Creación de una aplicación de Azure Active Directory y una entidad de servicio con acceso a los recursos

En este artículo, aprenderá a crear una entidad de servicio y aplicación de Azure Active Directory (Azure AD) que se puede usar con el control de acceso basado en roles. Al registrar una nueva aplicación en Azure AD, se crea automáticamente una entidad de servicio para el registro de la aplicación. La entidad de servicio es la identidad de la aplicación en el inquilino de Azure AD. El acceso a los recursos está restringido por los roles asignados a la entidad de servicio, lo que permite controlar a qué recursos pueden tener acceso y en qué nivel. Por motivos de seguridad, se recomienda usar siempre entidades de servicio con las herramientas automatizadas, en lugar de permitirles iniciar sesión con una identidad de usuario.

En este artículo, creará una aplicación de inquilino único en Azure Portal. Este ejemplo es aplicable a las aplicaciones de línea de negocio que se usan en una organización. También puede usar Azure PowerShell o la CLI de Azure para crear una entidad de servicio.

Importante

En lugar de crear una entidad de servicio, considere el uso de identidades administradas para recursos de Azure para la identidad de la aplicación. Si el código se ejecuta en un servicio que admite identidades administradas y tiene acceso a recursos que admiten la autenticación de Azure AD, las identidades administradas son la opción ideal para usted. Para obtener más información sobre las identidades administradas para recursos de Azure, incluidos los servicios que actualmente lo admiten, consulte ¿Qué es Managed Identities for Azure Resources?.

Para obtener más información sobre la relación entre el registro de aplicaciones, los objetos de aplicación y las entidades de servicio, consulte Objetos de aplicación y de entidad de servicio de Azure Active Directory.

Prerrequisitos

Para registrar una aplicación en el inquilino de Azure AD, necesita lo siguiente:

• Una cuenta de usuario de Azure AD. Si no la tiene, puede crear una cuenta gratis.

Permisos necesarios para registrar una aplicación

Debe tener permisos suficientes para registrar una aplicación en su inquilino de Azure AD y asignar a la aplicación un rol en su suscripción de Azure. Para completar estas tareas, necesita permiso Application.ReadWrite.All.

Registro de una aplicación con Azure AD y creación de una entidad de servicio

1. Inicie sesión en el Portal de Azure.

2. Busque y seleccione Azure Active Directory.

3. Seleccione Registros de aplicaciones y, luego, Nuevo registro.

4. Asigna un nombre a la aplicación, por ejemplo, «example-app».

5. Seleccione un tipo de cuenta compatible, que determinará quién puede usar la aplicación.

6. En URI de redireccionamiento, seleccione Web para indicar el tipo de aplicación que quiere crear. Escriba el URI al que se envía el token de acceso.

7. Seleccione Registrar.

   

Ha creado una aplicación de Azure AD y una entidad de servicio.

Asignación de un rol a la aplicación

Para acceder a los recursos de la suscripción, debe asignar un rol a la aplicación. Decida qué rol ofrece los permisos adecuados para la aplicación. Para obtener información sobre los roles disponibles, consulte Roles integrados de Azure.

Puede establecer el ámbito en el nivel de suscripción, grupo de recursos o recurso. Los permisos se heredan en los niveles inferiores del ámbito.

1. Inicie sesión en el Portal de Azure.

2. Seleccione el nivel de ámbito al que quiere asignar la aplicación. Por ejemplo, para asignar un rol en el ámbito de suscripción, busque y seleccione Suscripciones. Si no ve la suscripción que busca, seleccione el filtro de suscripciones globales. Asegúrese de que la suscripción que le interesa está seleccionada para el inquilino.

3. Seleccione Access Control (IAM) .

4. Seleccione Agregar y, luego, Agregar asignación de roles.

5. En la pestaña Rol, selecciona el rol que desea asignar a la aplicación en la lista. Por ejemplo, para que la aplicación ejecute acciones como reiniciar, iniciar y detener instancias, seleccione el rol Colaborador.

6. Seleccione el botón Siguiente.

7. En la pestaña Miembros, seleccione Asignar acceso a y User, group, or service principal (Usuario, grupo o entidad de servicio).

8. Elija Seleccionar miembros. De manera predeterminada, las aplicaciones de Azure AD no se muestran en las opciones disponibles. Al buscar la aplicación, búsquela por su nombre.

9. Seleccione el botón Seleccionar y, luego, Review + assign (Revisar y asignar).

   

La entidad de servicio está configurada. Puede empezar a usarla para ejecutar aplicaciones o scripts. Para administrar la entidad de servicio (permisos, permisos confirmados por el usuario, ver qué usuarios han dado su consentimiento, revisar permisos, ver información de inicio de sesión, etc.), vaya a Aplicaciones empresariales.

