Compartir a través de

Información general técnica y de características de Azure Active Directory B2C

Importante

A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para ser adquirido por nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.

Este artículo es un complemento de Acerca de Azure Active Directory B2C y proporciona una introducción más detallada al servicio. Analizaremos aquí los recursos principales con los que trabaja en el servicio, sus características y aprenderán cómo le permiten proporcionar una experiencia de identidad totalmente personalizada para los clientes de sus aplicaciones.

Inquilino de Azure AD B2C

En Azure Active Directory B2C (Azure AD B2C), un inquilino representa la organización y es un directorio de usuarios. Cada inquilino de Azure AD B2C es distinto y independiente de otros inquilinos de Azure AD B2C. Una entidad de Azure AD B2C también es diferente de una entidad de Microsoft Entra, que quizás ya tenga.

Los recursos principales con los que trabaja en un inquilino de Azure AD B2C son:

  • Directorio : aquí es donde Azure AD B2C almacena las credenciales de los usuarios, los datos de perfil y los registros de aplicaciones.
  • Registros de aplicaciones : puede registrar las aplicaciones web, móviles y nativas con Azure AD B2C para habilitar la administración de identidades. También puede registrar cualquier API que quiera proteger con Azure AD B2C.
  • Flujos de usuario y directivas personalizadas : se usan para crear experiencias de identidad para las aplicaciones con flujos de usuario integrados y directivas personalizadas totalmente configurables:
    • Los flujos de usuario le ayudan a habilitar rápidamente tareas comunes de identidad, como registro, inicio de sesión y edición de perfiles.
    • Las directivas personalizadas le permiten crear flujos de trabajo de identidad complejos únicos para su organización, clientes, empleados, asociados y ciudadanos.
  • Opciones de inicio de sesión: Azure AD B2C ofrece varias opciones de registro e inicio de sesión para los usuarios de las aplicaciones:
    • Nombre de usuario, correo electrónico e inicio de sesión telefónico : puede configurar las cuentas locales de Azure AD B2C para permitir el registro e inicio de sesión con un nombre de usuario, una dirección de correo electrónico, un número de teléfono o una combinación de métodos.
    • Proveedores de identidades sociales: puede federarse con proveedores sociales como Facebook, LinkedIn o X.
    • Proveedores de identidades externos : también puede federarse con protocolos de identidad estándar como OAuth 2.0, OpenID Connect, etc.
  • Claves : agregue y administre claves de cifrado para firmar y validar tokens, secretos de cliente, certificados y contraseñas.

Un inquilino de Azure AD B2C es el primer recurso que debe crear para empezar a trabajar con Azure AD B2C. Obtenga información sobre cómo:

Cuentas en Azure AD B2C

Azure AD B2C define varios tipos de cuentas de usuario. Microsoft Entra ID, Microsoft Entra B2B y Azure Active Directory B2C comparten estos tipos de cuenta.

  • Cuenta profesional : los usuarios con cuentas profesionales pueden administrar recursos en un inquilino y, con un rol de administrador, también pueden administrar inquilinos. Asimismo, estos usuarios pueden crear cuentas de consumidor, restablecer contraseñas, bloquear o desbloquear cuentas y establecer permisos o asignar una cuenta a un grupo de seguridad.
  • Cuenta de invitado: son usuarios externos que invita a su inquilino como invitados. Un escenario típico para invitar a un usuario invitado a su inquilino de Azure AD B2C es compartir las responsabilidades de administración.
  • Cuenta de consumidor : son cuentas administradas por flujos de usuario de Azure AD B2C y directivas personalizadas.

Captura de pantalla de la página de administración de usuarios de Azure AD B2C en Azure Portal.
Figura: Directorio de usuarios dentro de una entidad de Azure AD B2C en el Azure Portal.

Cuentas de consumidor

Con una cuenta de consumidor , los usuarios pueden iniciar sesión en las aplicaciones que ha protegido con Azure AD B2C. Sin embargo, los usuarios con cuentas de consumidor no pueden acceder a los recursos de Azure, por ejemplo, Azure Portal.

