Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La autenticación ayuda a comprobar la identidad y el control de acceso es un proceso de autorización de usuarios y grupos para acceder a los recursos.
Protocolo de autenticación y puntos de conexión: aplicaciones de cliente y autenticación
Las aplicaciones orientadas al cliente se pueden autenticar con el identificador externo de Microsoft Entra mediante Open Authorization 2.0 (OAuth 2) o security Assertion Markup Language 2.0 (SAML 2).
En la tabla siguiente se resumen las opciones de integración de aplicaciones para OAuth 2 y OpendID Connect (OIDC).
| Tipo de aplicación | Iniciador de autenticación | Opciones de autenticación |
|---|---|---|
| Cliente nativo: aplicaciones móviles y de plataforma | Usuario que interactúa con la aplicación |
-
Autenticación nativa con - de autorización híbrido de bibliotecas de autenticación de Microsoft (MSAL) - |
| Aplicaciones web que se ejecutan en un servidor | Un usuario que interactúa con la aplicación | Código de autorización |
| Aplicación web que se ejecuta en el explorador, una aplicación de página única (SPA) | Un usuario que interactúa con la aplicación |
-
Autenticación nativa con MSAL : código - de autorización híbrido o implícito, con clave de prueba para el intercambio de código (PKCE) |
| Aplicación web que se ejecuta en un servidor: middleware | Una aplicación en nombre de un usuario | En nombre de |
| Aplicación web que se ejecuta en un servidor | Servicio o aplicación sin encabezado | Credenciales de cliente |
| Dispositivo de entrada limitado | Interacción del usuario con el dispositivo | Flujo de código de dispositivo |
Nota:
Referente a on behalf of, la notificación sub (subject) presentada al middleware y el back-end difiere. Consulte las cargas en la referencia de notificaciones de token de acceso. El asunto es un identificador en pares único para un identificador de aplicación. Si un usuario inicia sesión en dos aplicaciones con IDs de cliente diferentes, las aplicaciones reciben dos valores de afirmación de sujeto. Use si los dos valores dependen de los requisitos de arquitectura y privacidad. Tenga en cuenta la declaración del identificador de objeto (OID), que sigue siendo la misma en todas las aplicaciones de una entidad.
En el diagrama siguiente de flujos de OAuth 2 y OIDC se muestran las opciones de integración de aplicaciones de OAuth.
Las opciones de integración de aplicaciones para SAML se basan en el flujo iniciado por el proveedor de servicios (SP). El flujo de SAML se detalla en la autenticación con microsoft Entra ID.
Diseño de la extensión de autenticación personalizada
Use extensiones de autenticación personalizadas para personalizar la experiencia de autenticación de Microsoft Entra mediante la integración con sistemas externos. En el diagrama siguiente, observe el progreso desde el registro hasta el token devuelto.
Consulte la introducción a las extensiones de autenticación personalizadas.
En el diagrama siguiente se muestra un flujo de autenticación personalizado.
Consideraciones sobre la API y el controlador de eventos
Implemente la API como una API dedicada, o use una fachada de API con una solución de middleware, como un administrador de API. Cada extensión personalizada tiene un contrato de API estrictamente tipado. Preste atención a las definiciones.
Obtenga más información sobre el tipo de recurso authenticationEventListener.
Nota:
La lista del artículo anterior crece a medida que se agregan más tipos de recursos.
Microsoft proporciona un paquete NuGet para desarrolladores de .NET que crean aplicaciones de Azure Functions . Esta solución controla el procesamiento de back-end para las solicitudes HTTP entrantes para eventos de autenticación de Microsoft Entra. Busque la validación de tokens para asegurar la llamada a la API, el modelo de objeto y el tipo, utilizando IntelliSense del IDE. Busque también la validación entrante y saliente de los esquemas de solicitud y respuesta de api.
Las extensiones de autenticación se ejecutan conforme a los flujos de inicio de sesión y creación de cuenta. Asegúrese de que el escenario es muy eficaz, sólido y seguro. Azure Functions ofrece una infraestructura segura, incluidas las bibliotecas, Azure Key Vault para el almacenamiento secreto, el almacenamiento en caché, el escalado automático y la supervisión. Hay más recomendaciones en operaciones de seguridad.
Pasos siguientes
Use los artículos siguientes para ayudarle a empezar a trabajar con una implementación de identificador externo de Microsoft Entra:
- Introducción a la guía de despliegue de ID externo de Microsoft Entra
- Diseño de inquilinos
- Experiencia de autenticación del cliente
- Operaciones de seguridad
- Arquitectura de autenticación y control de acceso