewall muestra las URL de servicio requeridas en el servidor Entra ID. La URL del portal cautivo es particularmente relevante para este artículo. Si también se utiliza WebAdmin o Acceso Remoto con Entra ID SSO, estos servicios tienen sus propias URL:

URL del servicioPara qué se utiliza
URL de la consola de administración webEntrada SSO de ID para WebAdmin Console
URL del portal cautivoEntra ID SSO para portal cautivo en la red local
Portal VPN y URL de acceso remotoEntra ID SSO para VPN Portal y Sophos Connect

Para el portal cautivo, en este flujo solo se debe probar el URI de redireccionamiento del portal cautivo. La URL de VPN es parte del diseño de acceso remoto y se trata en el artículo separado sobre SSO de Microsoft Entra ID para Sophos Connect y VPN Portal.

Establecer el método de autenticación del portal cautivo

Después de crear el servidor Entra, el método de autenticación para Captive Portal debe apuntar al servidor correcto.

El área relevante se encuentra en:

Authentication > Services

Para comprobar:

  1. Abra el área para Métodos de autenticación del portal cautivo.
  2. Agregue o arrastre el servidor Microsoft Entra ID a la posición correcta.
  3. Conserve otros servidores de autenticación únicamente si sirven como respaldo deliberado.
  4. Aplique el cambio con Aplicar.
  5. Realice un inicio de sesión de prueba con un solo usuario.

Si hay varios métodos de autenticación activos en paralelo, debe quedar claro qué servidor es responsable de cada grupo de usuarios. La operación combinada de Entra ID y autenticación AD local puede funcionar, pero aumenta significativamente el esfuerzo de solución de problemas. La lista de problemas conocidos de Sophos documenta casos de SSO de Entra en los que sesiones mixtas de Entra y AD locales pueden provocar errores similares a no permission.

Además, debe comprobar en Autenticación > Autenticación web cómo se abre el portal cautivo en el navegador. HTTPS es importante para Entra ID SSO. La opción Usar HTTP inseguro en lugar de HTTPS no debe activarse porque el flujo Entra-OAuth a través de HTTP no se admite adecuadamente y sería innecesariamente inseguro.

Lo siguiente es útil para la operación:

  1. Abra el portal cautivo en una nueva ventana del navegador.
  2. Mantenga abierta la ventana del portal cautivo durante la sesión.
  3. Haga que los usuarios cierren sesión conscientemente a través del portal cautivo si se va a cancelar la asociación.
  4. Después de iniciar sesión, verifique en Actividades actuales > Usuarios en vivo si el usuario está visible.

Dependiendo de la interfaz y el certificado, la URL estándar https://<Firewall-IP>:8090 también puede ayudar para las pruebas. Un FQDN limpio con un certificado adecuado es mucho más agradable para una operación productiva.

Verifique el acceso al dispositivo y la accesibilidad al portal

Portal cautivo es un servicio local del firewall. Una regla de firewall normal por sí sola no permite este acceso. La accesibilidad se controla en Administración > Acceso al dispositivo para la zona respectiva.

Deberías comprobar:

  • El portal cautivo solo se permite en las zonas requeridas.
  • Esto significa que no es casualidad que WebAdmin y SSH sean ampliamente accesibles.
  • El certificado y el FQDN coinciden con la URL del usuario.
  • DNS en la red del cliente resuelve correctamente el nombre del portal.
  • Las reglas de excepción de ACL de servicio local solo se establecen cuando son realmente necesarias.

Si no se puede acceder al portal cautivo desde una red, no debe crear primero una regla de permiso normal. La causa suele ser el acceso al dispositivo, la ACL del servicio local, el DNS, el certificado o la asignación de zonas incorrecta.

Considere el inicio de sesión de Microsoft y el filtro webEl cliente debe acceder a las páginas de inicio de sesión de Microsoft y a los recursos relacionados durante el inicio de sesión. De lo contrario, en redes restrictivas, el flujo de SSO puede detenerse en un punto que a los usuarios les parece un firewall o un error del navegador.