Una cuenta de consumidor se puede asociar a estos tipos de identidad:

  • Identidad local , con el nombre de usuario y la contraseña almacenados localmente en el directorio de Azure AD B2C. A menudo nos referimos a estas identidades como "cuentas locales".
  • Identidades sociales o empresariales, donde un proveedor de identidades federado administra la identidad del usuario. Por ejemplo, Facebook, Google, Microsoft, ADFS o Salesforce.

Un usuario con una cuenta de consumidor puede iniciar sesión con varias identidades. Por ejemplo, nombre de usuario, correo electrónico, identificador de empleado, id. gubernamental y otros. Una sola cuenta puede tener varias identidades, tanto locales como sociales.

Identidades de cuentas de consumidores.
Ilustración: Una sola cuenta de consumidor con varias identidades en Azure AD B2C

Para más información, consulte Introducción a las cuentas de usuario en Azure Active Directory B2C.

Opciones de inicio de sesión de la cuenta local

Azure AD B2C proporciona varias maneras de autenticar a un usuario. Los usuarios pueden iniciar sesión en una cuenta local, mediante el nombre de usuario y la contraseña, la verificación telefónica (también conocida como autenticación sin contraseña). El registro de correo electrónico se habilita de forma predeterminada en la configuración del proveedor de identidades de la cuenta local.

Obtenga más información sobre las opciones de inicio de sesión o cómo configurar el proveedor de identidades de la cuenta local.

Atributos de perfil de usuario

Azure AD B2C le permite administrar atributos comunes de perfiles de cuenta de consumidor. Por ejemplo, nombre para mostrar, apellidos, nombre dado, ciudad y otros.

También puede ampliar el esquema subyacente de Microsoft Entra ID para almacenar información adicional sobre los usuarios. Por ejemplo, su país o región de residencia, idioma preferido y preferencias como si quieren suscribirse a un boletín o habilitar la autenticación multifactor. Para obtener más información, consulte:

Inicio de sesión con proveedores de identidades externos

Puede configurar Azure AD B2C para permitir que los usuarios inicien sesión en la aplicación con credenciales de proveedores de identidades sociales y empresariales. Azure AD B2C puede federarse con proveedores de identidades que admiten protocolos OAuth 1.0, OAuth 2.0, OpenID Connect y SAML. Por ejemplo, Facebook, cuenta de Microsoft, Google, X y Servicio de federación de Active Directory (AD FS).

Diagrama que muestra los logotipos de la empresa para un ejemplo de proveedores de identidades externos.

Con los proveedores de identidades externos, puede ofrecer a los consumidores la capacidad de iniciar sesión con sus cuentas sociales o empresariales existentes, sin tener que crear una nueva cuenta solo para la aplicación.

En la página de registro o inicio de sesión, Azure AD B2C presenta una lista de proveedores de identidades externos que el usuario puede elegir para iniciar sesión. Una vez que seleccionan uno de los proveedores de identidades externos, se les redirige al sitio web del proveedor seleccionado para completar el proceso de inicio de sesión. Una vez que el usuario inicie sesión correctamente, se le devolverá a Azure AD B2C para la autenticación de la cuenta en la aplicación.

Diagrama que muestra un ejemplo de inicio de sesión móvil con una cuenta social (Facebook).

Para más información sobre los proveedores de identidades, consulte Incorporación de proveedores de identidades a las aplicaciones en Azure Active Directory B2C.

Experiencias de identidad: flujos de usuario o directivas personalizadas

En Azure AD B2C, puede definir la lógica de negocios que siguen los usuarios para obtener acceso a la aplicación. Por ejemplo, puede determinar la secuencia de pasos que siguen los usuarios al iniciar sesión, registrarse, editar su perfil o restablecer una contraseña. Después de completar la secuencia, el usuario adquiere un token y obtiene acceso a la aplicación.

