¿Qué es la administración de aplicaciones en microsoft Entra ID?

La administración de aplicaciones en Microsoft Entra ID es el proceso de creación, configuración, administración y supervisión de aplicaciones en la nube. Cuando una aplicación está registrada en una entidad de Microsoft Entra, los usuarios que ya están asignados a la aplicación pueden acceder de forma segura. Muchos tipos de aplicaciones se pueden registrar en microsoft Entra ID. Para obtener más información, consulte Tipos de aplicación para la plataforma de identidad de Microsoft.

En este artículo, aprenderá estos aspectos importantes de la administración del ciclo de vida de una aplicación:

• Desarrollar, agregar o conectar: se pueden tomar diferentes caminos dependiendo de si va a desarrollar su propia aplicación, usar una aplicación preintegrada o conectarse a una aplicación local.
• Administrar el acceso: el acceso se puede administrar mediante el inicio de sesión único (SSO), la asignación de recursos, la definición de la forma en que se concede y se da su consentimiento y se usa el aprovisionamiento automatizado.
• Configurar propiedades: configure los requisitos para iniciar sesión en la aplicación y cómo se representa la aplicación en los portales de usuarios.
• Proteger la aplicación: administrar la configuración de permisos, la autenticación multifactor, el acceso condicional, los tokens y los certificados.
• Gobernar y supervisar: administre la interacción y revise la actividad mediante la administración de derechos y los recursos de informes y supervisión.
• Limpiar: cuando la aplicación ya no sea necesaria, elimine el acceso a la misma y elimínela para limpiar el inquilino.

Desarrollo, adición o conexión

Hay varias maneras de administrar aplicaciones en microsoft Entra ID. La manera más fácil de empezar a administrar una aplicación es usar una aplicación preintegrada desde la galería de Microsoft Entra. Desarrollar su propia aplicación y registrarla en Microsoft Entra ID es una opción o puede seguir usando una aplicación local.

En la imagen siguiente se muestra cómo interactúan estas aplicaciones con el identificador de Microsoft Entra.

Aplicaciones preintegradas

Muchas aplicaciones ya están preintegradas (se muestran como aplicaciones en la nube en la imagen anterior de este artículo) y se pueden configurar con un esfuerzo mínimo. Cada aplicación de la galería de Microsoft Entra tiene un artículo disponible que te muestra los pasos que se requieren para configurar la aplicación. Para obtener un ejemplo sencillo de cómo se puede agregar una aplicación al inquilino de Microsoft Entra desde la galería, consulte Inicio rápido: Adición de una aplicación empresarial.

Sus propias aplicaciones

Si desarrolla su propia aplicación empresarial, puede registrarla con el identificador de Entra de Microsoft para aprovechar las características de seguridad que proporciona el inquilino. Puede registrar su aplicación en Registro de Aplicaciones, o puede registrarla usando el enlace Crear su propia aplicación al agregar una nueva aplicación en Aplicaciones Empresariales. Tenga en cuenta cómo se implementa la autenticación en su aplicación para la integración con Microsoft Entra ID.

Si desea que la aplicación esté disponible en la galería, puede enviar una solicitud para que esté disponible.

Aplicaciones locales

Si desea seguir usando una aplicación local, pero aproveche las ventajas de lo que ofrece Microsoft Entra ID, conéctelo con Microsoft Entra ID mediante Proxy de aplicación de Microsoft Entra. Application Proxy se puede implementar cuando quiera publicar aplicaciones locales externamente. Los usuarios remotos que necesitan acceso a aplicaciones internas pueden acceder a ellos de forma segura.

Administración del acceso

Para administrar el acceso de una aplicación, será necesario responder a las siguientes preguntas:

• ¿Cómo se otorga y se consiente el acceso a la aplicación?
• ¿La aplicación admite el inicio de sesión único?
• ¿Qué usuarios, grupos y propietarios deben asignarse a la aplicación?
• ¿Hay otros proveedores de identidades que admitan la aplicación?
• ¿Resulta útil automatizar el aprovisionamiento de identidades y roles de usuario?

Acceso y consentimiento

Puede administrar la configuración de consentimiento del usuario elegir si los usuarios pueden permitir que una aplicación o un servicio accedan a perfiles de usuario y datos de la organización. Cuando se concede acceso a las aplicaciones, los usuarios pueden iniciar sesión en aplicaciones integradas con el identificador de Microsoft Entra y la aplicación puede acceder a los datos de su organización para ofrecer experiencias enriquecidas controladas por datos.

