¿Qué es la administración de aplicaciones en id. de Microsoft Entra?
La administración de aplicaciones en Microsoft Entra ID es el proceso de creación, configuración, administración y supervisión de aplicaciones en la nube. Cuando se registra una aplicación en un inquilino Microsoft Entra, los usuarios que ya se la han asignado pueden acceder a ella de forma segura. Se pueden registrar muchos tipos de aplicaciones en Microsoft Entra ID. Para más información, consulte Tipos de aplicaciones para la plataforma de identidad de Microsoft.
En este artículo, aprenderá estos aspectos importantes de la administración del ciclo de vida de una aplicación:
- Desarrollar, agregar o conectar: se toman rutas diferentes en función de si estás desarrollando tu propia aplicación con una aplicación integrada previamente o conectándote a una aplicación local.
- Administrar el acceso: el acceso se puede administrar mediante el inicio de sesión único (SSO), la asignación de recursos, la definición de la forma en que se concede y da su consentimiento al acceso y el uso del aprovisionamiento automatizado.
- Configurar propiedades: configure los requisitos para iniciar sesión en la aplicación y cómo se representa la aplicación en los portales de usuario.
- Proteger la aplicación administrar la configuración de permisos, la autenticación multifactor, el Acceso Condicional, los tokens y los certificados.
- Gobernar y supervisar: administre la interacción y revise la actividad mediante la administración de derechos y los recursos de informes y supervisión.
- Limpiar: cuando la aplicación ya no sea necesaria, elimine el acceso a la misma y elimínela para limpiar el inquilino.
Desarrollar, agregar o conectar
Hay varias maneras de administrar aplicaciones en Microsoft Entra ID. La manera más fácil de empezar a administrar una aplicación es usar una aplicación integrada previamente desde la galería de Microsoft Entra. Una opción es desarrollar su propia aplicación y registrarla en Microsoft Entra ID, o bien puede seguir usando una aplicación local.
En la imagen siguiente, se muestra cómo interactúan estas aplicaciones con Microsoft Entra ID.
Aplicaciones preintegradas
Muchas aplicaciones ya están integradas previamente (se muestran como "aplicaciones en la nube" en la imagen anterior en este artículo) y se pueden configurar con un mínimo esfuerzo. Cada aplicación de la galería de Microsoft Entra tiene disponible un artículo que muestra los pasos necesarios para configurar la aplicación. Para obtener un ejemplo sencillo de cómo se puede agregar una aplicación al inquilino de Microsoft Entra desde la galería, consulte Inicio rápido: Adición de una aplicación empresarial.
Sus propias aplicaciones
Si desarrolla su propia aplicación empresarial, puede registrarla con Microsoft Entra ID para aprovechar las ventajas de las características de seguridad que proporciona el inquilino. Puede registrar la aplicación en Registros de aplicaciones o puede registrarla mediante el vínculo Cree su propia aplicación al agregar una nueva aplicación en Aplicaciones empresariales. Tenga en cuenta cómo se ha implementado la autenticación en la aplicación para la integración con Microsoft Entra ID.
Si deseas que la aplicación esté disponible en la galería, puedes enviar una solicitud para que esté disponible.
Aplicaciones locales
Si desea seguir usando una aplicación local, pero aproveche las ventajas de lo que ofrece Microsoft Entra ID, conéctelo con Microsoft Entra ID mediante Proxy de aplicación de Microsoft Entra. Application Proxy se puede implementar cuando desea publicar aplicaciones locales externamente. Los usuarios remotos que necesitan acceso a las aplicaciones internas pueden acceder a ellas de forma segura.
Administración del acceso
Para administrar el acceso de una aplicación, será necesario responder a las siguientes preguntas:
- ¿Cómo se concede y se da el consentimiento al acceso para la aplicación?
- ¿La aplicación admite el inicio de sesión único?
- ¿Qué usuarios, grupos y propietarios se deben asignar a la aplicación?
- ¿Hay otros proveedores de identidades que admitan la aplicación?
- ¿Es útil automatizar el aprovisionamiento de identidades y roles de usuario?
Acceso y consentimiento
Puede administrar la configuración del consentimiento del usuario para elegir si los usuarios pueden permitir que una aplicación o un servicio accedan a los perfiles de usuario y a los datos de la organización. Cuando se concede acceso a las aplicaciones, los usuarios pueden iniciar sesión en las aplicaciones integradas con Microsoft Entra ID y la aplicación puede acceder a los datos de la organización para ofrecer experiencias enriquecidas controladas por datos.
