Conceptos Clave de Azure Active Directory

Clase 2 de 28 • Curso de Azure Active Directory

Resumen

¿Qué es una identidad en Azure Active Directory?

Una identidad en Azure Active Directory es un aspecto fundamental relacionado con la autenticación. Se refiere a cualquier entidad que pueda autenticar su identidad. Para un usuario final, esto podría significar un ID de usuario, un correo electrónico y una contraseña. Para una aplicación, significaría un ID de aplicación y un secreto de aplicación, o posiblemente un certificado empleado para autenticación.

Identidad frente a cuenta

Identidad: Se refiere a la autenticación, como el correo electrónico o el ID de usuario.
Cuenta: Incluye los datos asociados a la identidad, como el nombre de usuario, perfil y rol.

Toda cuenta en Azure Active Directory nace con una identidad asociada. Sin identidad no puede existir una cuenta. Las cuentas se crean al utilizar un servicio en la nube, como el portal de Azure o Microsoft 365, lo que registra la identidad en un directorio de Azure Active Directory.

¿Cuáles son los roles de administración en Azure Active Directory?

En Azure Active Directory, existe una jerarquía de roles administrativos que gestionan tanto la facturación como el acceso a los servicios.

Administrador de cuentas

El administrador de cuentas maneja la facturación y decide cómo se utiliza y se paga por los servicios en la nube. La gestión de la facturación está normalmente vinculada a una suscripción de Azure.

Administrador de servicios

Este administrador tiene acceso a todos los servicios desplegados en una suscripción de Azure. Puede manejar servicios internos y externos dentro de dicha suscripción.

Propietario y control de acceso

Propietario: Asume un control detallado sobre recursos específicos, como aplicaciones web o bases de datos.
Control de acceso: Es crucial definir la estrategia adecuada, permitiendo a cada usuario acceder sólo a lo necesario para su trabajo. Esto evita que un usuario elimine recursos importantes y fomenta la colaboración controlada.

Administrador global

Este rol tiene control total sobre el directorio activo. A menudo, el usuario que crea el directorio activo se vuelve administrador global. Dada la sensibilidad de la información, es recomendable ejercer medidas de seguridad adicionales como la autenticación de segundo factor.

¿Qué es un inquilino en Azure?

Un inquilino se refiere al directorio activo en Azure donde se crea un usuario. Esta identidad puede luego acceder a aplicaciones registradas dentro de ese directorio.

Tipos de inquilinos

Single tenant: Se emplea para una sola organización. Útil para aplicaciones internas como el control de nómina o inventarios.
Multi-tenant: Permite la colaboración entre distintas organizaciones, posibilitando que usuarios de diversos directorios colaboren en una aplicación común.

Configuración de dominios en Azure Active Directory

Los dominios dentro de Azure Active Directory son cruciales para presentar una identidad de marca coherente.

Dominios predeterminados y personalizados

Al crear un directorio activo, se asigna un dominio predeterminado, como "mi-organización.onmicrosoft.com". Sin embargo, es común que las organizaciones prefieran usar dominios personalizados, como "mi-organización.com", para un mejor marketing y representación en línea.

El uso de dominios personalizados facilita la identificación de la empresa y permite una presencia más profesional en el ámbito digital.

¿Qué son las Microsoft Accounts?

Las cuentas de Microsoft, o Microsoft Accounts, están asociadas a servicios como Outlook, Xbox Live o Hotmail. En algunos escenarios, puedes permitir que aplicaciones sean autenticadas usando estas cuentas personales.

Uso en Azure

Permitir el uso de cuentas personales puede ser útil para aplicaciones que requieren autenticación flexible, facilitando el acceso para usuarios individuales que utilizan servicios personales de Microsoft.

Melanie Adriana Cruz Aguila

student•

LEs comparto mis apuntes :)

Identidad : algo que se puede autenticar Para un usuario final puede ser user ID o correo electrónico y contraseña Para una app puede ser app ID o certificado que se utilice para aplicar la autenticación

Cuenta : Tiene datos asociados a la identidad, una vez que te autenticas puedes tener acceso a nombre de usuario, perfil, a que rol pertenece, diferente información asociada a esa identidad. No existe cuenta sin identidad. Para tener una cuenta se debe tener una identidad.