Para comprobar:

  • La resolución DNS para dominios de inicio de sesión de Microsoft funciona.
  • Se permite HTTPS a puntos finales de inicio de sesión de Microsoft.
  • El filtro web, la inspección TLS o el proxy no bloquean la página de inicio de sesión.
  • El tiempo en el firewall y el cliente es plausible.
  • Las cookies del navegador no quedan inutilizables mediante una política estricta.

En entornos restrictivos, debe verificar explícitamente el inicio de sesión de Microsoft y los puntos finales de Entra. Dependiendo del inquilino, el navegador y la ruta de inicio de sesión de Microsoft, estos dominios son relevantes, entre otros:

  • login.microsoftonline.com
  • *.login.microsoftonline.com
  • *.microsoftonline.com
  • *.msauth.net
  • *.msftauth.net
  • aadcdn.msauth.net
  • aadcdn.msftauth.net
  • aadcdn.msftauthimages.net
  • graph.microsoft.com

Si el filtro web, un proxy o una inspección TLS entran en vigor antes de iniciar sesión, estos objetivos no deben descifrarse ni bloquearse innecesariamente. Se debe verificar la Permitir la sección URL de la documentación de Entra ID para detectar políticas muy restrictivas.

Si la Protección web o la Inspección TLS están activas, el inicio de sesión con un usuario de prueba debe observarse en el visor de registros. A veces, el problema no es el portal cautivo en sí, sino una política web, una excepción TLS o una red de cliente que no llega completamente a los puntos finales de Microsoft.

Probar grupos de usuarios y reglas de firewall

Después de un inicio de sesión exitoso en el portal cautivo, la regla de firewall real debe ver al usuario o grupo en el tráfico. Esta es la prueba práctica más importante.

Proceso típico:

  1. Verifique los usuarios en Microsoft Entra ID.
  2. Compare UPN, dirección de correo electrónico y membresía de grupo.
  3. Marque el grupo Entra en Sophos Firewall.
  4. Realice el inicio de sesión en el portal cautivo con el usuario de prueba.
  5. Luego, active el tráfico de usuarios reales, por ejemplo HTTPS, a un destino permitido.
  6. En el Visor de registros, verifique si el usuario, grupo, zona de origen, red de origen y ID de regla coinciden con la regla esperada.

Un inicio de sesión exitoso en el navegador solo prueba la autenticación. No prueba que se aplique la regla del usuario posterior. Si el contador de reglas permanece en 0 o no hay ningún usuario visible en el visor de registros, debe usar el flujo de La regla de Sophos Firewall no funciona: compruebe las causas.

Nota Grupo principal para el portal entra cautivo

Con portales cautivos con SSO de Microsoft Entra ID, debe verificar particularmente qué grupo evalúa realmente el firewall para la regla de usuario posterior. Para los usuarios de Entra-ID SSO, el acceso a Internet a través del portal cautivo solo puede funcionar si el Grupo principal del usuario se utiliza en la regla de firewall. Los grupos secundarios no se comportan igual que los usuarios de AD locales clásicos.

En la práctica, esto significa: Un usuario puede iniciar sesión exitosamente en el portal cautivo y aun así no cumplir con la regla esperada si la regla solo apunta a un grupo Entra secundario. Este error rápidamente parece un problema de portal cautivo, OAuth o navegador, aunque el inicio de sesión fue correcto.

Por lo tanto, antes de una implementación, debe registrar lo siguiente para cada usuario de prueba:

examenexpectativa
Grupo primario en Entra IDEl grupo es conocido y se ajusta a la política prevista.
Grupo en Sophos FirewallEl mismo grupo se importa o asigna correctamente.
Regla de cortafuegosEl grupo primario está incluido en la condición de usuario o grupo.
Pruebe el tráfico después de iniciar sesiónEl Visor de registros muestra el usuario, el ID de la regla y la acción esperada.
ReservaSi no es posible hacer coincidir el grupo de manera limpia, existe una regla de prueba personalizada temporal.

Esto no afecta a Sophos Connect VPN con Microsoft Entra ID SSO. Para el acceso remoto, se debe verificar el proceso separado para SSO de Microsoft Entra ID para Sophos Connect y VPN Portal.

