Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan los procedimientos recomendados para proteger la solución azure Active Directory B2C (Azure AD B2C). Para construir su solución de identidad mediante Azure AD B2C, se involucran muchos componentes que debe considerar para proteger y supervisar.
En función de la solución, tiene uno o varios de los siguientes componentes en el ámbito:
- Puntos de conexión de autenticación de Azure AD B2C
-
Flujos de usuario de Azure AD B2C o directivas personalizadas
- Iniciar sesión
- Regístrate
- Contraseña de un solo uso (OTP) de correo electrónico
- Controles de autenticación multifactor
- API de REST externas
Debe proteger y supervisar todos estos componentes para asegurarse de que los usuarios puedan iniciar sesión en aplicaciones sin interrupciones. Siga las instrucciones de este artículo para proteger su solución contra ataques de bots, la creación de cuentas fraudulentas, el fraude de reparto de ingresos internacional (ISRF) y los ataques de rociado de contraseñas.
Cómo asegurar tu solución
La solución de identidad usa varios componentes para proporcionar una experiencia de inicio de sesión fluida. En la tabla siguiente se muestran los mecanismos de protección que se recomiendan para cada componente.
| Componente | Punto final | Por qué | Cómo proteger |
|---|---|---|---|
| Puntos de conexión de autenticación de Azure AD B2C |
/authorize, /token, , /.well-known/openid-configuration, /discovery/v2.0/keys |
Evitar el agotamiento de recursos | Firewall de aplicaciones web (WAF) y Azure Front Door (AFD) |
| Inicio de sesión | N/D | Los inicios de sesión malintencionados pueden intentar forzar cuentas o usar credenciales filtradas | Protección de Identidad |
| Registro | N/D | Registros fraudulento que puede intentar agotar los recursos. |
Protección de Puntos Finales Tecnologías de prevención de fraudes, como Dynamics Fraud Protection |
| Correo electrónico OTP | N/D | Intentos fraudulentos de forzar o agotar recursos | Protección de puntos de conexión y aplicación Authenticator |
| Controles de autenticación multifactor | N/D | Llamadas telefónicas no solicitadas o mensajes SMS o agotamiento de recursos. | Protección de puntos de conexión y aplicación Authenticator |
| API de REST externas | Los puntos de conexión de la API REST | El uso malintencionado de flujos de usuario o directivas personalizadas puede provocar el agotamiento de recursos en los puntos de conexión de API. | WAF y AFD |
Mecanismos de protección
En la tabla siguiente se proporciona información general sobre los distintos mecanismos de protección que puede usar para proteger distintos componentes.
| Qué | Por qué | Cómo |
|---|---|---|
| Firewall de aplicaciones web (WAF) | WAF actúa como la primera capa de defensa contra las solicitudes malintencionadas realizadas a los puntos de conexión de Azure AD B2C. Proporciona una protección centralizada contra vulnerabilidades de seguridad comunes, como DDoS, bots, OWASP Top 10, etc. Se recomienda usar WAF para asegurarse de que las solicitudes malintencionadas se detengan incluso antes de que lleguen a los puntos de conexión de Azure AD B2C.
Para habilitar WAF, primero debe habilitar dominios personalizados en Azure AD B2C mediante AFD. |
|
| Azure Front Door (AFD) | AFD es un punto de entrada global y escalable que usa la red perimetral global de Microsoft para crear aplicaciones web rápidas, seguras y ampliamente escalables. Las principales funcionalidades de AFD son:
|
|
| Comprobación y corrección de identidades/Protección contra fraudes | La comprobación y la corrección de identidades son fundamentales para crear una experiencia de usuario de confianza y proteger contra la creación de cuentas fraudulentas y la adquisición de cuentas. También contribuye a la higiene de los inquilinos asegurándose de que los objetos de usuario reflejen los usuarios reales, que se alinean con los escenarios empresariales.
