Migración de la autenticación de las aplicaciones a Azure Active Directory

Acerca de estas notas

En estas notas del producto se proporcionan detalles sobre la planificación y ventajas de migrar la autenticación de la aplicación a Azure AD. Están diseñadas para los administradores de Azure y los profesionales de identidades.

Al dividir el proceso en cuatro fases, cada una con criterios detallados de planeación y salida detallados, están diseñadas para ayudarle a planear la estrategia de migración y a comprender cómo la autenticación de Azure AD ayuda a los objetivos de su organización.

Introducción

En la actualidad, su organización requiere un gran número de aplicaciones para que los usuarios puedan trabajar. Probablemente siga agregando, desarrollando o retirando aplicaciones todos los días. Los usuarios tienen acceso a estas aplicaciones desde una amplia gama de dispositivos y ubicaciones tanto corporativos como personales. Abren las aplicaciones de muchas maneras, como:

  • a través de la página principal o portal de la empresa

  • mediante marcadores en sus exploradores web

  • a través de la dirección URL de un proveedor para las aplicaciones de software como servicio (SaaS)

  • vínculos enviados directamente a los dispositivos de escritorio o móviles del usuario a través de una solución de administración de dispositivos/aplicaciones móviles (MDM/MAM)

Es probable que sus aplicaciones usen los siguientes tipos de autenticación:

  • Soluciones de federación locales (como los Servicios de federación de Active Directory (AD FS) y Ping)

  • Active Directory (como la autenticación de Kerberos y la autenticación integrada de Windows)

  • Otras soluciones de administración de identidades y acceso (IAM) basadas en la nube (como Okta u Oracle)

  • Infraestructuras web locales (como IIS y Apache)

  • Infraestructuras hospedadas en la nube (como Azure y AWS)

Para asegurarse de que los usuarios puedan acceder de forma fácil y segura a las aplicaciones, el objetivo es tener un único conjunto de controles y directivas de acceso en los entornos locales y en la nube.

Azure Active Directory (Azure AD) ofrece una plataforma de identidad universal que proporciona a los usuarios, asociados y clientes una identidad única para acceder a las aplicaciones que quieran y colaborar desde cualquier plataforma y dispositivo.

A diagram of Azure Active Directory connectivity

Azure AD tiene un conjunto completo de funcionalidades de administración de identidades. La estandarización de la autorización y la autenticación de sus aplicaciones en Azure AD le permite obtener las ventajas que ofrecen estas funcionalidades.

Puede encontrar más recursos de migración en https://aka.ms/migrateapps.

Ventajas de migrar la autenticación de las aplicaciones a Azure AD

Cambiar la autenticación de la aplicación a Azure AD le ayudará a administrar los riesgos y costos, aumentar la productividad y cumplir con los requisitos de cumplimiento y gobernanza.

Administración de los riesgos.

Para proteger las aplicaciones, es necesaria una vista completa de todos los factores de riesgo. La migración de las aplicaciones a Azure AD consolida sus soluciones de seguridad. Por ejemplo, puede:

Administración de costos

Su organización puede tener varias soluciones de Administración de acceso a identidades (IAM). La migración a una infraestructura de Azure AD es una oportunidad para reducir las dependencias de las licencias de IAM (locales o en la nube) y los costos de infraestructura. En los casos en los que ya haya pagado Azure AD mediante licencias de Microsoft 365, no hay razón para pagar el costo adicional de otra solución IAM.

Con Azure AD, puede reducir los costos de infraestructura de la siguiente manera:

Aumento de la productividad

Las ventajas económicas y de seguridad animan a las organizaciones a adoptar Azure AD, pero la adopción y cumplimiento completos son más probables si los usuarios también se benefician. Con Azure AD puede hacer lo siguiente:

Control de cumplimiento y gobernanza

Garantice el cumplimiento de los requisitos normativos al aplicar las directivas de acceso corporativo y supervisar el acceso de los usuarios a las aplicaciones y datos asociados mediante API y herramientas de auditoría integradas. Con Azure AD, puede supervisar los inicios de sesión en la aplicación mediante informes que usan herramientas de supervisión de eventos e incidentes de seguridad (SIEM). Puede acceder a los informes desde el portal o las API y auditar mediante programación quién tiene acceso a las aplicaciones, así como quitar el acceso a los usuarios inactivos a través de revisiones de acceso.

Planificación de las fases de migración y la estrategia del proyecto

A menudo, los errores en los proyectos tecnológicos se deben a expectativas incompatibles, a que las partes interesadas adecuadas no están implicadas o a una falta de comunicación. Garantice una realización correcta mediante la planeación del proyecto.

Fases de la migración

Antes de abordar la información sobre herramientas, debe comprender el proceso de migración. Gracias a varios talleres directos para los clientes, se recomiendan las cuatro fases siguientes:

A diagram of the phases of migration

Conformación del equipo del proyecto

La migración de aplicaciones es un trabajo en equipo y debe asegurarse de que todos los puestos importantes están cubiertos. El apoyo de los directivos de la empresa es importante. Asegúrese de involucrar al conjunto adecuado de patrocinadores ejecutivos, responsables de la toma de decisiones empresariales y expertos en la materia (SME).