En situaciones en las que los usuarios no pueden dar su consentimiento a los permisos que solicita una aplicación, considere la posibilidad de configurar el flujo de trabajo de consentimiento del administrador. El flujo de trabajo permite a los usuarios proporcionar una justificación y solicitar la revisión y aprobación de una aplicación por parte de un administrador. Para aprender cómo configurar el flujo de trabajo de consentimiento del administrador en el inquilino de Microsoft Entra, consulte Configuración del flujo de trabajo de consentimiento del administrador.
Como administrador, puede conceder el consentimiento del administrador para todo el inquilino a una aplicación. El consentimiento del administrador para todo el inquilino es necesario cuando una aplicación requiere permisos que los usuarios normales no pueden conceder. Conceder el consentimiento del administrador para todo el inquilino también permite a las organizaciones implementar sus propios procesos de revisión. Antes de conceder el consentimiento, revise siempre con atención los permisos que solicita la aplicación. Cuando a una aplicación se le concede el consentimiento del administrador para todo el inquilino, todos los usuarios pueden iniciar sesión en la aplicación a menos que la configures para requerir la asignación de usuarios.
Inicio de sesión único
Considere la posibilidad de implementar el inicio de sesión único en la aplicación. Puede configurar manualmente la mayoría de las aplicaciones para el inicio de sesión único. Las opciones más populares en Microsoft Entra ID son SSO basado en SAML y SSO basado en OpenID Connect. Antes de empezar, asegúrese de que comprende los requisitos del inicio de sesión único y cómo planear la implementación. Para obtener más información sobre cómo configurar el inicio de sesión único basado en SAML para una aplicación empresarial en el inquilino de Microsoft Entra, consulte Habilitación del inicio de sesión único para una aplicación mediante Microsoft Entra ID.
Asignación de usuarios, grupos y propietarios
De manera predeterminada, los usuarios pueden acceder a las aplicaciones empresariales sin tener que asignarlas. Sin embargo, si quiere asignar la aplicación a un conjunto de usuarios, configure la aplicación para requerir la asignación de usuarios y asigne los usuarios seleccionados a la aplicación. Para obtener un ejemplo sencillo de cómo crear y asignar una cuenta de usuario a una aplicación, consulte Inicio rápido: Creación y asignación de una cuenta de usuario en Azure Active Directory.
Si se incluye en la suscripción, asigne grupos a una aplicación para que pueda delegar la administración del acceso continuo al propietario del grupo.
Asignar propietarios es una manera sencilla de conceder la capacidad de administrar todos los aspectos de la configuración de Microsoft Entra para una aplicación. Como propietario, un usuario puede administrar la configuración específica de la organización de la aplicación. Como procedimiento recomendado, debe supervisar de forma proactiva las aplicaciones del inquilino para asegurarse de que tienen al menos dos propietarios, para evitar que se conviertan en aplicaciones sin propietario.
Aprovisionamiento automatizado
El aprovisionamiento de aplicaciones hace referencia a la creación automática de identidades y roles de usuario en las aplicaciones a las que los usuarios necesitan acceder. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian.
Proveedores de identidades
¿Tiene un proveedor de identidades con el que quiere que interactúe Microsoft Entra ID? La detección del dominio de inicio proporciona una configuración que permite a Microsoft Entra ID determinar con qué proveedor de identidades se debe autenticar un usuario en el momento del inicio de sesión.
Portales de usuario
Microsoft Entra ID proporciona maneras personalizables para implementar aplicaciones para los usuarios de la organización. Por ejemplo, el portal Aplicaciones o el iniciador de aplicaciones de Microsoft 365. El portal Aplicaciones proporciona a los usuarios un lugar único desde el que pueden empezar a trabajar y buscar todas las aplicaciones a las que tienen acceso. Como administrador de una aplicación, debes planear cómo usan los usuarios de la organización el portal Aplicaciones.
