Configuración de Prerrequisitos para Políticas Personalizadas en Azure B2C

Clase 17 de 28 • Curso de Azure Active Directory

Contenido del curso

Introducción a Azure Active Directory

Conceptos básicos

Flujos de usuario

Experiencia de usuario

Integración con Apps

Seguridad

Conclusiones

28
Integración de Active Directory con Aplicaciones y UserFlows
02:28 min

Tomar examen

Resumen

¿Cómo configurar políticas personalizadas en Azure Active Directory B2C?

Configurar políticas personalizadas en Azure Active Directory B2C puede parecer un desafío al principio, pero con una guía minuciosa y un entendimiento claro, podrás automatizar y mejorar el flujo de trabajo de tus aplicaciones. En esta clase, exploramos los prerequisitos esenciales para comenzar con las políticas personalizadas, asegurándonos de que tu entorno esté listo para implementarlas de manera efectiva. Aquí te proporcionamos pasos clave y consejos valiosos que interconectan teoría con práctica.

¿Cuáles son los prerrequisitos iniciales?

Antes de aplicar políticas personalizadas en Azure, debes realizar algunas preparaciones indispensables:

Seleccionar directorio adecuado: Accede al portal de Azure y asegúrate de estar en el directorio correcto donde se creó el servicio Azure Active Directory B2C.
Obtener el nombre del tenant: Es vital tener a mano el nombre de tu tenant, ya que será utilizado a lo largo del proceso de configuración.
Crear policy keys: Estas llaves son referencias imprescindibles dentro de tus archivos XML y ayudarán a autogenerar firmas de cono Token Signity y Token Incription Key, entre otras.
Configurar autenticación social: Si planeas usar servicios como la autenticación a través de Facebook, deberás seguir las directrices de los developers para obtener el Facebook secret y el application ID.

¿Cómo registrar aplicaciones necesarias?

Para asegurar que tus políticas personalizadas funcionen correctamente, sigue estos pasos para registrar las aplicaciones requeridas:

Registra las primeras aplicaciones: Necesitarás dos aplicaciones en particular; la aplicación demo y una de extensiones para atributos personalizados.
Registro de Identity Experience Framework: Sigue estos pasos:
- Crea un nuevo registro y utiliza un nombre descriptivo, por ejemplo, "Identity Spinklers Framework".
- Selecciona el tipo de cuenta apropiado para que sea compatible con UseFlow.
- Define la URL de respuesta usando el nombre de tu tenant.

URL de Respuesta: [nombre_del_tenant].b2clogin.com/[nombre_del_tenant].onmicrosoft.com

Exponer un API: Agrega y configura un alcance para que el usuario pueda autenticar a través de Identity Experience Framework.

Descripción del alcance: Permite el acceso al Identity Experience Framework en nombre del usuario que acaba de iniciar sesión.

¿Cómo configurar una aplicación tipo proxy?

La siguiente etapa es establecer una aplicación proxy que facilite la interacción con el Identity Experience Framework:

Nuevo registro para el proxy: Crea un registro nuevo llamado "proxy identity experience framework".
Configuración de autenticación: Asegúrate de seleccionar cuentas del directorio y habilita "publicline flows". Guarda la configuración realizada.
Agregar permisos: Conecta la aplicación proxy con la aplicación original agregando los permisos necesarios desde la sección "API permissions".

API Permissions: Concede permisos al nombre del tenant y asegura que estos sean reconocidos y activos.

Lograr que tu entorno esté correctamente configurado para emplear políticas personalizadas es un gran avance hacia lograr integraciones fluidas y seguras con Azure Active Directory B2C. Explora cada paso con atención, asegúrate de que cada componente esté alineado con los requerimientos específicos de tu proyecto y continúa con determinación por el apasionante camino de la integración de tecnologías.

Registro de Aplicaciones -> Nuevo Registro 
Nombre: IndentityExperienceFramework
Tipo de Cuenta: Solo cuentas de este directorio organizativo (inquilino único) 1era Opcion
URI: Web -> https://[tuTenant].b2clogin.com/[tuTenent].onmicrosoft.com (https://cursoplatzyad.b2clogin.com/cursoplatzyad.onmicrosoft.com) 
**Registrar** 

Agregar un Ambito -> Pegamos el Aplication ID -> Guardar y Continuar
Nombre: user_impersonation,
Nombre para mostrar del consentimiento del administrador: 
Access IdentityExperienceFramwork
Descripción del consentimiento del administrador:
Allow the application to access IdentityExperienceFramwork on behalf of the signed-in user. 
**Agregar Ambito**

Registro de Aplicaciones -> Nuevo Registro 
Nombre: ProxyIdentityExperienceFramework
Tipo de Cuenta: Solo cuentas de este directorio organizativo (inquilino único) 1era Opcion. 
URI: Public Client / native (mobile & desktop) -> myapp://auth
**Registrar **

Ingresamos a Permisos de API: (ProxyIdentityExperienceFramework | Permisos de API) 
Agregar un permiso: Seleccionamos Mis API
Damos clic en el API de la aplicacion(IndentityExperienceFramework)
Seleccionamos el permiso "user_impersonation"
**Pulsamos Agregar permisos.**

Daniel Guerrero

student•

# Clase 17 - Configuración de Prerrequisitos para Custom Policies en Microsoft Entra External ID

---

## Lecturas recomendadas

- **Microsoft Entra External ID – Custom policies (Identity Experience Framework)**.

- Repositorios oficiales y ejemplos de **Custom Policies (IEF)** en GitHub.

---

## Resumen

Las **Custom Policies** en **Microsoft Entra External ID** (antes Azure AD B2C) permiten crear flujos de autenticación altamente personalizados mediante el **Identity Experience Framework (IEF)**.

