Protocolos de Autenticación en Azure Active Directory

Clase 9 de 28 • Curso de Azure Active Directory

Contenido del curso

Introducción a Azure Active Directory

Conceptos básicos

Flujos de usuario

Experiencia de usuario

Integración con Apps

Seguridad

Conclusiones

28
Integración de Active Directory con Aplicaciones y UserFlows
02:28 min

Tomar examen

Resumen

¿Qué protocolos de autenticación utiliza Azure Active Directory?

Azure Active Directory (Azure AD) ofrece una sólida variedad de protocolos de autenticación. Los dos más destacados son Open ID Connect para autenticación de usuarios y OAuth 2.0 para tareas de autorización. Cada protocolo proporciona un marco distinto para gestionar la interacción de aplicaciones con Azure AD, asegurando así una autenticación y autorización confiables y seguras.

¿Cómo funciona la integración con aplicaciones?

Cuando comenzamos a trabajar con Azure AD, registramos nuestra aplicación en el directorio activo. Esto produce una identidad única para la aplicación que incluye un identificador y un URI de respuesta. Este último es crucial, pues es la dirección a la que la aplicación redirige tras completar un proceso de autenticación, utilizando el token apropiado para acceder a los recursos deseados. Además, es vital señalar qué tipo de cuentas pueden utilizarse, ya sea de un solo tenant o multifactor con cuentas Microsoft.

¿Cómo se autentican las aplicaciones de una sola página?

Las aplicaciones JavaScript de una sola página utilizan un flujo conocido como Authorization Code Flow. En primer lugar, la aplicación guía al usuario a un formulario de autenticación en el servicio de autorización de OAuth 2.0. Después de que el usuario introduce sus credenciales, el sistema emite un código de autorización, el cual la aplicación utiliza para solicitar un token de acceso desde el token endpoint. Este flujo se puede resumir en los siguientes pasos:

La aplicación dirige al usuario a un endpoint de autorización.
El usuario introduce sus credenciales.
Se recibe un código de autorización en la URI de respuesta.
La aplicación intercambia el código por un token de acceso en el token endpoint.

¿Qué desafíos enfrenta una aplicación web?

Las aplicaciones web operan en un entorno donde a menudo se necesita solicitar consentimiento del usuario para acceder a información como su nombre y correo electrónico. El flujo de autenticación sigue un patrón que involucra tanto al navegador como al servidor web:

El navegador envía una solicitud al servidor web.
El servidor web redirige al usuario a Azure AD para autenticarse.
El navegador presenta las credenciales en el endpoint de autorización.
Tras el consentimiento del usuario, devuelve un ID token al navegador.
El servidor web valida el ID token y entrega la información al navegador.

¿Cómo gestionan los tokens las aplicaciones móviles?

Las aplicaciones móviles, al igual que las de una sola página, dependen de un Authorization Code Flow modificado para obtener sus tokens. Este proceso implica abrir un navegador para autenticarse y recibir un código de autorización, que luego se intercambia por un token de acceso. Es crucial destacar que, una vez expirado el token de acceso, la aplicación debe utilizar el refresh token para solicitar un nuevo token y mantener su validez.

¿Cómo operan las aplicaciones de servidor en una comunicación server-to-server?

Cuando hablamos de aplicaciones de servidor, o server-to-server communications, la autenticación se maneja de manera directa, usando un token endpoint para proporcionarle las credenciales de la aplicación al servidor. En este escenario:

El servidor web envía una solicitud proporcionando sus credenciales al token endpoint.
Validado el token, el token se retorna al servidor.
Se utiliza este token en las solicitudes a la API, incluyendo un encabezado de autorización.
La API valida y responde con la información requerida.

¿Qué aspectos se deben considerar para manejar los tokens de acceso?

Renovar de forma preventiva los tokens de acceso es fundamental antes de que expire para evitar interrupciones en el acceso a servicios. Adicionalmente, asegurar que la URI de respuesta esté correctamente registrada y configurada en Azure AD es esencial para prevenir fallos por intento de reutilización de URI no autorizadas. Este tipo de gestión proactiva y rigurosa garantiza un flujo seguro y eficiente en la comunicación entre aplicaciones y servicios en la nube.

Este fascinante mundo de autenticación robusta proporcionado por Azure AD puede parecer complicado al principio, pero dominar su mecánica es posible y finalmente permite beneficiarnos de su infraestructura segura y dinámica. ¡No te rindas y sigue aprendiendo!

Daniel Guerrero

student•

Es una buena clase en estructura y ambición, pero desde un punto de vista técnico, pedagógico y de alineación con Microsoft Entra ID, necesita ajustes finos para que sea 100% correcta, consistente y “a prueba” de malentendidos (especialmente para alumnos AZ-900 / AZ-204 / arquitectura).

Voy a darte una evaluación honesta en 4 capas:

🟢 1️⃣ Lo que está bien (y está bien hecho)

✔️ Enfoque general

El tema es correcto y relevante.
Se cubren los principales escenarios de aplicaciones:
- SPA
- Web apps
- Mobile apps
- Server-to-server
Se distingue correctamente entre:
- OpenID Connect → autenticación
- OAuth 2.0 → autorización

👉 Esto demuestra buen entendimiento conceptual.