Configuración de propiedades
Al agregar una aplicación al inquilino de Microsoft Entra, tiene la oportunidad de configurar propiedades que afectan a la forma en la que los usuarios pueden interactuar con la aplicación. Puede habilitar o deshabilitar la capacidad de iniciar sesión y establecer que la aplicación requiera la asignación de los usuarios. También puede determinar la visibilidad de la aplicación, qué logotipo representa a la aplicación y cualquier nota sobre la aplicación. Para obtener más información sobre las propiedades que se pueden configurar, consulte Propiedades de una aplicación empresarial.
Protección de la aplicación
Hay varios métodos disponibles para ayudarle a proteger las aplicaciones empresariales. Por ejemplo, puede restringir el acceso al inquilino, administrar la visibilidad, los datos y el análisis, y posiblemente proporcionar acceso híbrido. Mantener las aplicaciones empresariales seguras también implica administrar la configuración de permisos, MFA, acceso condicional, tokens y certificados.
Permisos
Es importante revisar periódicamente y, si es necesario, administrar los permisos concedidos a una aplicación o un servicio. Asegúrese de permitir solo el acceso adecuado a las aplicaciones evaluando periódicamente si existe actividad sospechosa.
Las clasificaciones de permisos permiten identificar el efecto de los distintos permisos según las evaluaciones de riesgo y las directivas de la organización. Por ejemplo, puede usar las clasificaciones de permisos en las directivas de consentimiento para identificar el conjunto de permisos a los que los usuarios pueden dar su consentimiento.
Autenticación multifactor y acceso condicional
Autenticación multifactor de Microsoft Entra ayuda a proteger el acceso a los datos y aplicaciones, lo que proporciona otra capa de seguridad mediante una segunda forma de autenticación. Hay muchos métodos que se pueden usar para una autenticación de segundo factor. Antes de empezar, planee la implementación de MFA para la aplicación en la organización.
Las organizaciones pueden habilitar MFA con Acceso condicional para que la solución se ajuste a sus necesidades específicas. Las directivas de acceso condicional permiten que los administradores asignen controles a determinadas aplicaciones, acciones o contextos de autenticación.
Tokens y certificados
En un flujo de autenticación de Microsoft Entra ID, se usan distintos tipos de tokens de seguridad en función del protocolo utilizado. Por ejemplo, los tokens SAML se usan para el protocolo SAML y los tokens de identificador y los tokens de acceso se usan para el protocolo OpenID Connect. Los tokens se firman con el certificado único que genera Microsoft Entra ID y mediante algoritmos estándar específicos.
Puede proporcionar más seguridad mediante el cifrado del token. También puede administrar la información de un token, incluidos los roles permitidos para la aplicación.
Microsoft Entra ID utiliza el algoritmo predeterminado SHA-256 para firmar la respuesta SAML. Utilice SHA-256 a menos que la aplicación requiera SHA-1. Establezca un proceso para administrar la duración del certificado. La duración máxima de un certificado de firma es de tres años. Para evitar o minimizar la interrupción debido a la expiración de un certificado, use las listas de distribución de correo electrónico y roles para asegurarse de que las notificaciones de cambios relacionadas con los certificados se supervisan con atención.
Gobierno y supervisión
La administración de derechos de Microsoft Entra ID permite administrar la interacción entre aplicaciones y administradores, propietarios de catálogos, administradores de paquetes de acceso, aprobadores y solicitantes.
La solución de supervisión e informes de Microsoft Entra depende de sus requisitos legales, de seguridad y operativos, así como del entorno y los procesos existentes. Hay varios registros que se mantienen en Microsoft Entra ID. Por eso, deberías planear la implementación de informes y supervisión para mantener la mejor experiencia posible para la aplicación.
Limpiar
Puede limpiar el acceso a las aplicaciones. Por ejemplo, quitar el acceso de un usuario. También puede deshabilitar el modo en que un usuario inicia sesión. Por último, puede eliminar la aplicación si ya no es necesaria para la organización. Para obtener más información sobre cómo eliminar una aplicación empresarial del inquilino de Microsoft Entra, consulte Inicio rápido: Eliminación de una aplicación empresarial.
Tutorial guiado
Para ver un tutorial guiado sobre varias recomendaciones de este artículo, consulte el tutorial guiado de protección de aplicaciones en la nube de Microsoft 365 con inicio de sesión único (SSO).
Pasos siguientes
- Para empezar, agregue su primera aplicación empresarial con Inicio rápido: Adición de una aplicación empresarial en Azure Active Directory.