Cuenta de Azure AD : Se crea al ocupar un servicio en la nube como portal de Azure, o servicios de Microsoft 365. De esta manera tu identidad (correo electrónico o tu user ID) está registrada en un directorio de Azure AD, así mismo se puede utilizar esta cuenta para hacer uso de correo electrónico, y servicios internos y externos.

Administrador de cuenta : Asociado al administrador que puede realizar o hacer gestión de facturación.

Administrador de servicios : tiene acceso a todos los servicios de suscripción de Azure, puede tener control completo a todos los servicios que están desplegados en la suscripción.

Propietario : Tiene control más detallado sobre algún recurso como app web. Es importante dar los accesos pertinentes con quien se comparten los accesos. Evitar que el usuario pueda eliminar los recursos que creamos. Dar al usuario el acceso mínimo requerido para que pueda realizar sus actividades

Administrador Global de Azure AD : Tiene control completo del directorio activo. Tomar en cuenta que se maneja información sensible, habilitar segundo factor de autenticación es la mejor opción para mantener protegida la información.

Suscripción de Azure : Da acceso a ciertos servicios en la nube, normalmente se asocia con un directorio activo.

Inquilino de Azure : Directorio activo donde se creó el usuario. Con sus credenciales, el usuario podrá hacer uso de las aplicaciones activas dentro de este directorio, ejemplo: control de nómina e inventarios en caso que esta app se encuentre registrada dentro del directorio y le damos acceso al usuario, se convierte en inquilino individual.

Multi inquilino : Permite colaborar en diferentes organizaciones

Directorio de Azure AD : Instancia de AD directamente en nuestro tenant (inquilino), de esta manera se tiene acceso al dominio del directorio activo, grupos de usuarios, información, habilitar autenticación, se tiene acceso al AD asociado a nuestra cuenta.

Dominio Personalizado : Nombre de la organización

Cuenta Microsoft (MSA) : Asociada a servicios como Outlook, hotmail, etc.

Jose Trinidad Perez Galdamez

student•

Gracias por tu aporte Melanie...!!!

Miguel Felix

student•

Gracias

Julian Torres

student•

Iniquilino es lo mismo que un tenant. un tenant tiene uno o varios directorios activos, en ese caso seria multi tenant o multi inquilino.

Eduardo Alan Gonzalez Garduño

student•

Términos más utilizados en Azure AD

Identidad: Algo que se puede autenticar

• Usuario final: User ID, Correo, Password • Aplicación: Aplicatión ID

Una cuenta tiene datos asociados a la identidad.

Nota: No podemos tener una cuenta sin identidad.

Administrador de la cuenta:

• Puede gestionar la facturación

Administrador de los servicios:

• Tiene acceso a todos los servicios desplegados en una suscripción

Propietario:

• Acceso al proyecto o aplicación de servicios específicos. • Tiene control más detallado sobre algún recurso como app web. Es importante dar los accesos pertinentes con quien se comparten los accesos. Evitar que el usuario pueda eliminar los recursos que creamos. Dar al usuario el acceso mínimo requerido para que pueda realizar sus actividades

Administrador Global de Azure AD :

• Tiene control completo del directorio activo. Tomar en cuenta que se maneja información sensible, habilitar segundo factor de autenticación es la mejor opción para mantener protegida la información.

Suscripción de Azure:

• Da acceso a ciertos servicios en la nube, normalmente se asocia con un directorio activo.

Inquilino de Azure:

• Directorio activo donde se creó el usuario. Con sus credenciales, el usuario podrá hacer uso de las aplicaciones activas dentro de este directorio, ejemplo: control de nómina e inventarios en caso de que esta app se encuentre registrada dentro del directorio y le damos acceso al usuario, se convierte en inquilino individual.

Multi inquilino:

• Permite colaborar en diferentes organizaciones

Directorio de Azure AD:

• Instancia de AD directamente en nuestro tenant (inquilino), de esta manera se tiene acceso al dominio del directorio activo, grupos de usuarios, información, habilitar autenticación, se tiene acceso al AD asociado a nuestra cuenta.

Dominio Personalizado:

• Nombre de la organización

Cuenta Microsoft (MSA):

• Asociada a servicios como Outlook, hotmail, etc.

