Aumento de la resistencia en la arquitectura híbrida

Una infraestructura híbrida incluye componentes en la nube y locales. La autenticación híbrida permite a los usuarios acceder a recursos basados en la nube con sus identidades que se originan en el entorno local o acceder a los recursos locales con identidades basadas en la nube.

• Los componentes en la nube incluyen Microsoft Entra AD, recursos y servicios de Azure, las aplicaciones basadas en la nube de la organización y aplicaciones SaaS.
• Entre los componentes locales se incluyen las aplicaciones locales, recursos como las bases de datos SQL, y un proveedor de identidades como Windows Server Active Directory.

Importante

A medida que planea la resiliencia en su infraestructura híbrida, es fundamental minimizar las dependencias y los puntos únicos de fallo. La interrupción de la conectividad local y en la nube puede producirse por muchas razones, como errores de hardware, interrupciones de energía, desastres naturales y ataques de malware.

Microsoft ofrece varios mecanismos para la autenticación híbrida para aplicaciones conectadas a Microsoft Entra. Si su organización ha estado confiando en contraseñas de Active Directory y autenticación de paso a través o federación para autenticar a los usuarios, se recomienda implementar la sincronización de hash de contraseñas, si es posible.

• La sincronización de hash de contraseñas (PHS) usa Microsoft Entra Connect para sincronizar la identidad y un hash de la contraseña de Windows Server AD a Microsoft Entra ID. Permite a los usuarios iniciar sesión en Microsoft Entra para acceder a los recursos basados en la nube con la misma contraseña que estableció en Active Directory. PHS solo tiene dependencias en AD durante la sincronización, no durante la autenticación.
• La autenticación de paso (PTA) redirige a los usuarios a Microsoft Entra ID para realizar el inicio de sesión. Después, el nombre de usuario y la contraseña se validan con Active Directory local, mediante un agente que se implementa en la red corporativa. PTA tiene una presencia de sus agentes de Microsoft Entra PTA que residen en servidores locales. Esos servidores deben ser accesibles durante la autenticación y deben poder acceder a un controlador de dominio.
• Los clientes de Federation implementan un servicio de federación como Active Directory Federation Services (AD FS) como proveedor de identidades. Microsoft Entra ID redirige a los usuarios para autenticarse en el servicio de federación del proveedor de identidades y, a continuación, valida la aserción de SAML generada por el servicio de federación. El usuario debe poder conectarse al proveedor de identidades y el proveedor de identidades también puede confiar en Active Directory.
• La autenticación basada en certificados de Microsoft Entra (CBA) permite a Microsoft Entra autenticar a los usuarios mediante certificados X.509 emitidos por una infraestructura de clave pública empresarial (PKI) almacenada en Active Directory, Microsoft Entra ID o ambos. Con Microsoft Entra CBA, los clientes pueden simplificar y reducir las dependencias en los componentes locales mediante la eliminación de la necesidad de servicios de federación de Active Directory (AD FS).

Puede que se utilicen uno o varios de estos métodos en su organización. Para más información, consulte Selección del método de autenticación adecuado para la solución de identidad híbrida de Microsoft Entra. Este artículo contiene un árbol de decisión que puede ayudarle a decidir la metodología.

Sincronización de hash de contraseña

La opción de autenticación híbrida más sencilla y resistente para Microsoft Entra AD es la sincronización de hash de contraseña. No tiene ninguna dependencia de infraestructura de identidad local al procesar solicitudes de autenticación. Una vez que las identidades con hash de contraseña se sincronizan con el identificador de Entra de Microsoft, los usuarios pueden autenticarse en los recursos de Microsoft Entra y en la nube sin dependencia de los componentes de identidad locales.

Si elige esta opción de autenticación, no experimentará interrupciones para el acceso a Microsoft Entra y otros recursos en la nube cuando los componentes de identidad locales no estén disponibles.

¿Cómo se implementa PHS?

Para implementar PHS, vea los siguientes recursos:

• Implementación de la sincronización de hash de contraseña con Microsoft Entra Connect
• Habilitación de la sincronización de hash de contraseñas

Si sus requisitos son tales que no puede usar PHS, use la Autenticación de paso.

Autenticación de paso directo

La autenticación de paso tiene una dependencia en los agentes de autenticación que residen en las instalaciones, en los servidores. Una conexión persistente, o Service Bus, está presente entre Microsoft Entra ID y los agentes de PTA locales. El firewall, los servidores que hospedan los agentes de autenticación y Windows Server Active Directory local (u otro proveedor de identidades) son posibles puntos de error.

¿Cómo se implementa PTA?

Para implementar la autenticación de paso a través, vea los siguientes recursos.

• Funcionamiento de la autenticación de paso directo

• Análisis detallado de la seguridad de la autenticación de paso a través

• Instalar la autenticación de paso de Microsoft Entra

• Si usa PTA, defina una topología de alta disponibilidad.

Federación

La federación implica la creación de una relación de confianza entre Microsoft Entra ID y el servicio de federación, lo que incluye el intercambio de puntos de conexión, certificados de firma de tokens y otros metadatos. Cuando llega una solicitud a Microsoft Entra ID, lee la configuración y redirige al usuario a los puntos de conexión configurados. En ese momento, el usuario interactúa con el servicio de federación, que emite una aserción SAML validada por Microsoft Entra AD.

En el diagrama siguiente, se muestra una topología de la implementación de AD FS en una empresa, que incluye servidores de federación redundante y proxy de aplicación web en varios centros de datos locales. Esta configuración se basa en componentes de infraestructura de red de empresa, como DNS, equilibrio de carga de red con capacidades de afinidad geográfica y firewalls. Todos los componentes y las conexiones locales son susceptibles a errores. Para obtener más información, visite la documentación de planeamiento de capacidad de AD FS.

Nota:

La federación tiene un gran número de dependencias locales. Aunque este diagrama muestra AD FS, otros proveedores de identidades locales (on-premises) están sujetos a consideraciones de diseño similares para lograr alta disponibilidad, escalabilidad y failover.

¿Cómo se implementa la federación?

Si va a implementar una estrategia de autenticación federada o quiere que sea más resistente, vea los recursos siguientes.

• En qué consiste la autenticación federada
• Cómo funciona la federación
• Lista de compatibilidad de federaciones de Microsoft Entra
• Siga la documentación de planificación de capacidad de AD FS
• Implementación de AD FS en Azure IaaS
• Habilitar PHS junto con la federación

Pasos siguientes

Recursos de resistencia para administradores y arquitectos

• Aumento de la resistencia con la administración de credenciales
• Construir resiliencia con estados de dispositivos
• Aumento de la resistencia mediante la evaluación continua de acceso (CAE)
• Aumento de la resistencia en la autenticación de usuario externo
• Desarrolla resiliencia para tus aplicaciones federadas con usuarios ubicados en el mismo lugar
• Aumento de la resistencia en el acceso a la aplicación con Application Proxy

Recursos de resistencia para desarrolladores

• Aumento de la resistencia IAM en las aplicaciones
• Aumento de la resistencia en los sistemas CIAM