Comparación de proveedores de identidades de Microsoft
Un proveedor de identidades (IdP) es un sistema que crea, administra y almacena identidades digitales. Microsoft Entra ID es un ejemplo. Las funcionalidades y características de los proveedores de identidades pueden variar. Los tres componentes más comunes son los siguientes:
- un repositorio de identidades de usuario
- un sistema de autenticación
- protocolos de seguridad que protegen contra intrusiones
Un proveedor de identidades comprueba las identidades de usuario mediante uno o varios factores de autenticación, como una contraseña o un examen de huellas digitales. Un proveedor de identidades suele ser un proveedor de confianza que se usa con el inicio de sesión único (SSO) para acceder a otros recursos. El inicio de sesión único mejora la facilidad de uso al reducir la fatiga de las contraseñas. También proporciona una mayor seguridad al disminuir la superficie de ataque potencial. Los proveedores de identidades pueden facilitar las conexiones entre los recursos de informática en la nube y los usuarios, lo que reduce la necesidad de que los usuarios vuelvan a autenticarse al usar aplicaciones para dispositivos móviles e itinerantes.
Protocolos de identidad comunes
Proveedor OpenID: OpenID Connect (OIDC) es un protocolo de autenticación basado en el protocolo OAuth2 (que se usa para la autorización). OIDC usa los flujos de mensajes estandarizados desde OAuth2 para proporcionar servicios de identidad. En concreto, una entidad del sistema (denominada OpenID-Provider) emite tokens de identidad con formato JSON a los usuarios de confianza de OIDC mediante una API HTTP RESTful.
Proveedor de identidades SAML: el Lenguaje de marcado de aserción de seguridad (SAML) es un estándar abierto para intercambiar datos de autenticación y autorización entre un proveedor de identidades y un proveedor de servicios. SAML es un lenguaje de marcado basado en XML para las aserciones de seguridad, que son instrucciones que los proveedores de servicios usan para tomar decisiones relativas al control de acceso.
Comparación de proveedores de identidades en Microsoft Azure
Microsoft proporciona varias herramientas diferentes para la identidad en función de las necesidades y objetivos empresariales. Microsoft Entra ID debe ser el punto de partida de la identidad basada en la nube. Otros servicios pueden proporcionar funcionalidades auxiliares a medida que realiza la transición desde el entorno local a la nube.
| Servicios de dominio de Microsoft Entra | Microsoft Entra ID | Active Directory Domain Services |
|---|---|---|
| Proporciona servicios de dominio administrados con un subconjunto de características de AD DS tradicionales totalmente compatibles como, por ejemplo, unión a un dominio, directiva de grupo, LDAP y autenticación Kerberos o NTLM. | Administración de identidades basadas en la nube y de dispositivos móviles que proporciona servicios de cuentas de usuario y autenticación para recursos como Microsoft 365, Azure Portal o las aplicaciones SaaS. | Servidor LDAP (Protocolo ligero de acceso a directorios) preparado para la empresa que proporciona características clave como las de identidad y autenticación, administración de objetos de equipo, directiva de grupo y confianzas. |
Active Directory Domain Services (AD DS)
Servidor LDAP (Protocolo ligero de acceso a directorios) preparado para la empresa que proporciona características clave como las de identidad y autenticación, administración de objetos de equipo, directiva de grupo y confianzas.
- AD DS es un componente central de muchas organizaciones con un entorno de TI local y proporciona características básicas de administración de equipos y autenticación de cuentas de usuario.
Microsoft Entra ID
Administración de identidades basadas en la nube y de dispositivos móviles que proporciona servicios de cuentas de usuario y autenticación para recursos como Microsoft 365, Azure Portal o las aplicaciones SaaS.
- Microsoft Entra ID se puede sincronizar con un entorno de AD DS local para proporcionar una identidad única a los usuarios que funcionan de forma nativa en la nube.
Servicios de dominio de Microsoft Entra
Proporciona servicios de dominio administrados con un subconjunto de características de AD DS tradicionales totalmente compatibles como, por ejemplo, unión a un dominio, directiva de grupo, LDAP y autenticación Kerberos o NTLM.
- Microsoft Entra DS se integra con Microsoft Entra ID, que puede sincronizarse con un entorno de AD DS local. Esta capacidad amplía los casos de uso de identidad central a las aplicaciones web tradicionales que se ejecutan en Azure como parte de una estrategia de migración mediante lift-and-shift.