Validación después del lanzamiento

Para aceptarlo, no solo debes comprobar si aparece la página de inicio de sesión de Microsoft.| prueba | Resultado esperado | | — | — | | Abrir URL del portal cautivo desde la red del cliente | El navegador muestra el inicio de sesión esperado de Entra o la redirección de Sophos | | Iniciar sesión con usuario permitido | Inicio de sesión exitoso, el usuario aparece en el firewall | | Iniciar sesión con usuario no permitido | El acceso está comprensiblemente denegado | | Prueba de reglas del grupo primario | El usuario de prueba cumple con la regla de usuario esperada | | Tráfico de usuarios después de iniciar sesión | regla de firewall correcta que coincide con la referencia del usuario | | Flujo de sesión | Después de un tiempo de espera, deberá iniciar sesión nuevamente | | Inicio de sesión de Microsoft bloqueado | El visor de registros o los registros web muestran un motivo comprensible | | Escenario alternativo | El administrador sabe cómo verificar o cambiar temporalmente el acceso en caso de una interrupción en Entra

Especialmente con las redes BYOD, debes realizar pruebas con múltiples navegadores y dispositivos. Los modos de navegación privada, las cookies de terceros bloqueadas, los inicios de sesión guardados antiguos o varias cuentas de Microsoft en el mismo dispositivo pueden producir resultados diferentes.

Solución de problemas

No se puede acceder al portal cautivo

Primero verifique Administración > Acceso al dispositivo para la zona afectada. Luego verifique el DNS, el certificado, el FQDN del portal, la ACL del servicio local y la asignación de zonas. Si el acceso va al propio firewall, una regla de firewall normal no es el primer punto de control.

El inicio de sesión de Microsoft se inicia pero no regresa

Compare el URI de redireccionamiento, el FQDN, el certificado y el puerto. La URL exacta que utiliza Sophos Firewall para el portal cautivo debe almacenarse en Microsoft Entra ID. Las reglas de inspección proxy o TLS también pueden interferir con la devolución.

Cuando Microsoft muestra el error AADSTS50011, el URI de redireccionamiento en el registro de la aplicación generalmente no coincide con la URL que utiliza el firewall. Luego se deben comparar exactamente el protocolo, FQDN, puerto y ruta.

Aparece un error interno después de iniciar sesión en Microsoft

Un 500 Internal Server Error o un error genérico similar después de un inicio de sesión exitoso en Microsoft a menudo indica una falta de permisos de Microsoft Graph, una falta de consentimiento del administrador o un problema con el secreto del cliente. Luego debe verificar los permisos de API, el consentimiento del administrador, la validez del secreto y la asignación de la aplicación empresarial en Microsoft Entra ID.

El nombre de usuario y la contraseña no funcionan directamente

Entra ID SSO es un navegador y un flujo OAuth/OIDC. Los usuarios no inician sesión directamente en el firewall con credenciales clásicas, sino que son redirigidos a Microsoft. Si un cliente o flujo solo admite nombre de usuario y contraseña sin redirección del navegador, este método no sirve.

MFA no aparece o aparece de manera diferente a lo esperado

Con Entra ID SSO, MFA se controla en Microsoft Entra ID. El firewall local MFA no es el punto de control correcto para este flujo de SSO. Si se requiere MFA, debe verificar el acceso condicional, los grupos de usuarios, las exclusiones y los usuarios de prueba en Microsoft Entra ID.

El usuario ve no permission o es rechazado después de una operación prolongada

Borre las cookies del navegador y verifique si el mismo usuario se utiliza en paralelo a través de Entra ID SSO y autenticación AD local. Al combinar Entra y On-Prem AD para el mismo usuario, el diseño de autenticación debe simplificarse o al menos documentarse claramente.

El inicio de sesión funciona, pero la regla de usuario no coincide

Entonces el portal cautivo probablemente ya no sea el único problema. Verifique la zona de origen, la red de origen, el grupo de usuarios, la posición de la regla y el visor de registros. A menudo, una regla más general está por encima de la regla del usuario o el tráfico proviene de una red diferente a la esperada.

Para Entra ID SSO a través del portal cautivo, también debe verificar si la regla de firewall utiliza el grupo principal del usuario. Si solo hay un grupo secundario en la regla, el inicio de sesión puede ser exitoso mientras que el acceso real a Internet o de destino no pase por la regla de usuario esperada.

