Exploración de la autenticación
La autenticación valida que la identidad (usuario, aplicación o dispositivo) es quien dice ser. Después, también proporciona un nivel adecuado de validación y seguridad a lo largo de la transacción de autenticación. La autenticación de identidad proporciona lo siguiente:
- Autenticación flexible y conforme a estándares que se integra en todas las organizaciones
- Integración de orígenes, aplicaciones y protocolos dispares
- Usa muchos métodos estándar del sector diferentes de validación y garantía
El uso de un proveedor de identidades para la autenticación ofrece una manera de garantizar identidades seguras sin limitar las funcionalidades de los usuarios. Puede obtener comodidad, varios orígenes para validar la identidad, protocolos del sector y garantía de la identidad.
Comodidad: esta funcionalidad se centra en la experiencia de los usuarios finales con la forma en que se les solicitan las credenciales de autenticación. Aquí el foco es la experiencia del usuario final. Si algo no es fácil, los usuarios lo evitan o se quejan de ello.
Orígenes: esta funcionalidad se centra en dónde obtiene el usuario su token de autenticación. Muchas organizaciones tienen lo que creen que es un emisor centralizado (Microsoft Entra ID), pero en realidad la mayoría también tienen otros repositorios de identidades. La identidad federada es el otro proveedor de identidades más común.
Protocolos: a menudo, las organizaciones tienen varios protocolos de autenticación implementados que provocan una experiencia deficiente tanto para los usuarios finales como para la organización. Un área de enfoque de esta funcionalidad es ayudar a una organización a estandarizar uno o varios protocolos de autenticación modernos y seguros para lograr sus objetivos de autenticación.
Garantía: la garantía de autenticación es la confianza que una organización tiene de que un individuo que accede a un recurso es quien dice ser. Esta funcionalidad determina si una organización usa o no cuentas compartidas, si usa cuentas personalizadas y si ha implementado soluciones como la autenticación multifactor o la autenticación basada en riesgos.
Identidad federada
La federación es una colección de dominios que han establecido confianza. El nivel de confianza varía, pero normalmente incluye la autenticación y casi siempre la autorización. Esta federación permite aplicar identidades existentes de orígenes de confianza, como un directorio activo local existente.
Protocolos de comunicación comunes en la identidad
| Protocolo | Descripción y uso |
|---|---|
| SAML: Lenguaje de marcado de aserción de seguridad | Estándar abierto para intercambiar datos de autenticación y autorización entre un proveedor de identidades y un proveedor de servicios. Atributos comunes de SAML: |
| Entidad de seguridad = generalmente un usuario o dispositivo, IdP = proveedor de identidades, SP = proveedor de servicios | |
| IdP = proveedor de identidades | |
| SP = proveedor de servicios | |
| WS-Fed: Web Services Federation | Especificación de identidad del marco de seguridad de servicios web para proporcionar inicio de sesión único mediante el intercambio y la autenticación de identidades externas. |
| OIDC: OpenID Connect | OIDC amplía el protocolo de autorización de OAuth 2.0 para usarlo como un protocolo de autenticación, lo que permite realizar inicios de sesión únicos mediante OAuth. |
OpenID Connect
OpenID Connect (OIDC) es un protocolo de autenticación que se basa en OAuth 2.0. Este protocolo permite a un usuario iniciar sesión de forma segura en una aplicación. Cuando se usa la implementación de la plataforma de identidad de Microsoft de OpenID Connect, se puede agregar acceso con información de inicio de sesión y API a las aplicaciones. OpenID Connect amplía el protocolo de autorización de OAuth 2.0 para usarlo como un protocolo de autenticación, lo que permite realizar inicios de sesión únicos mediante OAuth. OpenID Connect presenta el concepto de un token de identificador, que es un token de seguridad que permite al cliente comprobar la identidad del usuario. El token de identificador también obtiene información de perfil básica sobre el usuario. También presenta el Punto de conexión de UserInfo, una API que devuelve información sobre el usuario.
Identidad basada en notificaciones en Microsoft Entra ID
Cuando un usuario inicia sesión, Microsoft Entra ID envía un token de identificador que contiene un conjunto de notificaciones sobre el usuario. Una notificación es simplemente un fragmento de información que se expresa como un par clave-valor. Por ejemplo, correo electrónico=bob@contoso.com. Las notificaciones tienen un emisor (en este caso, Microsoft Entra ID), que es la entidad que autentica al usuario y crea las notificaciones. Usted confía en las notificaciones porque confía en el emisor. (Y a la inversa, ¡si no confía en el emisor, no confía en las notificaciones!)