✔️ Secuencia didáctica

La progresión es lógica:

Protocolos
Registro de aplicaciones
Tipos de apps
Flujos
Gestión de tokens

👉 Muy buena narrativa para una clase.

🟡 2️⃣ Imprecisiones técnicas (importantes de corregir)

Aquí es donde hay que ser cuidadoso.

⚠️ A) “OAuth 2.0 para tareas de autorización”

Correcto pero incompleto.

✔️ OAuth 2.0 autoriza ⚠️ Pero en Azure casi siempre va acompañado de OpenID Connect

📌 Riesgo pedagógico: El alumno puede pensar que OAuth “autentica”.

✅ Ajuste recomendado:

OpenID Connect se utiliza para autenticación y OAuth 2.0 para autorización y acceso a recursos.

⚠️ B) “Authorization Code Flow” en SPA (sin aclaración)

Hoy esto solo es correcto si se menciona PKCE.

❌ Authorization Code Flow “clásico” en SPA ya no es seguro.

✅ Forma correcta:

Authorization Code Flow con PKCE

📌 Microsoft lo exige en:

SPA
Mobile
Public clients

⚠️ C) Flujo de aplicaciones web (detalle clave)

Dices:

“devuelve un ID token al navegador”

Esto es parcial.

✔️ Se devuelve un ID token ✔️ Pero normalmente también se obtiene un access token (directo o vía backend)

📌 Para APIs:

ID token ≠ permiso
Access token = autorización

⚠️ D) Server-to-server: falta nombrar el flujo

El escenario está bien descrito, pero no se nombra el flujo correcto.

Debe decir explícitamente:

Client Credentials Flow

📌 En formación, nombrar el flujo es clave.

⚠️ E) Refresh token (matiz importante)

Dices:

“la aplicación debe utilizar el refresh token”

Esto es correcto pero no universal.

📌 Aclaración necesaria:

No todos los flujos emiten refresh tokens
En client credentials no existen

🔵 3️⃣ Versión corregida (sin reescribir toda la clase)

Te dejo una versión ajustada conceptual, manteniendo tu estructura:

Clase 9 – Protocolos de Autenticación en Microsoft Entra ID

Microsoft Entra ID (antes Azure Active Directory) proporciona protocolos estándar para la gestión segura de identidad y acceso. OpenID Connect se utiliza para la autenticación de usuarios, mientras que OAuth 2.0 permite la autorización y el acceso controlado a recursos mediante tokens.

Integración con aplicaciones

Al registrar una aplicación en Entra ID se crea una identidad para dicha aplicación, incluyendo un identificador único y URIs de redirección previamente autorizadas. Estas URIs determinan a dónde se devuelve el usuario tras completar el proceso de autenticación, junto con los tokens emitidos. Además, se define el tipo de cuentas admitidas (single-tenant, multi-tenant o cuentas Microsoft).

Aplicaciones de una sola página (SPA)

Las SPA utilizan Authorization Code Flow con PKCE, donde:

La aplicación redirige al usuario al endpoint de autorización.
El usuario se autentica.
Se devuelve un código de autorización a la URI registrada.
La aplicación intercambia el código por tokens de forma segura.

Aplicaciones web

En aplicaciones web tradicionales:

El navegador accede al servidor.
El servidor redirige al usuario a Entra ID.
El usuario se autentica y otorga consentimiento.
Se emite un ID token (y opcionalmente access token).
El servidor valida el token y gestiona la sesión.

Aplicaciones móviles

Las apps móviles emplean Authorization Code Flow con PKCE, usando el navegador del sistema. Cuando el access token expira, puede renovarse usando un refresh token, si el flujo lo permite.

Comunicación server-to-server

En escenarios sin interacción humana se utiliza el Client Credentials Flow:

La aplicación se autentica con sus propias credenciales.
Entra ID emite un access token.
El token se usa para acceder a la API protegida.

Gestión de tokens

La validación, expiración y renovación de tokens debe gestionarse cuidadosamente. Las URIs de redirección deben estar registradas explícitamente para evitar ataques de redirección y garantizar la seguridad del flujo.

🧠 4️⃣ Veredicto final

⭐ Evaluación general: 8.5 / 10

✔️ Excelente estructura ✔️ Casos bien cubiertos ✔️ Lenguaje claro ⚠️ Algunos matices técnicos críticos ⚠️ Faltaban nombres formales de flujos y PKCE

Con los ajustes: ➡️ Clase sólida, profesional y alineada con Microsoft Learn / AZ-900 / AZ-204

🎯 Frase de cierre ideal para la clase

Entender los flujos de autenticación en Entra ID no es memorizar pasos, sino comprender qué entidad confía en quién y por qué.

Protocolos de Autenticación en Azure Active Directory

Introducción a Azure Active Directory

Azure Active Directory: Autenticación y Autorización en la Nube

Conceptos Clave de Azure Active Directory

Identidad como Clave en Seguridad de IT y Autenticación Avanzada

Autenticación de usuarios con Azure Active Directory

Autenticación Multifactor: Seguridad Adicional en Inicios de Sesión

Autenticación Moderna con Azure Active Directory B2C

Conceptos básicos

Diferencias entre Autenticación y Autorización en Azure Active Directory

Tokens en Azure Active Directory: Tipos y Uso Práctico