Durante el proyecto de migración, una persona puede cumplir varios roles o varias personas pueden cumplir cada rol, en función del tamaño y la estructura de su organización. También puede depender de otros equipos que jueguen un papel clave en el panorama de seguridad.

En la tabla siguiente se incluyen los roles importantes y sus contribuciones:

Role Contribuciones
Administrador del proyecto Responsable del proyecto que se encarga de dirigir el proyecto, lo que incluye:
- obtener el apoyo de los ejecutivos
- hacer participar a las partes interesadas
- administrar programaciones, documentación y comunicaciones
Arquitecto de identidades/administrador de aplicación de Azure AD Se encarga de lo siguiente:
- diseñar la solución en conjunto con las partes interesadas
- documentar el diseño de la solución y los procedimientos operativos para entregarlos al equipo de operaciones
- administrar los entornos de preproducción y producción
Equipo de operaciones de AD local Organización que administra los distintos orígenes de identidades locales, como los bosques de AD, los directorios de LDAP, los sistemas de recursos humanos, etc.
- realizar todas las tareas de corrección necesarias antes de la sincronización
- proporcionar las cuentas de servicio necesarias para la sincronización
- proporcionar el acceso para configurar la federación a Azure AD
Administrador de soporte técnico de TI Un representante de la organización de soporte técnico de TI que puede proporcionar información sobre la compatibilidad de este cambio desde una perspectiva del departamento de soporte técnico.
Propietario de seguridad Representante del equipo de seguridad que puede asegurarse de que el plan cumplirá los requisitos de seguridad de la organización.
Propietarios técnicos de aplicaciones Incluye a los propietarios técnicos de las aplicaciones y servicios que se integrarán con Azure AD. Proporcionan los atributos de identidad de las aplicaciones que deben incluirse en el proceso de sincronización. Normalmente tienen una relación con los representantes de CSV.
Propietario empresarial de la aplicación Colegas de los representantes que pueden proporcionar información sobre la experiencia del usuario y la utilidad de este cambio desde la perspectiva del usuario y que son propietarios del aspecto empresarial general de la aplicación, que puede incluir la administración del acceso.
Grupo piloto de usuarios Usuarios que realizan pruebas como parte de su trabajo diario, la experiencia piloto y que proporcionan comentarios para guiar el resto de las implementaciones.

Planeamiento de las comunicaciones

La clave del éxito es la comunicación y la interacción empresariales efectivas. Es importante proporcionar a las partes interesadas y a los usuarios finales una vía para obtener información y mantenerse informados de las actualizaciones programadas. Explique a todos el valor de la migración, cuáles son las escalas de tiempo previstas y cómo prepararse para cualquier interrupción temporal de las operaciones. Use varias vías, como sesiones informativas, correos electrónicos, reuniones uno a uno, banners y asambleas públicas.

Según la estrategia de comunicación que haya elegido para la aplicación, puede que quiera recordar a los usuarios del tiempo de inactividad pendiente. También debe comprobar que no hay cambios recientes o repercusiones empresariales que requieran posponer la implementación.

En la tabla siguiente, encontrará la comunicación mínima sugerida para mantener informadas a las partes interesadas:

Fases del plan y estrategia del proyecto:

Comunicación Público
Difusión e importancia técnica/empresaral del proyecto Todos, excepto los usuarios finales
Convocatoria para aplicaciones piloto - Propietarios empresariales de la aplicación
- Propietarios técnicos de la aplicación
- Equipo de arquitectos e identidades

Fase 1: detección y ámbito:

Comunicación Público
- Convocatoria de información de la aplicación
- Resultado del ejercicio de ámbito
- Propietarios técnicos de la aplicación
- Propietarios empresariales de la aplicación

Fase 2: clasificación de aplicaciones y planificación del piloto:

Comunicación Público
- Resultado de las clasificaciones e implicaciones para la programación de la migración
- Programación de la migración preliminar
- Propietarios técnicos de la aplicación
- Propietarios empresariales de la aplicación

Fase 3: planificación de la migración y pruebas:

Comunicación Público
- Resultado de las pruebas de migración de aplicaciones. - Propietarios técnicos de la aplicación
- Propietarios empresariales de la aplicación
- Notificación de que la migración se aproxima y explicación de las experiencias de usuario final resultantes.
- Tiempo de inactividad que se aproxima y comunicación completa, incluido qué deben hacer ahora, los comentarios y cómo obtener ayuda
- Usuarios finales (y todos los demás)

Fase 4: administración y obtención de conclusiones:

Comunicación Público
Análisis disponibles y cómo acceder - Propietarios técnicos de la aplicación
- Propietarios empresariales de la aplicación

Panel de comunicación sobre estados de migración

Es fundamental comunicar el estado general del proyecto de migración, ya que muestra el progreso, y ayuda a los propietarios de las aplicaciones que están próximas a migrarse a prepararse para el traslado. Puede crear un panel sencillo con Power BI u otras herramientas de informes para ofrecer visibilidad del estado de las aplicaciones durante la migración.

