Autenticación y autorización en Microsoft Entra ID

  • 5 minutos

Microsoft Entra ID proporciona el servicio de autenticación y autorización al admitir protocolos de autenticación modernos, como OAuth 2.0 y OpenID Connect, de forma compatible con los estándares. Puede usar bibliotecas de código abierto, como la Biblioteca de autenticación de Microsoft (MSAL) y otras bibliotecas compatibles con estándares con Microsoft Entra ID.

En el escenario del portal de empleados, aprenderá que en la organización se usa Microsoft Entra ID como proveedor de identidades para la autenticación y autorización.

En esta unidad, obtendrá información sobre la autenticación, la autorización y cómo se admiten en Microsoft Entra ID.

Authentication

La autenticación se refiere al proceso de establecer y comprobar la identidad del usuario final que accede a una aplicación.

Microsoft Entra ID usa el protocolo OpenID Connect para controlar la autenticación. OpenID Connect permite a las aplicaciones obtener información básica sobre el usuario autenticado y la sesión.

Authorization

La autorización es el proceso de asegurarse de que un usuario autenticado tiene permiso para realizar alguna operación o acceder a algunos datos.

El protocolo OAuth 2.0 se usa para proporcionar flujos de autorización para diferentes aplicaciones en Microsoft Entra ID.

Registro de la aplicación

Microsoft Entra ID requiere que registre la aplicación para poder proporcionar servicios de administración de identidades y acceso. El registro de la aplicación establece una relación de confianza entre la aplicación y el proveedor de identidades. Puede crear un registro de aplicación por medio de Azure Portal, la CLI de Azure e incluso mediante programación con las API de Microsoft Graph.

El registro de la aplicación permite especificar el nombre de la aplicación, su tipo (web, de escritorio, entre otros) y la audiencia de inicio de sesión, que son las cuentas de usuario a las que quiere permitir el acceso. La audiencia de inicio de sesión incluye lo siguiente:

  • Solo las cuentas de este directorio organizativo si va a crear una aplicación para que solo la utilicen los usuarios del inquilino de la organización(inquilino único).
  • Cuentas en cualquier directorio organizativo si quiere que los usuarios de cualquier inquilino de Microsoft Entra utilicen la aplicación (multiinquilino).
  • Cuentas de un directorio organizativo y cuentas de Microsoft personales para el conjunto más amplio de clientes (multiinquilino que también admite cuentas personales de Microsoft).
  • Cuentas personales de Microsoft para que solo las utilicen los usuarios de cuentas Microsoft personales (por ejemplo, cuentas de Hotmail, Live, Skype y Xbox).

También puede configurar credenciales, URI de redireccionamiento y otras opciones de autenticación en el registro de la aplicación.

Cuando se completa el registro de una aplicación, recibe un identificador de aplicación (cliente) que identifica de forma única la aplicación en Microsoft Entra ID. Este id. se usa en el código de la aplicación o en la biblioteca de autenticación, como parte de las solicitudes realizadas a Microsoft Entra ID.