Antes de implementar estas políticas, es imprescindible preparar correctamente el entorno, ya que dependen de **aplicaciones internas, claves criptográficas y configuraciones específicas del tenant**.

En esta clase aprenderás a configurar **todos los prerrequisitos necesarios** para trabajar con Custom Policies de forma correcta, segura y alineada con las prácticas vigentes en 2026.

---

## ¿Qué son los prerrequisitos para Custom Policies?

Las Custom Policies **no funcionan de manera aislada**. Requieren:

- Un tenant de **Microsoft Entra External ID**

- Aplicaciones internas específicas

- Claves criptográficas (policy keys)

- Configuración correcta de endpoints y permisos

Estos componentes permiten que el motor de políticas ejecute flujos personalizados y emita tokens de forma segura.

---

## Prerrequisitos iniciales del entorno

Antes de comenzar, valida lo siguiente:

### 1. Seleccionar el tenant correcto

- Accede al **portal de Azure**

- Cambia explícitamente al tenant de **Microsoft Entra External ID**

- Verifica que tienes permisos de **Global Administrator** o **Identity Administrator**

> Error común: intentar configurar Custom Policies desde un tenant corporativo estándar.

---

### 2. Identificar el nombre del tenant

Necesitarás el nombre exacto del tenant en múltiples configuraciones:

Ejemplo:


contosoexternal.onmicrosoft.com

Este valor se utiliza en:

- Redirect URIs

- Endpoints de autenticación

- Archivos XML de las políticas

---

### 3️. Crear Policy Keys (claves criptográficas)

Las **Policy Keys** se utilizan para:

- Firmar tokens

- Cifrar información sensible

- Autenticar llamadas entre componentes internos del IEF

Tipos comunes:

- **Token signing key**

- **Token encryption key**

- **Secrets para Identity Providers externos**

Estas claves se crean desde:

> Microsoft Entra External ID → Custom policies → Policy keys

✔ Las claves se generan y almacenan de forma segura en Azure .

✔ Nunca se codifican directamente en los archivos XML.

---

### 4️. Configurar proveedores de identidad externos (opcional)

Si tu flujo incluye autenticación social o externa (Google, Facebook, etc.):

- Registra la aplicación en el proveedor externo.

- Obtén:

- Client ID.

- Client Secret.

- Almacena el secreto como **Policy Key**.

> Recomendación 2026: usar siempre secretos rotables y con expiración definida.

---

## Registro de aplicaciones requeridas por el Identity Experience Framework

Las Custom Policies dependen de **dos aplicaciones internas** que permiten la ejecución del framework.

---

### 1️. Registro de la aplicación **IdentityExperienceFramework**

Esta aplicación representa el motor interno de las políticas.

**Configuración recomendada:**

- Tipo de cuenta:

**Accounts in this organizational directory only**

- Redirect URI:


https://{tenant-name}.b2clogin.com/{tenant-name}.onmicrosoft.com

#### Exponer un API

- Crea un scope, por ejemplo:


user\_impersonation

- Descripción:

> Permite que el Identity Experience Framework actúe en nombre del usuario autenticado.

---

### 2️. Registro de la aplicación **ProxyIdentityExperienceFramework**

Esta aplicación actúa como intermediaria entre:

- El navegador

- El motor de políticas

- Los endpoints de autenticación

**Configuración clave:**

- Tipo de aplicación: pública

- Habilitar:

- Authorization Code Flow

- Public client flows

---

### 3️. Configuración de permisos entre aplicaciones

Desde **ProxyIdentityExperienceFramework**:

- Agrega permisos hacia **IdentityExperienceFramework**.

- Selecciona el scope expuesto.

- Concede consentimiento de administrador.

Esto permite que ambas aplicaciones cooperen durante la ejecución de las políticas.

---

## Validación final del entorno

Antes de avanzar a la creación de políticas:

✔ Tenant correcto

✔ Policy keys creadas

✔ Aplicaciones registradas

✔ Permisos concedidos

✔ Redirect URIs correctas

Si cualquiera de estos puntos falla, las Custom Policies **no se ejecutarán correctamente**.

---

## Conclusión

Configurar los prerrequisitos para Custom Policies es el paso más técnico —y crítico— del uso de **Microsoft Entra External ID avanzado**.

Aunque requiere más esfuerzo que los User Flows, este enfoque habilita:

- Integraciones empresariales complejas

- Flujos CIAM avanzados

- Control total de la experiencia del usuario.

Configuración de Prerrequisitos para Políticas Personalizadas en Azure B2C

Introducción a Azure Active Directory

Azure Active Directory: Autenticación y Autorización en la Nube

Conceptos Clave de Azure Active Directory

Identidad como Clave en Seguridad de IT y Autenticación Avanzada

Autenticación de usuarios con Azure Active Directory

Autenticación Multifactor: Seguridad Adicional en Inicios de Sesión

Autenticación Moderna con Azure Active Directory B2C

Conceptos básicos

Diferencias entre Autenticación y Autorización en Azure Active Directory

Tokens en Azure Active Directory: Tipos y Uso Práctico

Protocolos de Autenticación en Azure Active Directory

Integración de Aplicaciones con Active Directory usando MSAL

Azure Active Directory B2C: Gestión de Usuarios y Autenticación

Flujos de usuario

Personalización de Active Directory B2C para Aplicaciones

Creación y gestión de Active Directory B2C en Azure

Personalización de Atributos y UI en Azure Active Directory B2C

Experiencia de usuario

Comparación de Flujos de Usuario y Directivas Personalizadas en Azure AD B2C

Políticas Personalizadas en Azure Active Directory B2C