Puede plantearse usar los siguientes estados de migración:

Estados de migración Plan de acción
Solicitud inicial Busque la aplicación y póngase en contacto con el propietario para obtener más información.
Evaluación completada El propietario de la aplicación evalúa los requisitos de la aplicación y devuelve el cuestionario de la aplicación.
Configuración en curso Desarrolle los cambios necesarios para administrar la autenticación en Azure AD.
Configuración de prueba correcta Evalúe los cambios y autentique la aplicación en el inquilino de Azure AD de prueba en el entorno de prueba.
Configuración de producción correcta Cambie las configuraciones para que funcionen con el inquilino de AD de producción y evalúe la autenticación de la aplicación en el entorno de prueba.
Completado/aprobado Implemente los cambios de la aplicación en el entorno de producción y ejecútelos en el inquilino de Azure AD de producción.

Esto garantizará que los propietarios de la aplicación sepan cuál es la programación correspondiente a la migración y la prueba de la aplicación cuando las aplicaciones van a migrarse, y cuáles son los resultados de otras aplicaciones que ya se han migrado. También puede plantearse la posibilidad de proporcionar vínculos a la base de datos de seguimiento de errores para que los propietarios puedan archivar y ver los problemas de las aplicaciones que se van a migrar.

Procedimientos recomendados

Los siguientes son los casos de éxito de nuestros clientes y asociados, así como los procedimientos recomendados sugeridos:

Fase 1: Detección y ámbito de aplicaciones

La detección y el análisis de aplicaciones es un ejercicio fundamental para lograr un buen comienzo. Es posible que no lo sepa todo, por lo que debe estar preparado para adaptarse a las aplicaciones desconocidas.

Búsqueda de aplicaciones

La primera decisión en la migración de una aplicación es qué aplicaciones se van a migrar, si alguna debe quedarse y qué aplicaciones se van a dejar de usar. Siempre existe la posibilidad de dejar de usar las aplicaciones que no usará en su organización. Hay varias maneras de buscar aplicaciones en su organización. Durante la detección de aplicaciones, asegúrese de incluir tanto las aplicaciones en desarrollo como las planeadas. Use Azure AD para la autenticación en todas las aplicaciones futuras.

Uso de servicios de federación de Active Directory (AD FS) para recopilar un inventario de aplicaciones correctas:

  • Use Azure AD Connect Health. Si tiene una licencia de Azure AD Premium, se recomienda que implemente Azure AD Connect Health para analizar el uso de la aplicación en el entorno local. Puede usar el informe de la aplicación de ADFS (versión preliminar) para detectar las aplicaciones de ADFS que se pueden migrar y evaluar la preparación de la aplicación que se va a migrar. Después de completar la migración, implemente Cloud Discovery, que le permite supervisar continuamente la shadow IT de su organización una vez que esté en la nube.

  • Análisis de registros de AD FS. Si no tiene licencias de Azure AD Premium, se recomienda que use las herramientas de migración de la aplicación de ADFS a Azure AD basadas en PowerShell. Consulte la guía de soluciones:

Migración de aplicaciones de servicios de federación de Active Directory (AD FS) a Azure AD.

Uso de otros proveedores de identidades (IdP)

En el caso de otros proveedores de identidades (como Okta o Ping), puede usar sus herramientas para exportar el inventario de aplicaciones. Puede considerar la posibilidad de consultar los principios de servicio registrados en Active Directory que se corresponden con las aplicaciones web de su organización.

Uso de herramientas de Cloud Discovery

En el entorno en la nube, necesita visibilidad enriquecida, control sobre el viaje de los datos y análisis sofisticados para encontrar y combatir las ciberamenazas en todos los servicios en la nube. Puede recopilar el inventario de aplicaciones en la nube mediante las siguientes herramientas:

  • Agente de seguridad de acceso a la nube (CASB): un CASB suele funcionar junto con el firewall para proporcionar visibilidad sobre el uso de la aplicación en la nube de los empleados y ayuda a proteger los datos corporativos de las amenazas de ciberseguridad. El informe de CASB puede ayudarle a determinar las aplicaciones más usadas en la organización y los primeros objetivos para migrar a Azure AD.

  • Cloud Discovery: mediante la configuración de Cloud Discovery, obtiene visibilidad del uso de aplicaciones en la nube y puede detectar aplicaciones de shadow IT o no autorizadas.

  • API: para las aplicaciones conectadas a la infraestructura en la nube, puede usar las API y las herramientas de esos sistemas para empezar a realizar un inventario de las aplicaciones hospedadas. En el entorno de Azure:

    • Use el cmdlet Get-AzureWebsite para obtener información sobre los sitios web de Azure.

    • Use el cmdlet Get-AzureRMWebApp para obtener información sobre Azure Web Apps. D

    • Puede encontrar todas las aplicaciones que se ejecutan en Microsoft IIS desde la línea de comandos de Windows mediante AppCmd.exe.

    • Use aplicaciones y entidades de servicio para obtener información sobre una aplicación y una instancia de la aplicación en un directorio de Azure AD.

Uso de procesos manuales

Una vez que haya llevado a cabo los enfoques automatizados descritos anteriormente, tendrá un buen manejo de sus aplicaciones. No obstante, se recomienda que haga lo siguiente para asegurarse de que tiene una buena cobertura en todas las áreas de acceso de usuario:

  • Póngase en contacto con los distintos propietarios empresariales de su organización para encontrar las aplicaciones que se están usando en su organización.

