Información general sobre la autenticación basada en certificados de Azure AD
La autenticación basada en certificados (CBA) de Azure AD habilita a los clientes para permitir o requerir que los usuarios se autentiquen directamente con certificados X.509 en Azure Active Directory (Azure AD) para aplicaciones e inicio de sesión en el explorador. Esta característica permite a los clientes adoptar una autenticación resistente a la suplantación de identidad (phishing) y autenticarse con un certificado X.509 en su infraestructura de clave pública (PKI).
¿Qué es la autenticación basada en certificados (CBA) de Azure AD?
Antes de la compatibilidad administrada en la nube con CBA en Azure AD, los clientes tenían que implementar la autenticación federada basada en certificados, que requiere la implementación de Servicios de federación de Active Directory (AD FS) (AD FS) para poder autenticarse mediante certificados X.509 en Azure AD. Con la autenticación basada en certificados de Azure AD, los clientes pueden autenticarse directamente en Azure AD y eliminar la necesidad de AD FS federados, con entornos de cliente simplificados y reducción de costos.
Las imágenes siguientes muestran cómo la CBA de Azure AD simplifica el entorno del cliente mediante la eliminación de AD FS.
Autenticación basada en certificados con AD FS federados
Autenticación basada en certificados de Azure AD
Ventajas clave del uso de la CBA de Azure AD
| Ventajas | Descripción |
|---|---|
| Mejor experiencia del usuario | - Los usuarios que necesitan autenticación basada en certificados ahora pueden autenticarse directamente en Azure AD y no tienen que invertir en AD FS federados. - La interfaz de usuario del portal permite a los usuarios configurar fácilmente cómo asignar campos de certificado a un atributo de objeto de usuario para buscar al usuario en el inquilino (enlaces de nombre de usuario de certificado). - Interfaz de usuario del portal para configurar directivas de autenticación que ayuden a determinar qué certificados son de un solo factor frente a multifactor. |
| Fácil de implementar y administrar | - CBA de Azure AD es una característica gratuita y no es necesario usar ninguna edición de pago de Azure AD para usarla. - No se requieren complejas implementaciones locales ni la configuración de la red. - Autenticación directa en Azure AD. |
| Seguridad | - No es necesario que las contraseñas locales se almacenen en la nube. - Protege las cuentas de usuario al trabajar sin problemas con directivas de acceso condicional de Azure AD, incluida la autenticación multifactor contra el phishing (MFA, que requiere una edición con licencia) y el bloqueo de la autenticación heredada. - Compatibilidad con la autenticación sólida, donde los usuarios pueden definir directivas de autenticación a través de los campos de certificado, como emisor u OID (identificadores de objeto) de directiva, para determinar qué certificados se califican como de factor único frente a multifactor. - La característica funciona perfectamente con las características de acceso condicional y la capacidad de seguridad de autenticación para aplicar MFA con el fin de ayudar a proteger a los usuarios. |
Escenarios admitidos
Se admiten los escenarios siguientes:
- El usuario inicia sesión en aplicaciones basadas en explorador web en todas las plataformas.
- Inicios de sesión de usuario en aplicaciones móviles de Office en plataformas iOS/Android, así como aplicaciones nativas de Office en Windows, como Outlook, OneDrive, etc.
- Inicios de sesión de usuario en exploradores nativos móviles.
- Compatibilidad con reglas de autenticación granulares para la autenticación multifactor mediante el emisor de certificados Firmante y los OID de directiva.
- Configuración de enlaces de certificado a cuenta de usuario mediante cualquiera de los campos de certificado:
- Nombre alternativo del firmante (SAN) PrincipalName y SAN RFC822Name
- Identificador de clave del firmante (SKI) y SHA1PublicKey
- Configuración de enlaces de certificado a cuenta de usuario mediante cualquiera de los atributos de objeto de usuario:
- Nombre principal del usuario
- onPremisesUserPrincipalName
- CertificateUserIds
Escenarios no admitidos
No se admiten los escenarios siguientes:
- No se admiten sugerencias de entidades de certificación, por lo que la lista de certificados que aparece para los usuarios en la interfaz de usuario de selección de certificados no tiene ámbito.
- Solo se admite un punto de distribución de CRL (CDP) para una entidad de certificación de confianza.
- CDP solo puede ser direcciones URL HTTP. No se admiten direcciones URL del Protocolo de estado de certificado en línea (OSCP) ni del Protocolo ligero de acceso a directorios (LDAP).
- La configuración de otros enlaces de certificado a cuenta de usuario, como el uso de Asunto o Asunto y Emisor o Emisor y Número de serie, no están disponibles en esta versión.
- La contraseña como método de autenticación no se puede deshabilitar y la opción de iniciar sesión con una contraseña se muestra incluso con el método CBA de Azure AD disponible para el usuario.
Limitación conocida con certificados de Windows Hello Para empresas
- Aunque Windows Hello para empresas (WHFB) se puede usar para la autenticación multifactor en Azure AD, WHFB no se admite para la MFA nueva. Los clientes pueden optar por inscribir certificados para los usuarios mediante el par de claves WHFB. Cuando se configura correctamente, estos certificados WHFB se pueden usar para la autenticación multifactor en Azure AD. Los certificados WHFB son compatibles con la autenticación basada en certificados (CBA) de Azure AD en exploradores Edge y Chrome; sin embargo, en este momento, los certificados WHFB no son compatibles con la CBA de Azure AD en escenarios que no son exploradores (por ejemplo, aplicaciones de Office 365). La solución alternativa consiste en usar la opción "Iniciar sesión en Windows Hello o clave de seguridad" para iniciar sesión (cuando esté disponible), ya que esta opción no usa certificados para la autenticación y evita el problema con la CBA de Azure AD; sin embargo, es posible que esta opción no esté disponible en algunas aplicaciones más antiguas.
Fuera del ámbito
Los siguientes escenarios están fuera del ámbito de CBA de Azure AD:
- Infraestructura de clave pública para crear certificados de cliente. Los clientes deben configurar su propia infraestructura de clave pública (PKI) y aprovisionar certificados para sus usuarios y dispositivos.
Pasos siguientes
- Análisis técnico en profundidad de CBA de Azure AD
- Configuración de CBA de Azure AD
- Autenticación basada en certificados de Azure AD en dispositivos iOS
- Autenticación basada en certificados de Azure AD en dispositivos Android
- Inicio de sesión con tarjeta inteligente de Windows mediante la autenticación basada en certificados de Azure AD
- Identificadores de usuario de certificado
- Cómo migrar de usuarios federados
- P+F