En situaciones en las que los usuarios no pueden dar su consentimiento a los permisos que solicita una aplicación, considere la posibilidad de configurar el flujo de trabajo de consentimiento del administrador. El flujo de trabajo permite a los usuarios proporcionar una justificación y solicitar la revisión y aprobación de una aplicación del administrador. Para obtener información sobre cómo configurar el flujo de trabajo de consentimiento del administrador en el inquilino de Microsoft Entra, consulte Configuración del flujo de trabajo de consentimiento del administrador.

Como administrador, puede conceder el consentimiento del administrador para todo el inquilino a una aplicación. El consentimiento del administrador para todo el inquilino es necesario cuando una aplicación requiere permisos que los usuarios normales no pueden conceder. Conceder el consentimiento del administrador para todo el inquilino también permite a las organizaciones implementar sus propios procesos de revisión. Revise cuidadosamente los permisos que solicita la aplicación antes de conceder el consentimiento. Cuando se concede consentimiento de administrador a nivel de inquilino para una aplicación, todos los usuarios podrán iniciar sesión en la aplicación a menos que configure la aplicación para requerir la asignación de usuarios.

Inicio de sesión único

Considere la posibilidad de implementar el inicio de sesión único en la aplicación. Puede configurar manualmente la mayoría de las aplicaciones para el inicio de sesión único. Las opciones más populares en Microsoft Entra ID son SSO basado en SAML y SSO basado en OpenID Connect. Antes de empezar, asegúrese de que comprende los requisitos del inicio de sesión único y cómo planear la implementación. Para obtener más información sobre cómo configurar el inicio de sesión único basado en SAML para una aplicación empresarial en el inquilino de Microsoft Entra, consulte Habilitación del inicio de sesión único para una aplicación mediante microsoft Entra ID.

Asignación de usuarios, grupos y propietarios

De forma predeterminada, todos los usuarios pueden acceder a las aplicaciones empresariales sin estar asignados a ellas. Sin embargo, si desea asignar la aplicación a un conjunto de usuarios, configure la aplicación para que requiera la asignación de usuarios y asigne los usuarios seleccionados a la aplicación. Para obtener un ejemplo sencillo de cómo crear y asignar una cuenta de usuario a una aplicación, consulte Inicio rápido: Creación y asignación de una cuenta de usuario.

Si se incluye en la suscripción, asigne grupos a una aplicación para que pueda delegar la administración del acceso continuo al propietario del grupo.

Asignar propietarios es una manera sencilla de conceder la capacidad de administrar todos los aspectos de la configuración de Microsoft Entra para una aplicación. Como propietario, un usuario puede administrar la configuración específica de la organización de la aplicación. Como procedimiento recomendado, debe supervisar proactivamente las aplicaciones del inquilino para asegurarse de que tienen al menos dos propietarios para evitar la situación de las aplicaciones sin propietario.

Automatización del aprovisionamiento

aprovisionamiento de aplicaciones hace referencia a la creación automática de identidades y roles de usuario en las aplicaciones a las que los usuarios necesitan acceder. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que cambian el estado o los roles.

Proveedores de identidades

¿Tiene un proveedor de identidades con el que desea que Microsoft Entra ID interactúe? La detección del dominio de inicio proporciona una configuración que permite a Microsoft Entra ID determinar con qué proveedor de identidades se debe autenticar un usuario en el momento del inicio de sesión.

Portales de usuarios

Microsoft Entra ID proporciona formas personalizables de implementar aplicaciones para los usuarios de su organización. Por ejemplo, el portal Mis Aplicaciones o el lanzador de aplicaciones de Microsoft 365. Mis aplicaciones ofrece a los usuarios un único lugar para iniciar su trabajo y encontrar todas las aplicaciones a las que tienen acceso. Como administrador de una aplicación, debe planear cómo usan los usuarios de la organización el portal Aplicaciones.