  • Ejecute una herramienta de inspección de HTTP en el servidor proxy o analice los registros del proxy para ver a dónde se enruta normalmente el tráfico.

  • Revise los registros web de los sitios de portal de empresa populares para ver los vínculos a los que más acceden los usuarios.

  • Póngase en contacto con los ejecutivos u otros miembros empresariales importantes para asegurarse de que ha cubierto las aplicaciones críticas para la empresa.

Tipos de aplicaciones que se van a migrar

Una vez que encuentre las aplicaciones, identificará estos tipos de aplicaciones en su organización:

  • Aplicaciones que ya usan protocolos de autenticación modernos

  • Aplicaciones que usan protocolos de autenticación heredados que ha decidido modernizar

  • Aplicaciones que usan protocolos de autenticación heredados que ha decidido no modernizar

  • Nuevas aplicaciones de línea de negocio (LoB)

Aplicaciones que ya usan la autenticación moderna

Las aplicaciones ya modernizadas tienen más probabilidades de trasladarse a Azure AD. Estas aplicaciones ya usan protocolos de autenticación modernos (como SAML u OpenID Connect) y se pueden volver a configurar para autenticarse con Azure AD.

Además de las opciones de la galería de aplicaciones de Azure AD, estas pueden ser aplicaciones que ya existen en la organización o cualquier aplicación de terceros de un proveedor que no forma parte de la galería de Azure AD (aplicaciones que no son de la galería).

Aplicaciones heredadas que elige modernizar

En el caso de las aplicaciones heredadas que quiera modernizar, el traslado a Azure AD de la autenticación y la autorización principales desbloquea toda la eficacia y variedad de datos que ofrecen Microsoft Graph e Intelligent Security Graph.

Se recomienda actualizar el código de la pila de autenticación para estas aplicaciones del protocolo heredado (como la autenticación integrada de Windows, la delegación restringida de Kerberos y la autenticación basada en encabezados HTTP) a un protocolo moderno (como SAML u OpenID Connect).

Aplicaciones heredadas que elige no modernizar

En el caso de ciertas aplicaciones que usan protocolos de autenticación heredados, a veces modernizar la autenticación no es la decisión adecuada por motivos empresariales. Este caso se puede aplicar a los siguientes tipos de aplicaciones:

  • Las aplicaciones que se mantienen en el entorno local por motivos de cumplimiento o control.

  • Las aplicaciones conectadas a un proveedor de federación o identidades local que no quiere cambiar.

  • Las aplicaciones desarrolladas con estándares de autenticación locales que no tiene la intención de trasladar.

Azure AD puede aportar grandes ventajas a estas aplicaciones heredadas, ya que puede habilitar las características modernas de seguridad y gobernanza de Azure AD como la autenticación multifactor, el acceso condicional, Identity Protection, el acceso de aplicaciones delegado y las revisiones de acceso en estas aplicaciones sin modificarlas en lo absoluto.

Comience por extender estas aplicaciones a la nube con Azure AD Application Proxy con un método sencillo de autenticación (por ejemplo, el almacenamiento de contraseñas) para que los usuarios migren rápidamente, o a través de las integraciones de asociados con los controladores de entrega de aplicaciones que ya ha implementado.

Nuevas aplicaciones de línea de negocio (LoB)

Normalmente se desarrollan aplicaciones LoB para el uso interno en la organización. Si tiene aplicaciones nuevas en la canalización, se recomienda usar la plataforma de identidad de Microsoft para implementar OpenID Connect.

Aplicaciones que se dejarán de usar

Las aplicaciones sin propietarios claros y sin un mantenimiento y supervisión claros presentan un riesgo de seguridad para su organización. Considere la posibilidad de dejar de usar las aplicaciones cuando:

  • su funcionalidad sea muy redundante con otros sistemas • no tienen ningún propietario empresarial

  • no hay ningún uso claro

Se recomienda no dejar de usar aplicaciones críticas para la empresa con un gran impacto. En esos casos, trabaje con los propietarios de la empresa para determinar la estrategia correcta.

Exit criteria (Criterios de salida)

Esta fase se realiza correctamente con lo siguiente:

  • Una buena comprensión de los sistemas en el ámbito de la migración (que puede retirar una vez que se haya trasladado a Azure AD)

  • Una lista de aplicaciones que incluya lo siguiente:

    • A qué sistemas se conectan dichas aplicaciones.
    • Desde dónde y en qué dispositivos pueden acceder los usuarios a ellas.
    • Si se van a migrar, dejar en desuso o a conectarse con Azure AD Connect.

Nota:

Puede descargar la hoja de cálculo de detección de aplicaciones para registrar las aplicaciones que quiere migrar a la autenticación de Azure AD, y las que quiere dejar de administrar con Azure AD Connect.

Fase 2: clasificación de aplicaciones y planificación del piloto

Clasificar la migración de las aplicaciones es un ejercicio importante. No todas las aplicaciones deben migrarse y cambiarse al mismo tiempo. Una vez que haya recopilado información sobre cada una de las aplicaciones, podrá racionalizar cuáles aplicaciones se deben migrar primero y cuáles pueden demorar más.

Clasificación de aplicaciones en el ámbito

Una manera de pensar en esto consiste en usar los ejes de importancia para la empresa, uso y duración, cada uno de los cuales depende de varios factores.