Azure AD B2C permite la integración de la comprobación y corrección de identidades, y la protección contra fraudes de varios asociados de proveedor de software. |
|
| Identity Protection (Protección de identidad) | Identity Protection proporciona detección continua de riesgos. Cuando se detecta un riesgo durante el inicio de sesión, puede configurar la directiva condicional de Azure AD B2C para permitir al usuario corregir el riesgo antes de continuar con el inicio de sesión. Los administradores también pueden usar informes de protección de identidades para revisar los usuarios de riesgo que están en riesgo y revisar los detalles de detección. El informe de detecciones de riesgo incluye información sobre cada detección de riesgos, como su tipo y la ubicación del intento de inicio de sesión, etc. Los administradores también pueden confirmar o denegar que el usuario está en peligro. | |
| Acceso condicional (CA) | Cuando un usuario intenta iniciar sesión, la ENTIDAD de certificación recopila varias señales, como los riesgos de la protección de identidad, para tomar decisiones y aplicar directivas organizativas. La entidad de certificación puede ayudar a los administradores a desarrollar directivas coherentes con la posición de seguridad de su organización. Las directivas pueden incluir la capacidad de bloquear completamente el acceso de usuario o proporcionar acceso después de que el usuario haya completado otra autenticación como MFA. | |
| Autenticación multifactor | MFA agrega una segunda capa de seguridad al proceso de registro e inicio de sesión y es un componente esencial para mejorar la posición de seguridad de la autenticación de usuario en Azure AD B2C. La aplicación Authenticator : TOTP es el método MFA recomendado en Azure AD B2C. | |
| Administración de eventos e información de seguridad (SIEM)/ Orquestación de seguridad, automatización y respuesta (SOAR) | Necesita un sistema de supervisión y alertas confiable para analizar patrones de uso, como inicios de sesión y registros, y detectar cualquier comportamiento anómalo que pueda ser indicativo de un ciberataque. Es un paso importante que agrega una capa adicional de seguridad. También le permite comprender patrones y tendencias que solo se pueden capturar y crear a lo largo del tiempo. Las alertas ayudan a determinar factores como la tasa de cambio en los inicios de sesión generales, un aumento de los inicios de sesión con errores, los recorridos de registro erróneos, y los fraudes basados en teléfono, como ataques IRSF, etc. Todos estos pueden ser indicadores de un ciberataque continuo que requiere atención inmediata. Azure AD B2C admite el registro de alto nivel y granular, así como la generación de informes y alertas. Se recomienda implementar la supervisión y las alertas en todos los inquilinos de producción. |
Protección de las API REST
Azure AD B2C permite conectarse a sistemas externos mediante los conectores de API o el perfil técnico de la API REST. Debe proteger estas interfaces. Puede evitar solicitudes malintencionadas a las API REST protegiendo los puntos de conexión de autenticación de Azure AD B2C. Puede proteger estos puntos de conexión con un WAF y AFD.
Escenario 1: Protección de la experiencia de inicio de sesión
Después de crear una experiencia de inicio de sesión o un flujo de usuario, deberá proteger componentes específicos del flujo frente a actividades malintencionadas. Por ejemplo, si el flujo de inicio de sesión implica lo siguiente, en la tabla se muestran los componentes que necesita proteger y la técnica de protección asociada:
- Autenticación de contraseñas y correo electrónico de cuenta local
- Autenticación multifactor de Microsoft Entra mediante SMS o llamada telefónica
| Componente | Punto final | Cómo proteger |
|---|---|---|
| Puntos de conexión de autenticación de Azure AD B2C |
/authorize, /token, , /.well-known/openid-configuration, /discovery/v2.0/keys |
WAP y AFD |
| Iniciar sesión | N/D | Identity Protection (Protección de identidad) |
| Controles de autenticación multifactor | N/D | Aplicación Authenticator |
| API REST externa | Su punto de conexión de la API. | Aplicación Authenticator, WAF y AFD |
Escenario 2: Cómo asegurar tu experiencia de inscripción
Después de crear una experiencia de registro o un flujo de usuario, debe proteger componentes específicos del flujo frente a actividades malintencionadas. Si el flujo de inicio de sesión implica lo siguiente, en la tabla se muestran los componentes que necesita proteger y la técnica de protección asociada:
- Registro de cuenta local con correo electrónico y contraseña
- Verificación de correo electrónico mediante OTP
- Autenticación multifactor de Microsoft Entra mediante SMS o llamada telefónica
| Componente | Punto final | Cómo proteger |
|---|---|---|
| Puntos de conexión de autenticación de Azure AD B2C |
/authorize, /token, , /.well-known/openid-configuration, /discovery/v2.0/keys |
WAF y AFD |
| suscribirse | N/D | Protección contra fraudes de Dynamics |
| Correo electrónico OTP | N/D | WAF y AFD |
| Controles de autenticación multifactor | N/D | Aplicación Authenticator |
En este escenario, el uso de los mecanismos de protección de WAF y AFD protege tanto los puntos de conexión de autenticación de Azure AD B2C como los componentes de OTP de correo electrónico.
Pasos siguientes
- Configure un firewall de aplicaciones web para proteger los puntos de conexión de autenticación de Azure AD B2C.
- Configure la prevención de fraudes con Dynamics para proteger sus experiencias de autenticación.
- Investigue el riesgo con Identity Protection en Azure AD B2C para detectar, investigar y corregir riesgos basados en identidades.
- Protección de la autenticación multifactor basada en teléfonos para proteger la autenticación multifactor basada en el teléfono.
- Configure Identity Protection para proteger la experiencia de inicio de sesión.
- Configure la supervisión y las alertas para ser notificado de cualquier amenaza.