Configurar propiedades

Al agregar una aplicación al inquilino de Microsoft Entra, tiene la oportunidad de configurar las propiedades que afectan a la forma en que los usuarios pueden interactuar con la aplicación. Puede habilitar o deshabilitar la capacidad de iniciar sesión y establecer la aplicación para requerir la asignación de usuarios. También puede determinar la visibilidad de la aplicación, qué logotipo representa la aplicación y cualquier nota sobre la aplicación. Para obtener más información sobre las propiedades que se pueden configurar, consulte Propiedades de una aplicación empresarial.

Protección de la aplicación

Hay varios métodos disponibles para ayudarle a mantener las aplicaciones empresariales seguras. Por ejemplo, puede restringir el acceso de inquilinos, administrar la visibilidad, los datos y los análisisy, posiblemente, proporcionar acceso híbrido. Mantener las aplicaciones empresariales seguras también implica administrar la configuración de permisos, MFA, acceso condicional, tokens y certificados.

Permisos

Es importante revisar periódicamente y, si es necesario, administrar los permisos concedidos a una aplicación o un servicio. Asegúrese de que solo permite el acceso adecuado a las aplicaciones mediante la evaluación periódica de si existe actividad sospechosa.

clasificaciones de permisos le permiten identificar el efecto de los distintos permisos según las directivas de su organización y las evaluaciones de riesgos. Por ejemplo, puede usar clasificaciones de permisos en directivas de consentimiento para identificar el conjunto de permisos a los que los usuarios pueden dar su consentimiento.

Autenticación multifactor y acceso condicional

La autenticación multifactor de Microsoft Entra ayuda a proteger el acceso a los datos y las aplicaciones, lo que proporciona otra capa de seguridad mediante una segunda forma de autenticación. Hay muchos métodos que se pueden usar para una autenticación en segundo factor. Antes de empezar, planifica la implementación de MFA para tu aplicación en tu organización.

Las organizaciones pueden habilitar MFA con Acceso Condicional para que la solución se ajuste a sus necesidades específicas. Las directivas de acceso condicional permiten a los administradores asignar controles a aplicaciones, acciones o contexto de autenticación específicos .

Tokens y certificados

Los distintos tipos de tokens de seguridad se usan en un flujo de autenticación en microsoft Entra ID en función del protocolo usado. Por ejemplo, se usan tokens SAML para el protocolo SAML y tokens de identificador y tokens de acceso se usan para el protocolo OpenID Connect. Los tokens se firman con el certificado único que genera microsoft Entra ID y por algoritmos estándar específicos.

Puede proporcionar más seguridad mediante el cifrado del token. También puede administrar la información de un token, incluidos los roles permitidos para la aplicación.

Microsoft Entra ID usa el algoritmo SHA-256 de forma predeterminada para firmar la respuesta SAML. Use SHA-256 a menos que la aplicación requiera SHA-1. Establezca un proceso para administrar la duración del certificado. La duración máxima de un certificado de firma es de tres años. Para evitar o minimizar la interrupción debido a la expiración de un certificado, use las listas de distribución de correo electrónico y roles para asegurarse de que las notificaciones de cambios relacionadas con los certificados se supervisan con atención.

Control y supervisión

Gestión de derechos de acceso en Microsoft Entra ID le permite gestionar la interacción entre aplicaciones y administradores, propietarios de catálogos, gestores de paquetes de acceso, aprobadores y solicitantes.

La solución de informes y supervisión de Microsoft Entra depende de los requisitos legales, de seguridad y operativos, así como del entorno y los procesos existentes. Hay varios registros que se mantienen en el identificador de Entra de Microsoft. Por lo tanto, debe planear la implementación de informes y supervisión para mantener la mejor experiencia posible para la aplicación.

Limpieza

Puede limpiar el acceso a las aplicaciones. Por ejemplo, quitar el acceso de un usuario. También puede deshabilitar el modo en que un usuario inicia sesión. Por último, puede eliminar la aplicación si ya no es necesaria para la organización. Para obtener más información sobre cómo eliminar una aplicación empresarial de su inquilino de Microsoft Entra, consulte Inicio rápido: Eliminación de una aplicación empresarial.

Tutorial guiado

Para un recorrido guiado de muchas de las recomendaciones de este artículo, consulte el recorrido guiado de Microsoft 365 "Secure your cloud apps with Single Sign On (SSO)".

Pasos siguientes

• Para empezar, añada su primera aplicación empresarial con la Guía rápida : Añadir una aplicación empresarial.