En un alto nivel:
- El usuario autentica.
- El proveedor de identidades (IDP) envía un conjunto de notificaciones.
- La aplicación normaliza o aumenta las notificaciones (opcionales).
- La aplicación usa las notificaciones para tomar decisiones de autorización.
En OpenID Connect, el parámetro de ámbito de la solicitud de autenticación controla el conjunto de notificaciones que se obtienen. Pero Microsoft Entra ID emite un conjunto limitado de notificaciones mediante OpenID Connect con un token de seguridad; principalmente mediante JSON Web Tokens. Si desea obtener más información sobre el usuario, debe usar Graph API con Microsoft Entra ID.
Tokens de seguridad
La Plataforma de identidad de Microsoft autentica a los usuarios y proporciona tokens de seguridad, como los tokens de acceso, los tokens de actualizacióny los tokens de id. Los tokens de seguridad permiten a una aplicación cliente acceder a recursos protegidos en un servidor de recursos. Hay tres tipos comunes de tokens: de acceso, de actualización y de identificador.
- Token de acceso: token de seguridad emitido por un servidor de autorización como parte de un flujo de OAuth 2.0. Contiene información sobre el usuario y el recurso para el que está previsto el token. La información se puede usar para tener acceso a las API web y a otros recursos protegidos. Los recursos validan los tokens de acceso para conceder acceso a una aplicación cliente. Para más información sobre cómo emite la Plataforma de identidad de Microsoft los tokens de acceso, consulte Tokens de acceso.
- Token de actualización: como los tokens de acceso solo son válidos durante un breve período de tiempo, los servidores de autorización a veces emiten un token de actualización al mismo tiempo que se emite el de acceso. La aplicación cliente puede intercambiar este token de actualización por un nuevo token de acceso cuando es necesario. Para más información sobre cómo usa la plataforma de identidad de Microsoft los tokens de actualización para revocar permisos, consulte Tokens de actualización.
- Token de identificador : los tokens de identificador se envían a la aplicación cliente como parte de un flujo de OpenID Connect. Se pueden enviar junto o en lugar de un token de acceso. El cliente usa los tokens de id. para autenticar al usuario. Para más información sobre cómo emite la Plataforma de identidad de Microsoft los tokens de id., consulte Tokens de id.
¿Qué es un JSON Web Token (JWT)?
JSON Web Token (JWT) es un estándar abierto (RFC 7519) que define una manera compacta y autónoma para transmitir información de forma segura entre partes como un objeto JSON. Esta información se puede comprobar y es de confianza porque está firmada digitalmente. Los JWT se pueden firmar mediante un secreto o un par de claves pública y privada. Aunque los JWT se pueden cifrar para proporcionar también confidencialidad entre las partes, nos centramos en los tokens firmados. Los tokens firmados pueden comprobar la integridad de las notificaciones que contienen, mientras que los tokens cifrados ocultan esas notificaciones a otras partes. Cuando los tokens se firman mediante pares de claves públicas y privadas, la firma también certifica que solo la entidad que contiene la clave privada es la que la ha firmado.
Nota
Información proporcionada desde el sitio web de JWT: https://jwt.io/.
Definiciones dentro de la identidad basada en notificaciones
Hay algunos términos comunes que se usan al analizar la identidad basada en notificaciones en Microsoft Entra ID.
- Notificación: un par de valores de datos dentro de un token de seguridad. Hay varias notificaciones transferidas dentro del token de la notificación que define el tipo del token al método de cifrado. Aquí tiene un ejemplo:
Header { "alg": "HS256", "typ": "JWT" } Content payload { "sub": "1234567890", "name": "John Doe", "aud": "https://jwt.io" } - Aserción: un paquete de datos, normalmente en forma de token, que comparte la información de identidad y seguridad sobre un usuario o una cuenta entre dominios de seguridad.
- Atributo: un par de valores de datos dentro de un token.
- Aumento: el proceso de agregar otras notificaciones al token de usuario para proporcionar detalles adicionales sobre el usuario. Esto podría incluir datos de sistemas de recursos humanos (RR. HH.), desde una aplicación como SharePoint, u otros sistemas.