Crucial para la empresa

La importancia para la empresa adoptará dimensiones diferentes para cada negocio, pero las dos medidas que debe tener en cuenta son las características y la funcionalidad y los perfiles de usuario. Asigne a las aplicaciones con funcionalidades únicas un valor en puntos superior al de las funcionalidades redundantes u obsoletas.

A diagram of the spectrums of Features & Functionality and User Profiles

Uso

Las aplicaciones con números de uso elevados deben recibir un valor superior al de las aplicaciones con poco uso. Asigne un valor mayor a las aplicaciones con usuarios externos, ejecutivos o del equipo de seguridad. Completes estas evaluaciones para cada aplicación de la cartera de migración.

A diagram of the spectrums of User Volume and User Breadth

Una vez que haya determinado los valores de importancia para la empresa y uso, puede determinar la duración de la aplicación y crear una matriz de prioridad. La siguiente es una matriz de este tipo:

A triangle diagram showing the relationships between Usage, Expected Lifespan, and Business Criticality

Clasificación de las aplicaciones para la migración

Puede optar por comenzar la migración de aplicaciones con las aplicaciones de prioridad más baja o con las aplicaciones de prioridad más alta en función de las necesidades de su organización.

En un escenario en el que quizá no tenga experiencia en el uso de Azure AD y los servicios de identidad, considere la posibilidad de mover primero las aplicaciones de prioridad más baja a Azure AD. Esto reducirá el impacto en sus operaciones y podrá tomar impulso. Una vez que haya trasladado correctamente estas aplicaciones y haya ganado la confianza de la parte interesada, podrá continuar con la migración de las otras aplicaciones.

Si no hay ninguna prioridad clara, considere la posibilidad de mover primero las aplicaciones que se encuentran en la galería de Azure AD y admitir varios proveedores de identidades (ADFS u Okta) porque son más fáciles de integrar. Es probable que estas aplicaciones sean las aplicaciones de prioridad más alta de la organización. Para ayudarle a integrar las aplicaciones SaaS con Azure AD, hemos desarrollado un conjunto de tutoriales que le guían a lo largo del proceso de configuración.

Cuando tenga una fecha límite para migrar las aplicaciones, el cubo con las aplicaciones de prioridad más alta tomará la carga de trabajo principal. Más adelante puede seleccionar las aplicaciones de menor prioridad, ya que no cambiarán el costo aunque haya cambiado la fecha límite. Incluso si debe renovar la licencia, será para una cantidad pequeña.

Además de esta clasificación, y en función de la urgencia de la migración, también puede considerar la posibilidad de crear una programación de migración en la que los propietarios de la aplicación deben participar para migrar sus aplicaciones. Al final de este proceso, debe tener una lista de todas las aplicaciones en cubos clasificadas por orden de prioridad para la migración.

Documentación de las aplicaciones

En primer lugar, empiece por recopilar los detalles importantes de sus aplicaciones. La hoja de cálculo de detección de aplicaciones le ayudará a tomar las decisiones de migración rápidamente y a enviar una recomendación al grupo de negocios al instante.

La siguiente es información importante para tomar la decisión de migración:

  • Nombre de la aplicación: ¿cómo se conoce esta aplicación en la empresa?

  • Tipo de aplicación: ¿se trata de una aplicación SaaS de terceros? ¿Es una aplicación web de línea de negocio personalizada? ¿Es una API?

  • Importancia para la empresa: ¿su importancia es alta? ¿Es baja? ¿O está en el medio?

  • Volumen de acceso de usuario: ¿todos los usuarios acceden a esta aplicación, o solo unas pocas personas?

  • Duración planeada: ¿cuánto durará esta aplicación? ¿Menos de 6 meses? ¿Más de 2 años?

  • Proveedor de identidades actual: ¿cuál es el IdP principal para esta aplicación? ¿O depende del almacenamiento local?

  • Método de autenticación: ¿la aplicación se autentica con estándares abiertos?

  • Si planea actualizar el código de la aplicación: ¿la aplicación se encuentra en desarrollo activo o planificado?

  • Si planea mantener la aplicación en el entorno local: ¿quiere conservar la aplicación en el centro de datos a largo plazo?

  • Si la aplicación depende de otras aplicaciones o API: ¿la aplicación llama actualmente a otras aplicaciones o API?

  • Si la aplicación se encuentra en la galería de Azure AD: ¿la aplicación ya está integrada en la galería de Azure AD?

Los siguientes son otros datos que le ayudarán más adelante, pero sobre los que no necesita tomar una decisión de migración inmediata:

  • Dirección URL de la aplicación: ¿a dónde se dirigen los usuarios para acceder a la aplicación?

  • Descripción de la aplicación: ¿cuál es una breve descripción de lo que hace la aplicación?

  • Propietario de la aplicación: ¿qué persona de la empresa es la POC principal de la aplicación?

  • Comentarios o notas generales: cualquier otra información general sobre la aplicación o la propiedad de la empresa.

Una vez que haya clasificado la aplicación y haya documentado los detalles, asegúrese de lograr que el propietario de la empresa participe en su estrategia de migración planeada.