En Azure AD B2C, hay dos maneras de proporcionar experiencias de usuario de identidad:

  • Flujos de usuario : son directivas predefinidas, integradas y configurables que proporcionamos para que pueda crear experiencias de registro, inicio de sesión y edición de directivas en cuestión de minutos.

  • Directivas personalizadas : permiten crear sus propios recorridos de usuario para escenarios complejos de experiencia de identidad.

En la captura de pantalla siguiente se muestra la interfaz de usuario de configuración del flujo de usuario, frente a los archivos de configuración de directivas personalizadas.

Captura de pantalla que muestra la interfaz de usuario de configuración del flujo de usuario frente a un archivo de configuración de directiva personalizado.

Para obtener más información sobre los flujos de usuario y las directivas personalizadas, y ayudarle a decidir qué método funcionará mejor para sus necesidades empresariales, consulte Introducción a los flujos de usuario y las directivas personalizadas.

Interfaz de usuario

En Azure AD B2C, puede crear experiencias de identidad de los usuarios para que las páginas mostradas se combinen perfectamente con la apariencia de su marca. Obtiene un control casi total del contenido HTML y CSS presentado a los usuarios cuando avanzan por los recorridos de identidad de la aplicación. Con esta flexibilidad, puede mantener la coherencia visual y de marca entre la aplicación y Azure AD B2C.

Nota:

La personalización de las páginas representadas por terceros cuando se usan cuentas sociales se limita a las opciones proporcionadas por ese proveedor de identidades y están fuera del control de Azure AD B2C.

Para obtener información sobre la personalización de la interfaz de usuario, consulte:

Dominio personalizado

Puede personalizar el dominio de Azure AD B2C en los URI de redirección de su aplicación. El dominio personalizado permite crear una experiencia sin problemas para que las páginas que se muestran se combinen sin problemas con el nombre de dominio de la aplicación. Desde la perspectiva del usuario, permanecen en el dominio durante el proceso de inicio de sesión en lugar de redirigirse al dominio predeterminado de Azure AD B2C .b2clogin.com.

Para obtener más información, consulte Habilitación de dominios personalizados.

Localización

La personalización de idioma en Azure AD B2C permite adaptarse a diferentes idiomas para satisfacer las necesidades de los clientes. Microsoft proporciona localización para 36 idiomas, pero también puede proporcionar sus propias localización para cualquier idioma.

Captura de pantalla de tres páginas de inicio de sesión que muestran el texto de la interfaz de usuario en distintos idiomas.

Consulte cómo funciona la localización en la personalización del lenguaje en Azure Active Directory B2C.

Comprobación de correo electrónico

Azure AD B2C garantiza direcciones de correo electrónico válidas exigiendo a los clientes que los comprueben durante los flujos de registro y restablecimiento de contraseña. Esto también impide que los actores malintencionados usen procesos automatizados para generar cuentas fraudulentas en las aplicaciones.

Capturas de pantalla que muestran el proceso de comprobación de correo electrónico.

Puede personalizar el correo electrónico enviado a los usuarios que se registran para usar las aplicaciones. Al utilizar un proveedor de correo electrónico de terceros, puede usar su propia plantilla de correo electrónico, dirección del remitente y asunto, además de admitir la localización y ajustes personalizados de contraseñas de un solo uso (OTP). Para obtener más información, consulte:

Agregue su propia lógica de negocios y llame a las API de RESTful.

Puede integrar con una API RESTful tanto en flujos de usuario como en directivas personalizadas. La diferencia es que, en los flujos de usuario, se realizan llamadas en lugares especificados, mientras que en las directivas personalizadas, se añade tu propia lógica empresarial al recorrido. Esta funcionalidad permite recuperar y usar datos de fuentes externas de identidad. Azure AD B2C puede intercambiar datos con un servicio RESTful a:

  • Mostrar mensajes de error personalizados fáciles de usar.
  • Valide la entrada del usuario para evitar que los datos con formato incorrecto se conserven en el directorio de usuarios. Por ejemplo, puede modificar los datos introducidos por el usuario, como poner en mayúsculas su nombre si lo escribió en minúsculas.
  • Enriquecer los datos de usuario mediante la integración adicional con la aplicación de línea de negocio corporativa.
  • Con las llamadas RESTful, puede enviar notificaciones push, actualizar bases de datos corporativas, ejecutar un proceso de migración de usuarios, administrar permisos, auditar bases de datos, etc.

