Una de las piezas o servicios fundamentales que necesitamos en nuestro movimiento hacia la nube es un servicio de identidades, Identities as a Services, que permite identificar a los usuarios que necesitan usar las aplicaciones que desplegamos en la nube y que no tienen acceso a nuestro habitual directorio activo.
Azure Active Directory (Azure AD) es el servicio de identidades que Microsoft ha implementado en la nube para dar servicio a las identidades de Azure y de Office 365.
No confundamos Azure AD con Windows Active Directory porque no son lo mismo, principalmente porque Azure AD no es un servicio LDAP al uso, aunque sí que podemos sincronizar las identidades que tenemos en Windows Active Directory con Azure AD.
Azure AD permite autenticar a los usuarios usando OAUTH2 u OpenId como mecanismos de autenticación al que le podemos añadir funcionalidades extras como la autenticación Multi-Factor, con muy poco esfuerzo.
Desde Azure AD podemos administrar, además de los usuarios, los grupos de seguridad, los dispositivos registrados para autenticación, el almacenamiento de las claves de Bitlocker de los dispositivos de los usuarios, la protección de la contraseña, el acceso condicional, etc.
Autenticación de aplicaciones
Al igual que los usuarios se autentican en Office 365, con la configuración que tengamos en Azure AD, podemos configurar nuestras propias aplicaciones, o aplicaciones de terceros, para que puedan autenticar a nuestros usuarios, usando OAUTH2 y OpenId.
Las aplicaciones de terceros pueden registrarse como aplicaciones de nuestro Azure AD, previo consentimiento, y así poder autenticar y/o acceder a la información que tenemos en el directorio o, si fuera el caso, a la información de otras aplicaciones como Microsoft Graph. Si queréis ver un ejemplo, os recomiendo el siguiente ejercicio:
- Entrad en TeamsChamp, una de nuestras aplicaciones, que os pedirá diferentes consentimientos, uno de ellos de administrador del tenant, para poder registrar vuestro Tenant de Office 365 y poder hacer uso de la aplicación.
- Probad también con PlayQuiz. Esta aplicación no necesita consentimiento de un administrador porque los permisos necesarios son de nivel de seguridad bajos y de usuario.
Registrar nuestras aplicaciones
Para poder usar la autenticación de Azure AD, tenemos que registrar la aplicación en Azure y así, obtener un Application ID o Client ID.
Con el identificador de nuestro tenant y el Client ID podemos iniciar el proceso de autenticación OAUTH2 para obtener un token JWT con las credenciales del usuario.
Este token nos permite, desde nuestra aplicación, identificar al usuario y obtener diferentes claims o propiedades de este como el nombre, apellidos, etc.
Una de las ventajas de un servicio de identidades, es la seguridad. Podemos controlar qué aplicaciones se registran en nuestro directorio y por qué en ningún momento los usuarios introducen sus credenciales en las aplicaciones. El proceso de autenticación siempre se realiza en el propio servicio y simplemente se comparte un token con la aplicación.
Todos los tenants de Office 365 tienen su propio Azure AD como servicio de identidades, independientemente que exista una suscripción de Azure. Este Azure AD es plenamente funcional para que podamos usarlo con nuestras aplicaciones y dar un paso hacia la migración a la nube de estas aplicaciones o dejar de usar una base de datos de usuarios y contraseñas.
¡Suscríbete a nuestras RRSS!