William Schnaider Torres Bermon

student•

Pueden expandir los conceptos directamente desde la documentación.

Nelson Sebastian Galeano Aranda

student•

gracias por el aporte amigo, saludos

Fernando Sánchez Mejía

student•

Administrador de la cuenta: Asociado al administrador que hace la gestión de la facturación. Asociado a una suscripción de Azure, de la forma de hacer los pagos de servicio de la nube.

Fernando Sánchez Mejía

student•

Cuenta AD: Se crear al utilizar un servicio en la nube. Aquí se incluye tu identidad en un direcotrio. Con esta cuenta se puede hacer uso del correo electronico, servicio internos y externos.

Luis Carlos Zapata García

student•

Basicamente todo los terminos azure active Directory,estan en esta documentación.

Nelson Sebastian Galeano Aranda

student•

Esperando las prácticas para entendre todos estos conceptos :-)

Fernando Sánchez Mejía

student•

Propietario: Control detallado sobre algunos recursos, por su se crear una aplicación web, BD, etc, se puede asignar aun propietario de servicios. Importante definir estrategia de control de accesos para una suscripción. Si se comparte la cuenta se deben tener perfiles segregados según su puesto o tener un control de los permisos.

Fernando Sánchez Mejía

student•

Administrador global de Azure AD. Control completo de AD. Normalmente es la persona que crea el AD. Si se agregan usuarios se deben implementar mecanismos de seguridad adicionales como el doble factor de autenticación.

Fernando Sánchez Mejía

student•

Cuenta Microsoft (MSA): Asoaciada a servicios de Microsoft. De esta forma se permite la autenticación de algunos servicios.

DAVID EDUARDO BAEZ SANCHEZ

student•

Entendido

Claudia patricia Suarez Daza

student•

Un inquilino de Azure Active Directory es tu instancia de Active Directory, donde se gestionan las identidades y accesos de los usuarios. Al crear un directorio, se genera un inquilino que permite a los usuarios autenticarse y acceder a aplicaciones registradas en ese directorio. Un inquilino puede ser single tenant (una sola organización) o multi-tenant (varias organizaciones), lo que permite colaborar entre diferentes directorios. Es fundamental para la administración de identidades en la nube y ayuda a mantener un control sobre quién puede acceder a qué.

Fernando Sánchez Mejía

student•

El multi - inquilino es como el ejemplo de la primera clase donde se colabora entre la empresa A y B ?

Emmanuel David Breyaue

student•

en las organizaciones en donde trabaje, disponían de dominios reservados y personalizados para la nomina de cuentas en AD siendo la gran automotriz de automóviles la mas grande que disponen de un departamento para esa tarea. mi trabajo por lo general consistía en activar y resetear contraseñas en empleados que se olvidaban o tenían el equipo bloqueado después de muchos intentos fallidos.

Harold Yesid Molina Lopez

student•

Identidad: Es algo que se puede autenticar, como un user ID o correo electrónico para un usuario, y application ID para una aplicación.
Cuenta: Datos asociados a una identidad. Permite el acceso a servicios y recursos.
Administrador de la cuenta: Gestiona la facturación y administración de la suscripción.
Administrador de servicios: Tiene acceso a todos los servicios en una suscripción de Azure.
Propietario: Control detallado sobre un recurso específico.
Administrador global: Control completo del directorio activo.
Inquilino: Instancia de Azure Active Directory donde se crean y gestionan usuarios y aplicaciones.
Single tenant: Aplicación registrada en un solo directorio.
Multitenant: Aplicación que permite identidades de diferentes directorios.
Dominio: Nombre asociado al directorio activo, que puede ser predeterminado o personalizado.
Microsoft Account: Cuenta personal asociada a servicios como Outlook y Xbox Live.

Fernando Sánchez Mejía

student•

Dominio personalizado: Cuando creamos un AD tenemos un dominio predeterminado.

Fernando Sánchez Mejía

student•

Direcotio de Azure AD: Instancia de AD directamente en nuestro inquilino.

Fernando Sánchez Mejía

student•

Multi - inquilino (Multi -tenant): Permite colaborar en diferentes organizaciones.

Fernando Sánchez Mejía

student•

Inquilino de AZ: AD donde se crean usuarios. Estos usuarios pueden hacer uso de las aplicaciones de tu direcorio.