Planeamiento de un piloto

Las aplicaciones que seleccione para el piloto deben representar los requisitos importantes de identidad y seguridad de la organización, y debe tener una participación clara de los propietarios de la aplicación. Los pilotos suelen ejecutarse en un entorno de prueba independiente. Consulte los procedimientos recomendados para un piloto en la página de planes de implementación.

No se olvide de los asociados externos. Asegúrese de que participan en las programaciones y pruebas de migración. Por último, asegúrese de que tienen una manera de acceder al departamento de soporte técnico si surgen problemas importantes.

Preparación para las limitaciones

Aunque algunas aplicaciones son fáciles de migrar, otras pueden tardar más tiempo debido a varios servidores o instancias. Por ejemplo, la migración de SharePoint puede tardar más tiempo debido a las páginas de inicio de sesión personalizadas.

Muchos proveedores de aplicaciones SaaS cobran por cambiar la conexión de SSO. Consulte con ellos y prepárese para este escenario.

Azure AD también tiene límites de servicio y restricciones que debe tener en cuenta.

Aprobación del propietario de la aplicación

Las aplicaciones críticas para la empresa y usadas universalmente pueden necesitar un grupo de usuarios piloto para probar la aplicación en la fase piloto. Una vez que haya probado una aplicación en el entorno de preproducción o piloto, asegúrese de que los propietarios empresariales de la aplicación aprueben el rendimiento antes de la migración de la aplicación y todos los usuarios para el uso en producción de Azure AD para la autenticación.

Preparación de la postura de seguridad

Antes de iniciar el proceso de migración, tómese un momento para examinar a fondo la postura de seguridad que quiere desarrollar para el sistema de identidades corporativas. Esto se basa en los siguientes conjuntos de información valiosa: Identidades, dispositivos y ubicaciones que acceden a los datos.

Identidades y datos

La mayoría de las organizaciones tienen requisitos específicos relacionados con la protección de datos e identidades que varían según el segmento del sector y las funciones del puesto en las organizaciones. Consulte el artículo de configuraciones de identidad y acceso a dispositivos para conocer nuestras recomendaciones, incluido un conjunto de directivas de acceso condicional y funcionalidades relacionadas.

Puede usar esta información para proteger el acceso a todos los servicios integrados con Azure AD. Estas recomendaciones están alineadas con la puntuación de seguridad de Microsoft y con la puntuación de identidad de Azure AD. La puntuación le ayuda a:

  • Medir de forma objetiva su nivel de seguridad de la identidad

  • Planear la realización de mejoras en la seguridad de la identidad

  • Ver si las mejoras han logrado sus objetivos

Esto también le ayudará a implementar los cinco pasos para proteger la infraestructura de identidades. Use la guía como punto inicial para su organización y ajuste las directivas para cumplir los requisitos específicos de su organización.

¿Quién accederá a los datos?

Azure AD admite dos categorías principales de usuarios para las aplicaciones y recursos:

  • Internos: empleados, contratistas y proveedores que tengan cuentas en el proveedor de identidades. Esto podría requerir más dinamizaciones con diferentes reglas para los administradores o ejecutivos, en contraste con otros empleados.

  • Externos: proveedores, distribuidores u otros asociados comerciales que interactúan con su organización en el curso normal de las actividades empresariales con la colaboración B2B de Azure AD.

Puede definir grupos para estos usuarios y cubrirlos de diversas maneras. Puede optar por que un administrador deba agregar miembros manualmente a un grupo o puede habilitar el autoservicio de pertenencia al grupo. Se pueden establecer reglas que agreguen miembros automáticamente a los grupos según los criterios especificados con grupos dinámicos.

Los usuarios externos también pueden hacer referencia a los clientes. El producto independiente denominado Azure AD B2C admite la autenticación del cliente. No obstante, eso no se explica en estas notas.

Dispositivo/ubicación usados para acceder a los datos

También son importantes tanto el dispositivo como la ubicación que utiliza un usuario para acceder a una aplicación. Los dispositivos conectados físicamente a la red corporativa son más seguros. Puede que las conexiones establecidas fuera de la red a través de VPN deban evaluarse.

A diagram showing the relationship between User Location and Data Access

Teniendo en cuenta estos aspectos del recurso, el usuario y el dispositivo, puede optar por usar las funcionalidades de acceso condicional de Azure AD. El acceso condicional va más allá de los permisos de usuario: se basa en una combinación de factores, como la identidad de un usuario o un grupo, la red a la que está conectado el usuario, el dispositivo y la aplicación que está usando y el tipo de datos al que intenta acceder. El acceso que se concede al usuario se adapta a este conjunto más amplio de condiciones.

Exit criteria (Criterios de salida)

Esta fase se realiza correctamente cuando se cumple lo siguiente:

  • Conoce sus aplicaciones

    • Ha documentado por completo las aplicaciones que quiere migrar
    • Ha clasificado por orden de prioridad las aplicaciones en función de la importancia para la empresa, el volumen de uso y la duración
  • Ha seleccionado aplicaciones que representen los requisitos de un piloto

  • Ha logrado la participación del propietario de la empresa en la clasificación por orden de prioridad y la estrategia

  • Comprende las necesidades de la postura seguridad y cómo implementarlas

Fase 3: planificación de la migración y pruebas

Una vez que haya logrado la participación de la empresa, el siguiente paso es empezar a migrar estas aplicaciones a la autenticación de Azure AD.