Sólo los usuarios individuales se ven afectados

Compare UPN, dirección de correo electrónico, nombre para mostrar, membresía de grupo y grupo importado. Con Entra ID SSO, no debe asumir que el nombre visible y el identificador técnico son idénticos. Si la dirección de correo electrónico y el UPN divergen históricamente, es fácil que surjan errores de mapeo.

¿Qué registros ayudan?oauth_sso_captive.log es particularmente relevante para el portal cautivo con Entra ID SSO. Además, registre a los espectadores con el módulo Autenticación, access_server.log y, según el problema posterior, los registros web, de firewall o de autenticación ayudan. La asignación de los archivos más importantes se puede encontrar en Solución de problemas de Sophos Firewall: servicios y registros.

Lista de verificación

  • El caso de uso del portal cautivo es claro: BYOD, invitados, dispositivos no administrados o respaldo.
  • El FQDN y el certificado del portal cautivo están limpios.
  • Se documenta la aplicación Microsoft Entra ID con URI de redireccionamiento, ID de cliente, ID de inquilino y secreto de cliente.
  • Se establecen los permisos de Microsoft Graph API y el consentimiento del administrador.
  • Las asignaciones de aplicaciones empresariales se marcan si Asignación requerida está activo.
  • Client Secret tiene fecha de vencimiento, propietario y proceso de rotación.
  • El firewall tomó el control del URI de redireccionamiento del portal cautivo y lo ingresó exactamente en Entra ID.
  • Autenticación > Servicios utiliza el servidor Entra correcto para el Portal Cautivo.
  • Autenticación > Autenticación web utiliza HTTPS y la configuración adecuada de la ventana del navegador.
  • Administración > Acceso al dispositivo solo permite el portal cautivo en las zonas requeridas.
  • Se puede acceder a los puntos finales de inicio de sesión de Microsoft desde la red del cliente.
  • El filtrado web y la inspección TLS no bloquean el flujo de SSO.
  • MFA y acceso condicional se planifican y prueban en Microsoft Entra ID.
  • Coincidencia entre el grupo y el grupo de firewall.
  • Las reglas del portal cautivo con Entra ID SSO tienen en cuenta el grupo principal del usuario de prueba.
  • El usuario de prueba puede iniciar sesión y luego alcanzar la regla de firewall esperada.
  • El visor de registros muestra el usuario, el ID de la regla y la acción.
  • oauth_sso_captive.log y access_server.log son ​​conocidos por sus casos de soporte.
  • Se documenta el respaldo en caso de falla de Entra o Portal.

Preguntas frecuentes

¿Captive Portal con Entra ID SSO es lo mismo que Sophos Connect SSO?

No. Captive Portal autentica a los usuarios en la red local a través del navegador para que las reglas basadas en el usuario puedan surtir efecto. Sophos Connect SSO es parte del portal VPN y de acceso remoto.

¿El portal cautivo tiene que ser de acceso público?

No. El portal cautivo suele estar destinado a zonas internas o Wi-Fi. La accesibilidad debe establecerse lo más estrictamente posible a través de Acceso al dispositivo.

¿Por qué la regla de usuario no coincide a pesar de iniciar sesión correctamente?

El inicio de sesión solo confirma la autenticación. Luego, la zona de origen, la red de origen, el grupo de usuarios, la posición de la regla y el tráfico real deben coincidir con la regla. Para Entra ID SSO a través del portal cautivo, también debe verificar si la regla utiliza el grupo principal del usuario.

¿Qué archivo de registro es importante para el SSO de Entra Captive Portal?

oauth_sso_captive.log es importante para el flujo de SSO de OAuth del portal cautivo. Además, debe consultar Log Viewer y access_server.log.

¿Se puede utilizar Entra ID y autenticación AD local en paralelo?

Dependiendo del diseño, esto puede funcionar, pero aumenta el riesgo de errores. Si los mismos usuarios se autentican en paralelo a través de Entra ID SSO y AD local, las sesiones, los grupos y las rutas de inicio de sesión deben probarse de manera particularmente limpia.