En la sección siguiente se muestra cómo obtener valores necesarios al iniciar sesión mediante programación.

Inicie sesión en la aplicación.

Al iniciar sesión mediante programación, pase el identificador de inquilino y el identificador de aplicación en la solicitud de autenticación. También necesita un certificado o una clave de autenticación. Para obtener el identificador de directorio (inquilino) y el identificador de aplicación:

1. Busque y seleccione Azure Active Directory.
2. En Registros de aplicaciones, en Azure AD, seleccione su aplicación.
3. En la página de información general de la aplicación, copie el valor del identificador de directorio (inquilino) y almacénelo en el código de la aplicación.
4. Copie el valor del identificador de aplicación (cliente) y almacénelo en el código de la aplicación.

Configuración de la autenticación

Hay dos tipos de autenticación disponibles para las entidades de servicio: autenticación basada en contraseña (secreto de aplicación) y autenticación basada en certificados. Se recomienda usar un certificado, pero también puede crear un secreto de aplicación.

Opción 1 (recomendada): Creación y carga de un certificado autofirmado

Puede usar un certificado existente si lo tiene. Si quiere, puede crear un certificado autofirmado con fines de prueba únicamente. Para crear un certificado autofirmado, abra Windows PowerShell y ejecute New-SelfSignedCertificate con los parámetros siguientes para crear el certificado en el almacén de certificados de usuario en su equipo:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exporte este certificado a un archivo con el complemento MMC Administrar certificado de usuario accesible desde el Panel de control de Windows.

1. Seleccione Ejecutar en el menú Inicio y, a continuación, escriba certmgr.msc. Aparece la herramienta Administrador de certificados para el usuario actual.
2. Para ver los certificados, en Certificados - usuario actual en el panel izquierdo, expanda el directorio Personal.
3. Haga clic con el botón derecho en el certificado que ha creado y seleccione Todas las tareas->Exportar.
4. Siga el Asistente para exportar certificados.

Para cargar el certificado:

1. Busque y seleccione Azure Active Directory.
2. En Registros de aplicaciones, en Azure AD, seleccione su aplicación.
3. Seleccione Certificados y secretos.
4. Seleccione Certificados y Cargar certificado y, luego, elija el certificado (uno existente o el certificado autofirmado que ha exportado).
5. Seleccione Agregar.

Después de registrar el certificado con la aplicación en el portal de registro de aplicación, habilite el código de la aplicación cliente para usar el certificado.

Opción 2: Creación de un secreto de aplicación

Si decide no usar un certificado, puede crear un secreto de aplicación nuevo.

1. Busque y seleccione Azure Active Directory.
2. Seleccione Registros de aplicaciones y elija la aplicación en la lista.
3. Seleccione Certificados y secretos.
4. Seleccione Secretos de cliente y, luego, Nuevo secreto de cliente.
5. Proporcione una descripción y duración del secreto.
6. Seleccione Agregar.

Después de guardar el secreto de cliente, se muestra el valor del mismo. Copie este valor porque no podrá recuperar la clave más adelante. Debe proporcionar el valor de la clave junto con el identificador de la aplicación para iniciar sesión como la aplicación. Guarde el valor de clave donde la aplicación pueda recuperarlo.

Configuración de directivas de acceso sobre los recursos

Es posible que deba configurar permisos adicionales sobre los recursos a los que la aplicación necesita acceso. Por ejemplo, también debe actualizar las directivas de acceso de un almacén de claves para proporcionar a la aplicación acceso a las claves, los secretos o los certificados.

Para configurar directivas de acceso:

1. Inicie sesión en el Portal de Azure.

2. Elija su almacén de claves y seleccione Directivas de acceso.

3. Seleccione Agregar directiva de acceso y, luego, seleccione la clave, el secreto y los permisos de certificado que quiere conceder a la aplicación. Seleccione la entidad de servicio que creó anteriormente.

4. Seleccione Agregar para agregar la directiva de acceso.

5. Seleccione Guardar.

   

Pasos siguientes

• Aprenda a usar Azure PowerShell o la CLI de Azure para crear una entidad de servicio.
• Para obtener información sobre cómo especificar directivas de seguridad, consulte Control de acceso basado en roles de Azure (RBAC de Azure).
• Para obtener una lista de las acciones que puede conceder o denegar a los usuarios, consulte Operaciones del proveedor de recursos de Azure Resource Manager.
• Para obtener información sobre cómo trabajar con registros de aplicaciones mediante Microsoft Graph, vea la referencia de la API de aplicaciones.