Guías y herramientas de migración

Use las herramientas y las guías siguientes para seguir los pasos exactos necesarios para migrar las aplicaciones a Azure AD:

Después de la migración, puede optar por enviar la comunicación que informa a los usuarios de la implementación correcta y recordarles los pasos nuevos que deben seguir.

Planeamiento de pruebas

Durante el proceso de migración, es posible que la aplicación ya tenga un entorno de prueba que se usa durante las implementaciones normales. Puede seguir usando este entorno para las pruebas de migración. Si actualmente no hay disponible un entorno de prueba, quizá pueda configurar uno con Azure App Service o Azure Virtual Machines, en función de la arquitectura de la aplicación. Puede optar por configurar un inquilino de Azure AD de prueba independiente para usarlo cuando desarrolle las configuraciones de las aplicaciones. Este inquilino se iniciará en un estado limpio y no estará configurado para sincronizarse con ningún sistema.

Para probar todas las aplicaciones, inicie sesión con un usuario de prueba y asegúrese de que todas las funcionalidades son las mismas que antes de la migración. Si durante las pruebas determina que los usuarios deberán actualizar la configuración de MFA o SSPR, o si agrega esta funcionalidad durante la migración, asegúrese de agregarla al plan de comunicaciones para el usuario final. Consulte las plantillas de comunicación con el usuario final de MFA y SSPR.

Una vez que haya migrado las aplicaciones, vaya a Azure Portal para probar si la migración se realizó correctamente. Siga las instrucciones que se describen a continuación:

  • Seleccione Aplicaciones empresariales > Todas las aplicaciones y busque la aplicación en la lista.

  • Seleccione Administrar > Usuarios y grupos para asignar al menos un usuario o grupo a la aplicación.

  • Seleccione Administrar > Acceso condicional. Revise la lista de directivas y asegúrese de que no está bloqueando el acceso a la aplicación con una directiva de acceso condicional.

En función de cómo configure la aplicación, compruebe que el inicio de sesión único funciona correctamente.

Tipo de autenticación Prueba
OAuth / OpenID Connect Seleccione Aplicaciones empresariales > Permisos y asegúrese de haber dado su consentimiento a que la aplicación se use en la organización desde la configuración del usuario correspondiente a la aplicación.
SSO basado en SAML Use el botón Probar la configuración de SAML que está en Inicio de sesión único.
SSO basado en contraseñas Descarga e instalación de la extensión de inicio de sesión seguro de Mis aplicaciones. Esta extensión lo ayudará a iniciar cualquiera de las aplicaciones en la nube de su organización que requiera que se use un proceso de inicio de sesión único.

| Application Proxy | Asegúrese de que el conector esté en ejecución y de que esté asignado a la aplicación. Visite la Solución de problemas y mensajes de error de Proxy de aplicación para obtener más ayuda. |

Solución de problemas

Si tiene problemas, consulte nuestra Guía de solución de problemas de aplicaciones para obtener ayuda. También puede consultar nuestros artículos de solución de problemas; vea Problemas al iniciar sesión en aplicaciones configuradas de inicio de sesión único basadas en SAML.

Planeamiento de la reversión

Si se produce un error en la migración, la mejor estrategia es la reversión y la prueba. Estos son los pasos que puede seguir para mitigar los problemas de migración:

  • Realice capturas de pantalla de la configuración existente de la aplicación. Puede consultarlas si necesita volver a configurar la aplicación.

  • También puede proporcionar vínculos a la autenticación heredada si surgen problemas con la autenticación en la nube.

  • Antes de completar la migración, no cambie la configuración existente con el proveedor de identidades anterior.

  • Comience por migrar las aplicaciones que admiten varios IdP. Si algo va mal, siempre puede cambiar a la configuración del IdP preferido.

  • Asegúrese de que la experiencia de la aplicación tenga un botón Comentarios o punteros al departamento de soporte técnico en caso de problemas.

Exit criteria (Criterios de salida)

Esta fase se realiza correctamente cuando ha hecho lo siguiente:

  • Determinó cómo se migrará cada aplicación

  • Revisó las herramientas de migración

  • Planeó las pruebas, incluidos los grupos y entornos de prueba

  • Planeó la reversión

Fase 4: administración del plan y conclusiones

Una vez que se hayan migrado las aplicaciones, debe asegurarse de que:

  • Los usuarios pueden acceder y administrar de forma segura.

  • Puede obtener las conclusiones adecuadas sobre el uso y el estado de la aplicación.

Se recomienda realizar las siguientes acciones según sea necesario para la organización.

Administración del acceso a la aplicación de los usuarios

Una vez que haya migrado las aplicaciones, puede enriquecer la experiencia del usuario de muchas maneras.

Haga que las aplicaciones se puedan buscar

Dirija al usuario a la experiencia del portal Mis aplicaciones. Aquí, podrá acceder a todas las aplicaciones basadas en la nube, a las aplicaciones que pone a su disposición mediante Azure AD Connect y a las aplicaciones que usan Application Proxy, siempre que tenga permisos de acceso a esas aplicaciones.

