Cómo no romper los límites, cómo crear una buena arquitectura y cómo hacer un buen mantenimiento

Azure AD: Identidades como Servicio

Una de las piezas o servicios fundamentales que necesitamos en nuestro movimiento hacia la nube es un servicio de identidades, Identities as a Services, que permite identificar a los usuarios que necesitan usar las aplicaciones que desplegamos en la nube y que no tienen acceso a nuestro habitual directorio activo.

Azure Active Directory (Azure AD) es el servicio de identidades que Microsoft ha implementado en la nube para dar servicio a las identidades de Azure y de Office 365.

Azure AD arquitectura

No confundamos Azure AD con Windows Active Directory porque no son lo mismo, principalmente porque Azure AD no es un servicio LDAP al uso, aunque sí que podemos sincronizar las identidades que tenemos en Windows Active Directory con Azure AD.

Azure AD permite autenticar a los usuarios usando OAUTH2 u OpenId como mecanismos de autenticación al que le podemos añadir funcionalidades extras como la autenticación Multi-Factor, con muy poco esfuerzo.

Desde Azure AD podemos administrar, además de los usuarios, los grupos de seguridad, los dispositivos registrados para autenticación, el almacenamiento de las claves de Bitlocker de los dispositivos de los usuarios, la protección de la contraseña, el acceso condicional, etc.

Autenticación de aplicaciones

Al igual que los usuarios se autentican en Office 365, con la configuración que tengamos en Azure AD, podemos configurar nuestras propias aplicaciones, o aplicaciones de terceros, para que puedan autenticar a nuestros usuarios, usando OAUTH2 y OpenId.

Solicitud de consentimiento de administrador en TeamsChamp

Las aplicaciones de terceros pueden registrarse como aplicaciones de nuestro Azure AD, previo consentimiento, y así poder autenticar y/o acceder a la información que tenemos en el directorio o, si fuera el caso, a la información de otras aplicaciones como Microsoft Graph. Si queréis ver un ejemplo, os recomiendo el siguiente ejercicio:

  • Entrad en TeamsChamp, una de nuestras aplicaciones, que os pedirá diferentes consentimientos, uno de ellos de administrador del tenant, para poder registrar vuestro Tenant de Office 365 y poder hacer uso de la aplicación.
  • Probad también con PlayQuiz. Esta aplicación   no necesita consentimiento de un administrador porque los permisos necesarios son de nivel de seguridad bajos y de usuario.

Registrar nuestras aplicaciones

Para poder usar la autenticación de Azure AD, tenemos que registrar la aplicación en Azure y así,  obtener un Application ID o Client ID.

Ejemplo aplicación Azure AD

Con el identificador de nuestro tenant y el Client ID podemos iniciar el proceso de autenticación OAUTH2 para obtener un token JWT con las credenciales del usuario.

Este token nos permite, desde nuestra aplicación, identificar al usuario y obtener diferentes claims o propiedades de este como el nombre, apellidos, etc.

Una de las ventajas de un servicio de identidades, es la seguridad. Podemos controlar qué aplicaciones se registran en nuestro directorio y por qué en ningún momento los usuarios introducen sus credenciales en las aplicaciones. El proceso de autenticación siempre se realiza en el propio servicio y simplemente se comparte un token con la aplicación.

Todos los tenants de Office 365 tienen su propio Azure AD como servicio de identidades, independientemente que exista una suscripción de Azure. Este Azure AD es plenamente funcional para que podamos usarlo con nuestras aplicaciones y dar un paso hacia la migración a la nube de estas aplicaciones o dejar de usar una base de datos de usuarios y contraseñas.

mm

Sobre Alberto Diaz Martin

Alberto Diaz cuenta con más de 15 años de experiencia en la Industria IT, todos ellos trabajando con tecnologías Microsoft. Actualmente, es Chief Technology Innovation Officer en ENCAMINA, liderando el desarrollo de software con tecnología Microsoft, y miembro del equipo de Dirección. Para la comunidad, trabaja como organizador y speaker de las conferencias más relevantes del mundo Microsoft en España, en las cuales es uno de los referentes en SharePoint, Office 365 y Azure. Autor de diversos libros y artículos en revistas profesionales y blogs, en 2013 empezó a formar parte del equipo de Dirección de CompartiMOSS, una revista digital sobre tecnologías Microsoft. Desde 2011 ha sido nombrado Microsoft MVP, reconocimiento que ha renovado por séptimo año consecutivo. Se define como un geek, amante de los smartphones y desarrollador. Fundador de TenerifeDev (www.tenerifedev.com), un grupo de usuarios de .NET en Tenerife, y coordinador de SUGES (Grupo de Usuarios de SharePoint de España, www.suges.es)
Esta entrada ha sido publicada en Cloud y etiquetada como , , , , . Enlace permanente .
ENCAMINA, piensa en colores