Los programas de fidelidad son otro escenario habilitado por la compatibilidad de Azure AD B2C para llamar a las API REST. Por ejemplo, el servicio RESTful puede recibir la dirección de correo electrónico de un usuario, consultar la base de datos del cliente y devolver el número de fidelidad del usuario a Azure AD B2C.

Los datos devueltos se pueden almacenar en la cuenta de directorio del usuario en Azure AD B2C. A continuación, los datos se pueden evaluar aún más en los pasos posteriores de la directiva o incluirse en el token de acceso.

Diagrama que muestra la integración de línea de negocio en una aplicación móvil.

Puede agregar una llamada a la API REST en cualquier paso de un recorrido del usuario definido por una directiva personalizada. Por ejemplo, puede llamar a una API REST:

  • Durante el inicio de sesión, justo antes de que Azure AD B2C valide las credenciales.
  • Inmediatamente después del inicio de sesión
  • Antes de que Azure AD B2C cree una nueva cuenta en el directorio
  • Después de que Azure AD B2C cree una nueva cuenta en el directorio
  • Antes de que Azure AD B2C emite un token de acceso

Para más información, consulte Acerca de los conectores de API en Azure AD B2C.

Protocolos y tokens

  • En el caso de las aplicaciones, Azure AD B2C admite los protocolos OAuth 2.0, OpenID Connect y SAML para los recorridos del usuario. La aplicación inicia el recorrido del usuario mediante la emisión de solicitudes de autenticación a Azure AD B2C. El resultado de una solicitud a Azure AD B2C es un token de seguridad, como un token de identificador, un token de acceso o un token SAML. Este token de seguridad define la identidad del usuario dentro de la aplicación.

  • En el caso de las identidades externas, Azure AD B2C admite la federación con cualquier proveedor de identidades de OAuth 1.0, OAuth 2.0, OpenID Connect y SAML.

En el diagrama siguiente se muestra cómo Azure AD B2C puede comunicarse mediante varios protocolos dentro del mismo flujo de autenticación:

Diagrama de la federación de aplicaciones cliente basadas en OIDC con un IdP basado en SAML.

  1. La aplicación de usuario de confianza inicia una solicitud de autorización a Azure AD B2C mediante OpenID Connect.
  2. Cuando un usuario de la aplicación decide iniciar sesión con un proveedor de identidades externo que usa el protocolo SAML, Azure AD B2C invoca el protocolo SAML para comunicarse con ese proveedor de identidades.
  3. Una vez que el usuario complete la operación de inicio de sesión con el proveedor de identidades externo, Azure AD B2C devuelve el token a la aplicación de usuario de confianza mediante OpenID Connect.

Integración de aplicaciones

Cuando un usuario quiere iniciar sesión en la aplicación, la aplicación inicia una solicitud de autorización a un punto de conexión proporcionado por una directiva personalizada o un flujo de usuario. El flujo de usuario o la directiva personalizada define y controla la experiencia del usuario. Cuando completan un flujo de usuario, por ejemplo, el flujo de registro o de inicio de sesión , Azure AD B2C genera un token y, a continuación, redirige al usuario de nuevo a la aplicación. Este token es específico de Azure AD B2C y no se debe confundir con el token emitido por proveedores de identidades de terceros al usar cuentas sociales. Para obtener información sobre cómo usar tokens de terceros, consulte Paso de un token de acceso del proveedor de identidades a la aplicación en Azure Active Directory B2C.

Aplicación móvil con flechas que muestran el flujo entre la página de inicio de sesión de Azure AD B2C.

Varias aplicaciones pueden usar el mismo flujo de usuario o directiva personalizada. Una sola aplicación puede usar varios flujos de usuario o directivas personalizadas.