Puede guiar a los usuarios en la búsqueda de sus aplicaciones:

Hacer que las aplicaciones sean accesibles

Permita que los usuarios accedan a las aplicaciones desde sus dispositivos móviles. Los usuarios pueden acceder al portal Mis aplicaciones con el explorador administrado de Intune en sus dispositivos iOS versión 7.0 o posterior o Android.

Los usuarios pueden descargar un explorador administrado de Intune:

Permita que los usuarios abran las aplicaciones desde una extensión del navegador.

Los usuarios pueden descargar la extensión de inicio de sesión seguro de Mis aplicaciones en Chrome o Microsoft Edge y pueden iniciar las aplicaciones directamente desde la barra del explorador para:

  • Buscar sus aplicaciones y hacer que se muestren sus aplicaciones usadas más recientemente.

  • Convertir automáticamente las direcciones URL internas que haya configurado en Application Proxy en las direcciones URL externas adecuadas. Los usuarios ahora pueden trabajar con los vínculos con los que están familiarizados, independientemente de dónde se encuentren.

Permita que los usuarios abran las aplicaciones desde Office.com.

Los usuarios pueden ir a Office.com para buscar las aplicaciones y hacer que se muestren las aplicaciones usadas más recientemente justo desde el sitio en el que realizan su trabajo.

Protección del acceso a las aplicaciones

Azure AD proporciona una ubicación de acceso centralizada para administrar las aplicaciones migradas. Vaya a Azure Portal y habilite las siguientes funcionalidades:

  • Proteger el acceso de los usuarios a las aplicaciones. Habilite las directivas de acceso condicional o Identity Protection para proteger el acceso de los usuarios a las aplicaciones en función del estado del dispositivo, la ubicación, etc.

  • Aprovisionamiento automático. Configure el aprovisionamiento automático de usuarios con una variedad de aplicaciones SaaS de terceros a las que los usuarios necesitan acceder. Además de crear identidades de usuario, incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian.

  • Delegar la administracióndel acceso de usuarios. Según sea necesario, habilite el acceso de autoservicio a las aplicaciones y asigne un aprobador de la empresa para aprobar el acceso a esas aplicaciones. Use la administración de grupos de autoservicio para los grupos asignados a las colecciones de aplicaciones.

  • Delegar el acceso de administrador. Use el rol de directorio para asignar un rol de administrador (por ejemplo, administrador de aplicaciones, administrador de aplicaciones en la nube o desarrollador de aplicaciones) al usuario.

Auditoría y obtención de conclusiones sobre las aplicaciones

También puede usar Azure Portal para auditar todas las aplicaciones desde una ubicación centralizada.

  • Audite su aplicación mediante la auditoría de aplicaciones empresariales u obtenga acceso a la misma información de la API de informes de Azure AD para integrarla en sus herramientas favoritas.

  • Vea los permisos de una aplicación mediante los permisos de aplicaciones empresariales para las aplicaciones que usan OAuth u OpenID Connect.

  • Obtenga conclusiones del inicio de sesión con los inicios de sesión de aplicaciones empresariales. Acceda a la misma información de la API de informes de Azure AD.

  • Visualice el uso de la aplicación desde el paquete de contenido de Azure AD Power BI.

Exit criteria (Criterios de salida)

Esta fase se realiza correctamente cuando se cumple lo siguiente:

  • Proporciona acceso seguro a las aplicaciones para los usuarios.

  • Logra auditar y obtener conclusiones sobre las aplicaciones migradas.

Hace aún más con los planes de implementación.

Los planes de implementación explican el valor empresarial, la planificación, los pasos de implementación y la administración de las soluciones de Azure AD, incluidos los escenarios de migración de aplicaciones. Reúnen todo lo que necesita para empezar la implementación y aprovechar las funcionalidades de Azure AD. Las guías de implementación incluyen contenido como procedimientos recomendados de Microsoft, comunicaciones para el usuario final, guías de planeación, pasos de implementación, casos de prueba, etc.

Hay muchos planes de implementación disponibles y siempre estamos creando más.

Ponerse en contacto con soporte técnico

Visite los siguientes vínculos de soporte técnico para crear una incidencia de soporte técnico o realizar el seguimiento de la misma, así como supervisar el mantenimiento.

  • Soporte técnico de Azure: puede llamar al Soporte técnico de Microsoft y crear una incidencia para cualquier problema de implementación de Azure

Identity en función del Contrato Enterprise con Microsoft.

  • FastTrack: si ha adquirido licencias de Enterprise Mobility and Security (EMS) o Azure AD Premium, puede recibir asistencia de implementación del programa FastTrack.

  • Comuníquese con el equipo de ingeniería de producto: si está trabajando en una implementación de clientes principales con millones de usuarios, tiene derecho a recibir soporte técnico del equipo de cuentas de Microsoft o el arquitecto de soluciones en la nube. En función de la complejidad de la implementación del proyecto, puede trabajar directamente con el equipo de ingenieros de productos de identidad de Azure.

  • Blog de identidad de Azure AD: suscríbase al blog de identidad de Azure AD para mantenerse al día con todos los anuncios de producto más recientes, análisis detallados e información de hoja de ruta que proporciona directamente el equipo de ingenieros de Identity.