Protocolos de Autenticación en Azure Active Directory

Clase 9 de 28Curso de Azure Active Directory

Clase anteriorSiguiente clase

Resumen

¿Qué protocolos de autenticación utiliza Azure Active Directory?

Azure Active Directory (Azure AD) ofrece una sólida variedad de protocolos de autenticación. Los dos más destacados son Open ID Connect para autenticación de usuarios y OAuth 2.0 para tareas de autorización. Cada protocolo proporciona un marco distinto para gestionar la interacción de aplicaciones con Azure AD, asegurando así una autenticación y autorización confiables y seguras.

¿Cómo funciona la integración con aplicaciones?

Cuando comenzamos a trabajar con Azure AD, registramos nuestra aplicación en el directorio activo. Esto produce una identidad única para la aplicación que incluye un identificador y un URI de respuesta. Este último es crucial, pues es la dirección a la que la aplicación redirige tras completar un proceso de autenticación, utilizando el token apropiado para acceder a los recursos deseados. Además, es vital señalar qué tipo de cuentas pueden utilizarse, ya sea de un solo tenant o multifactor con cuentas Microsoft.

¿Cómo se autentican las aplicaciones de una sola página?

Las aplicaciones JavaScript de una sola página utilizan un flujo conocido como Authorization Code Flow. En primer lugar, la aplicación guía al usuario a un formulario de autenticación en el servicio de autorización de OAuth 2.0. Después de que el usuario introduce sus credenciales, el sistema emite un código de autorización, el cual la aplicación utiliza para solicitar un token de acceso desde el token endpoint. Este flujo se puede resumir en los siguientes pasos:

  1. La aplicación dirige al usuario a un endpoint de autorización.
  2. El usuario introduce sus credenciales.
  3. Se recibe un código de autorización en la URI de respuesta.
  4. La aplicación intercambia el código por un token de acceso en el token endpoint.

¿Qué desafíos enfrenta una aplicación web?

Las aplicaciones web operan en un entorno donde a menudo se necesita solicitar consentimiento del usuario para acceder a información como su nombre y correo electrónico. El flujo de autenticación sigue un patrón que involucra tanto al navegador como al servidor web:

  1. El navegador envía una solicitud al servidor web.
  2. El servidor web redirige al usuario a Azure AD para autenticarse.
  3. El navegador presenta las credenciales en el endpoint de autorización.
  4. Tras el consentimiento del usuario, devuelve un ID token al navegador.
  5. El servidor web valida el ID token y entrega la información al navegador.

¿Cómo gestionan los tokens las aplicaciones móviles?

Las aplicaciones móviles, al igual que las de una sola página, dependen de un Authorization Code Flow modificado para obtener sus tokens. Este proceso implica abrir un navegador para autenticarse y recibir un código de autorización, que luego se intercambia por un token de acceso. Es crucial destacar que, una vez expirado el token de acceso, la aplicación debe utilizar el refresh token para solicitar un nuevo token y mantener su validez.

¿Cómo operan las aplicaciones de servidor en una comunicación server-to-server?

Cuando hablamos de aplicaciones de servidor, o server-to-server communications, la autenticación se maneja de manera directa, usando un token endpoint para proporcionarle las credenciales de la aplicación al servidor. En este escenario:

  1. El servidor web envía una solicitud proporcionando sus credenciales al token endpoint.
  2. Validado el token, el token se retorna al servidor.
  3. Se utiliza este token en las solicitudes a la API, incluyendo un encabezado de autorización.
  4. La API valida y responde con la información requerida.

¿Qué aspectos se deben considerar para manejar los tokens de acceso?

Renovar de forma preventiva los tokens de acceso es fundamental antes de que expire para evitar interrupciones en el acceso a servicios. Adicionalmente, asegurar que la URI de respuesta esté correctamente registrada y configurada en Azure AD es esencial para prevenir fallos por intento de reutilización de URI no autorizadas. Este tipo de gestión proactiva y rigurosa garantiza un flujo seguro y eficiente en la comunicación entre aplicaciones y servicios en la nube.

Este fascinante mundo de autenticación robusta proporcionado por Azure AD puede parecer complicado al principio, pero dominar su mecánica es posible y finalmente permite beneficiarnos de su infraestructura segura y dinámica. ¡No te rindas y sigue aprendiendo!