Por ejemplo, para iniciar sesión en una aplicación, la aplicación usa el flujo de usuario de registro o inicio de sesión . Una vez que el usuario haya iniciado sesión, es posible que quiera editar su perfil, por lo que la aplicación inicia otra solicitud de autorización, esta vez con el flujo de usuario de edición de perfil .

Autenticación multifactor (MFA)

La autenticación multifactor (MFA) de Azure AD B2C ayuda a proteger el acceso a los datos y las aplicaciones, a la vez que mantiene la simplicidad de los usuarios. Proporciona seguridad adicional al requerir una segunda forma de autenticación y ofrece una autenticación sólida al ofrecer una gama de métodos de autenticación fáciles de usar.

Los usuarios pueden o no ser impugnados para MFA en función de las decisiones de configuración que puede tomar como administrador.

Para más información, consulte Habilitación de la autenticación multifactor en Azure Active Directory B2C.

Acceso condicional

Las características de detección de riesgos de Microsoft Entra ID Protection, incluidos los usuarios de riesgo y los inicios de sesión de riesgo, se detectan y muestran automáticamente en el inquilino de Azure AD B2C. Puede crear directivas de acceso condicional que usen estas detecciones de riesgo para determinar las acciones de corrección y aplicar directivas organizativas.

Diagrama que muestra el flujo de acceso condicional.

Azure AD B2C evalúa cada evento de inicio de sesión y garantiza que se cumplan todos los requisitos de directiva antes de conceder al usuario acceso. Los usuarios de riesgo o los inicios de sesión de riesgo pueden bloquearse o desafiarse con una corrección específica, como la autenticación multifactor (MFA). Para obtener más información, consulte Protección de Identidad y Acceso Condicional.

Complejidad de la contraseña

Durante el registro o el restablecimiento de contraseña, los usuarios deben proporcionar una contraseña que cumpla las reglas de complejidad. De forma predeterminada, Azure AD B2C aplica una directiva de contraseña segura. Azure AD B2C también proporciona opciones de configuración para especificar los requisitos de complejidad de las contraseñas que usan los clientes cuando usan cuentas locales.

Captura de pantalla de la interfaz de usuario para la experiencia de complejidad de contraseñas.

Para más información, consulte Configuración de los requisitos de complejidad de las contraseñas en Azure AD B2C.

Forzar el restablecimiento de contraseña

Como administrador de inquilinos de Azure AD B2C, puede restablecer la contraseña de un usuario si el usuario olvida su contraseña. O bien, puede establecer una directiva para obligar a los usuarios a restablecer su contraseña periódicamente. Para obtener más información, consulte Configuración de un flujo de restablecimiento de contraseña forzado.

Forzar el flujo de restablecimiento de contraseña.

Bloqueo de cuenta inteligente

Para evitar intentos de adivinación de contraseñas por fuerza bruta, Azure AD B2C usa una estrategia sofisticada para bloquear cuentas en función de la dirección IP de la solicitud, las contraseñas especificadas y otros factores. La duración del bloqueo aumenta automáticamente en función del riesgo y del número de intentos.

Captura de pantalla de la interfaz de usuario para el bloqueo de cuenta con flechas que resaltan la notificación de bloqueo.

Para más información sobre cómo administrar la configuración de protección con contraseña, consulte Mitigación de ataques de credenciales en Azure AD B2C.

Protección de recursos e identidades de cliente

Azure AD B2C cumple con los compromisos de seguridad, privacidad y otros compromisos descritos en el Centro de confianza de Microsoft Azure.

Las sesiones se modelan como datos cifrados, con la clave de descifrado conocida solo para el servicio de token de seguridad (STS) de Azure AD B2C. Se usa un algoritmo de cifrado seguro, AES-192. Todas las rutas de comunicación están protegidas con TLS para la confidencialidad y la integridad. Nuestro servicio de token de seguridad usa un certificado de validación extendida (EV) para TLS. En general, el servicio de token de seguridad mitiga los ataques de scripting entre sitios (XSS) sin representar entradas que no son de confianza.

