Autenticación frente a autorización
En este artículo se define la autenticación y la autorización. También se explica brevemente la autenticación multifactor y cómo puede usar la plataforma de identidad de Microsoft para autenticar y autorizar a los usuarios en sus aplicaciones web, API web o aplicaciones que llaman a API web protegidas. Si ve un término con el que no está familiarizado, pruebe nuestro glosario o nuestros vídeos de la plataforma de identidad de Microsoft, que abarcan los conceptos básicos.
Autenticación
La autenticación es el proceso de demostrar que es quien dice ser. Esto se logra mediante la verificación de la identidad de una persona o dispositivo. A veces se acorta a AuthN. La plataforma de identidad de Microsoft usa el protocolo OpenID Connect para administrar la autenticación.
Authorization
La autorización es el acto de conceder a una parte autenticada permiso para hacer algo. Especifica a qué datos se puede acceder y qué se puede hacer con ellos. A veces, la autorización se acorta a AuthZ. La plataforma de identidad de Microsoft proporciona a los propietarios de recursos la capacidad de usar el protocolo de OAuth 2.0 para controlar la autorización, pero la nube de Microsoft también tiene otros sistemas de autorización, como roles integrados de Entra, RBAC de Azure y RBAC de Exchange.
Autenticación multifactor
La autenticación multifactor consiste en proporcionar un factor de autenticación adicional a una cuenta. Esto se usa a menudo para protegerse contra ataques por fuerza bruta. A veces se abrevia como MFA o 2FA. Microsoft Authenticator se puede usar como una aplicación para controlar la autenticación en dos fases. Para más información, consulte Autenticación multifactor.
Autenticación y autorización con la Plataforma de identidad de Microsoft
La creación de aplicaciones que mantienen su propia información de nombre de usuario y contraseña conlleva una gran carga administrativa al agregar o quitar usuarios entre varias aplicaciones. Sin embargo, las aplicaciones pueden delegar esa responsabilidad en un proveedor de identidades centralizado.
Microsoft Entra ID es un proveedor de identidades centralizado en la nube. La delegación de la autenticación y la autorización en él permite escenarios como los siguientes:
- Directivas de acceso condicional que requieren que un usuario esté en una ubicación específica.
- Autenticación multifactor que requiere que un usuario tenga un dispositivo específico.
- Posibilidad de que un usuario inicie la sesión una vez y luego lo haga automáticamente en todas las aplicaciones web que comparten el mismo directorio centralizado. Esta funcionalidad se denomina inicio de sesión único (SSO) .
La plataforma de identidad de Microsoft simplifica la autorización y la autenticación para los desarrolladores de aplicaciones al proporcionar la identidad como servicio. También, admite protocolos estándar del sector y bibliotecas de código abierto de distintas plataformas que le ayudarán a empezar a crear código rápidamente. Asimismo, permite a los desarrolladores crear aplicaciones que inician sesión en todas las identidades de Microsoft, obtener tokens para llamar a Microsoft Graph, acceder a API de Microsoft o acceder a otras API que los desarrolladores hayan creado.
En este vídeo se describe la plataforma de identidad de Microsoft y los aspectos básicos de la autenticación moderna:
A continuación, se muestra una comparación de los protocolos que utiliza la plataforma de identidad de Microsoft:
- OAuth frente a OpenID Connect: la plataforma usa OAuth para la autorización y OpenID Connect (OIDC) para la autenticación. OpenID Connect se basa en OAuth 2.0, por lo que la terminología y el flujo son similares entre los dos. Incluso puede autenticar a un usuario (mediante OpenID Connect) y obtener autorización para acceder a un recurso protegido que posea el usuario (mediante OAuth 2.0) en una solicitud. Para más información, consulte los Protocolos OAuth 2.0 y OpenID Connect y Protocolo OpenID Connect.
- OAuth frente a SAML: la plataforma usa OAuth 2.0 para la autorización y SAML para la autenticación. Para más información sobre cómo usar estos protocolos juntos para autenticar a un usuario y obtener autorización para acceder a recursos protegidos, consulte Plataforma de identidad de Microsoft y el flujo de aserción de token de portador SAML de OAuth 2.0.
- OpenID Connect frente a SAML: la plataforma usa OpenID Connect y SAML para autenticar a un usuario y habilitar el inicio de sesión único. La autenticación SAML se usa normalmente con proveedores de identidades, como Servicios de federación de Active Directory (AD FS) federados con Microsoft Entra ID, por lo que se usa con frecuencia en aplicaciones empresariales. OpenID Connect se usa normalmente con las aplicaciones que se encuentran exclusivamente en la nube, como aplicaciones móviles, sitios web y API web.
Pasos siguientes
Para ver otros temas en los que se traten aspectos básicos de la autenticación y la autorización, consulte:
- Para saber cómo se usan los tokens de acceso, los tokens de actualización y los tokens de identificación en la autorización y la autenticación, consulte Tokens de seguridad.
- Para conocer el proceso de registrar la aplicación para que se pueda integrar con la plataforma de identidad de Microsoft, consulte Modelo de aplicación.
- Para más información sobre la autorización correcta mediante notificaciones de token, consulte Protección de aplicaciones y API mediante la validación de notificaciones