Inicio de sesión del usuario con la autenticación de paso a través de Azure Active Directory

¿Qué es la autenticación de paso a través de Azure Active Directory?

La autenticación de paso a través de Azure Active Directory (Azure AD) permite a los usuarios iniciar sesión en aplicaciones basadas en la nube y locales con las mismas contraseñas. Esta característica proporciona a los usuarios una mejor experiencia (una contraseña menos que recordar) y reduce los costos del departamento de soporte técnico de TI dado que es menos probable que olviden cómo iniciar sesión. Cuando los usuarios inician sesión con Azure AD, esta característica valida sus contraseñas directamente con la instancia de Active Directory local.

Esta característica es una alternativa a la sincronización de hash de contraseña de Azure AD, que proporciona la misma ventaja de autenticación en la nube a las organizaciones. Sin embargo, las organizaciones que deseen aplicar sus directivas locales de seguridad y contraseñas de Active Directory, pueden usar la autenticación de paso a través en su lugar. Consulte esta guía para ver una comparación de los distintos métodos de inicio de sesión de Azure AD y cómo elegir el método correcto para su organización.

Autenticación de paso a través de Azure AD

Puede combinar la autenticación de paso a través con la característica de inicio de sesión único de conexión directa (SSO). De esta manera, cuando los usuarios accedan a las aplicaciones en sus máquinas corporativas dentro de la red de la empresa, no tendrán que escribir la contraseña para iniciar sesión.

Principales ventajas del uso de la autenticación de paso a través de Azure AD

  • Mejor experiencia del usuario
    • Los usuarios usan las mismas contraseñas para iniciar sesión tanto en las aplicaciones basadas en la nube como en las locales.
    • Los usuarios dedican menos tiempo a hablar con el departamento de soporte técnico de TI para que resuelvan problemas relacionados con las contraseñas.
    • Los usuarios pueden realizar las tareas de administración de contraseñas de autoservicio en la nube.
  • Es fácil de implementar y administrar
    • No se requieren complejas implementaciones locales ni la configuración de la red.
    • Solo necesita instalar en local un agente ligero.
    • Sin sobrecarga de administración. El agente recibe automáticamente las mejoras y las correcciones de errores.
  • Protección
    • Las contraseñas locales nunca se almacenan en la nube.
    • Protege las cuentas de usuario y, para ello, trabaja sin problemas con directivas de acceso condicional de Azure AD, incluida la autenticación multifactor, el bloqueo de autenticación heredada y el filtrado de ataques por fuerza bruta.
    • El agente solo realiza conexiones salientes desde dentro de la red. Por lo tanto, no es necesario instalar el agente en una red perimetral, también conocida como DMZ.
    • La comunicación entre un agente y Azure AD está protegida mediante la autenticación basada en certificados. Azure AD renueva estos certificados automáticamente cada pocos meses.
  • Alta disponibilidad
    • Se pueden instalar agentes adicionales en varios servidores locales para lograr una alta disponibilidad de las solicitudes de inicio de sesión.

Características destacadas

  • Admite el inicio de sesión de usuario en todas las aplicaciones basadas en explorador web y en las aplicaciones cliente de Microsoft Office que usan la autenticación moderna.
  • Los nombres de usuario de inicio de sesión pueden ser el predeterminado local (userPrincipalName) u otro atributo (conocido como Alternate ID) configurado en Azure AD Connect.
  • La característica funciona sin problemas con características de acceso condicional, como Multi-Factor Authentication (MFA), para ayudar a proteger a los usuarios.
  • Se integra con la administración de contraseñas de autoservicio basada en la nube, incluida la escritura diferida de contraseñas en Active Directory local y la protección con contraseña mediante la prohibición de contraseñas usadas habitualmente.
  • Se admiten entornos de varios bosques si hay relaciones de confianza de bosque entre los bosques de AD y si el enrutamiento de sufijos de nombre está configurado correctamente.
  • Es una característica gratuita y no es necesario usar ninguna versión de pago de Azure AD para usarla.
  • Puede habilitarse a través de Azure AD Connect.
  • Usa un agente local ligero que escucha las solicitudes de validación de contraseña y las responde.
  • La instalación de varios agentes proporciona una alta disponibilidad de las solicitudes de inicio de sesión.
  • Protege las cuentas locales frente a ataques de contraseña por fuerza bruta en la nube.

Pasos siguientes