Diagrama de datos seguros en tránsito y en reposo.

Acceso a datos de usuario

Los inquilinos de Azure AD B2C comparten muchas características con los inquilinos empresariales de Microsoft Entra usados para empleados y asociados. Los aspectos compartidos incluyen mecanismos para ver roles administrativos, asignar roles y actividades de auditoría.

Puede asignar roles para controlar quién puede realizar determinadas acciones administrativas en Azure AD B2C, entre las que se incluyen:

  • Creación y administración de todos los aspectos de los flujos de usuario
  • Creación y administración del esquema de atributo disponible para todos los flujos de usuario
  • Configuración de proveedores de identidades para su uso en la federación directa
  • Creación y administración de directivas de marco de confianza en Identity Experience Framework (directivas personalizadas)
  • Administración de secretos para federación y cifrado en Identity Experience Framework (directivas personalizadas)

Para obtener más información sobre los roles de Microsoft Entra, incluida la compatibilidad con el rol de administración de Azure AD B2C, consulte Permisos de rol de administrador en Microsoft Entra ID.

Auditoría y registros

Azure AD B2C crea registros de auditoría que contienen información de actividad sobre sus recursos, tokens emitidos y acceso de administrador. Puede usar los registros de auditoría para comprender la actividad de la plataforma y diagnosticar problemas. Las entradas del registro de auditoría están disponibles poco después de la actividad que generó el evento.

En un registro de auditoría, que está disponible para el inquilino de Azure AD B2C o para un usuario determinado, puede encontrar información que incluye:

  • Actividades relativas a la autorización de un usuario para acceder a los recursos B2C (por ejemplo, un administrador que accede a una lista de directivas B2C)
  • Actividades relacionadas con los atributos de directorio recuperados cuando un administrador inicia sesión mediante Azure Portal
  • Creación, lectura, actualización y eliminación de operaciones (CRUD) en aplicaciones B2C
  • Operaciones CRUD en claves almacenadas en un contenedor de claves B2C
  • Operaciones CRUD en recursos B2C (por ejemplo, políticas y proveedores de identidad)
  • Validación de credenciales de usuario y emisión de tokens

Para más información sobre los registros de auditoría, consulte Acceso a los registros de auditoría de Azure AD B2C.

Análisis de uso

Azure AD B2C permite detectar cuándo los usuarios se registran o inician sesión en la aplicación, dónde se encuentran los usuarios y qué exploradores y sistemas operativos usan.

Al integrar Azure Application Insights en directivas personalizadas de Azure AD B2C, puede obtener información sobre cómo los usuarios se registran, inician sesión, restablecen su contraseña o editan su perfil. Con este conocimiento, puede tomar decisiones controladas por datos para los próximos ciclos de desarrollo.

Para más información, consulte Seguimiento del comportamiento del usuario en Azure Active Directory B2C mediante Application Insights.

Disponibilidad de regiones y residencia de datos

El servicio Azure AD B2C está disponible con carácter general en todo el mundo con la opción de residencia de datos en regiones, tal como se especifica en Productos disponibles por región. La residencia de datos viene determinada por el país o región que seleccione al crear el inquilino.

Obtenga más información sobre la disponibilidad de la región de servicio de Azure Active Directory B2C y la residencia de datos y el Acuerdo de Nivel de Servicio (SLA) para Azure Active Directory B2C.

Automatización mediante Microsoft Graph API

Use MS graph API para administrar el directorio de Azure AD B2C. También puede crear el propio directorio de Azure AD B2C. Puede administrar usuarios, proveedores de identidades, flujos de usuario, directivas personalizadas y mucho más.

Obtenga más información sobre cómo administrar Azure AD B2C con Microsoft Graph.

Restricciones y límites de servicio de Azure AD B2C

Más información sobre los límites y restricciones del servicio Azure AD B2C

Pasos siguientes

Ahora que tiene una visión más profunda de las características y aspectos técnicos de Azure Active Directory B2C: