Métodos de autenticación en Microsoft Entra ID: tokens OATH
TOTP (contraseñas de un solo uso y duración definida) de OATH es un estándar abierto que especifica cómo se generan los códigos de contraseña de un solo uso (OTP). TOTP de OATH se puede implementar mediante software o hardware para generar los códigos. Microsoft Entra ID no es compatible con OATH HOTP, un estándar de generación de código diferente.
Tokens OATH de software
Los tokens de software OATH suelen ser aplicaciones, como la aplicación Microsoft Authenticator y otras aplicaciones de autenticador. Microsoft Entra ID genera la clave secreta o valor de inicialización, que se introduce en la aplicación y se usa para generar cada OTP.
La aplicación Authenticator genera códigos automáticamente cuando se configura para realizar notificaciones de inserción, de modo que un usuario tenga una copia de seguridad incluso si el dispositivo no tiene conectividad. También se pueden usar aplicaciones de terceros que usen TOTP de OATH para generar códigos.
Algunos tokens de hardware TOTP de OATH son programables, es decir, no incluyen una clave secreta ni un valor de inicialización programados previamente. Estos tokens de hardware programables se pueden configurar con la clave secreta o el valor de inicialización obtenidos del flujo de configuración del token de software. Los clientes pueden adquirir estos tokens del proveedor de su elección y usar la clave secreta o el valor de inicialización en el proceso de configuración de su proveedor.
Tokens OATH de hardware (versión preliminar)
Microsoft Entra ID admite el uso de tokens OATH-TOTP SHA-1 y SHA-256 que actualizan los códigos cada 30 o 60 segundos. Los clientes pueden adquirir estos tokens a través del proveedor de su elección.
Microsoft Entra ID tiene una nueva API de Microsoft Graph en versión preliminar para Azure. Los administradores pueden acceder a las API de Microsoft Graph con roles con privilegios mínimos para administrar tokens en la versión preliminar. No hay ninguna opción para administrar el token OATH de hardware en esta actualización de versión preliminar en el Centro de administración de Microsoft Entra.
Puede seguir administrando tokens desde la versión preliminar original en Tokens OATH en el Centro de administración de Microsoft Entra. Por otro lado, solo puede administrar tokens en la actualización de versión preliminar mediante las API de Microsoft Graph.
Los tokens OATH de hardware que agregue con Microsoft Graph para esta actualización en versión preliminar aparecen junto con otros tokens en el Centro de administración. Pero solo puede administrarlos mediante Microsoft Graph.
Corrección del desfase de tiempo
Microsoft Entra ID ajusta el desfase de tiempo de los tokens durante la activación y cada autenticación. En la tabla siguiente se muestra el ajuste de hora que realiza Microsoft Entra ID para tokens durante la activación e inicio de sesión.
| Intervalo de actualización del token | Intervalo de tiempo de activación | Intervalo de tiempo de autenticación |
|---|---|---|
| 30 segundos | +/- 1 día | +/- 1 minuto |
| 60 segundos | +/- 2 días | +/- 2 minutos |
Mejoras en la actualización en versión preliminar
Esta actualización de la versión preliminar del token OATH de hardware mejora la flexibilidad y la seguridad de las organizaciones mediante la eliminación de los requisitos de administrador global. Las organizaciones pueden delegar la creación, asignación y activación de tokens a administradores de autenticación con privilegios o administradores de directivas de autenticación.
En la tabla siguiente se comparan los requisitos de rol de administrador para administrar tokens OATH de hardware en la actualización de versión preliminar frente a la versión preliminar original.
| Tarea | Rol de vista previa original | Rol de actualización en versión preliminar |
|---|---|---|
| Cree un nuevo token en el inventario del inquilino. | Administrador global | Administrador de directivas de autenticación |
| Leer un token del inventario del inquilino; no devuelve el secreto. | Administrador global | Administrador de directivas de autenticación |
| Actualice un token en el inquilino. Por ejemplo, actualizar el fabricante o el módulo; No se puede actualizar el secreto. | Administrador global | Administrador de directivas de autenticación |
| Elimine un token del inventario del inquilino. | Administrador global | Administrador de directivas de autenticación |
Como parte de la actualización en versión preliminar, los usuarios finales también pueden asignar y activar tokens desde su Información de seguridad. En la actualización de versión preliminar, un token solo se puede asignar a un usuario. En la tabla siguiente se enumeran los requisitos de token y rol para asignar y activar tokens.
| Tarea | Estado del token | Requisito de rol |
|---|---|---|
| Asigne un token del inventario a un usuario del inquilino. | Asignado | Miembro (propio) Administrador de autenticación Administrador de autenticación con privilegios |
| Leer el token del usuario no devuelve el secreto. | Activado o asignado (depende de si el token ya estaba activado o no) | Miembro (propio) Administrador de autenticación (solo tiene lectura restringida, no lectura estándar) Administrador de autenticación con privilegios |
| Actualice el token del usuario, como proporcionar código de 6 dígitos actual para la activación o cambiar el nombre del token. | Activado | Miembro (propio) Administrador de autenticación Administrador de autenticación con privilegios |
| Quite el token del usuario. El token vuelve al inventario de tokens. | Disponible (de vuelta al inventario de inquilinos) | Miembro (propio) Administrador de autenticación Administrador de autenticación con privilegios |
En la directiva heredada de autenticación multifactor (MFA), los tokens OATH de hardware y software solo se pueden habilitar juntos. Si habilita tokens OATH en la directiva MFA heredada, los usuarios finales verán una opción para agregar Tokens OATH de hardware en su página Información de seguridad.
Si no desea que los usuarios finales vean una opción para agregar Tokens OATH de hardware, migre a la directiva de métodos de autenticación. En la directiva de métodos de autenticación, los tokens OATH de hardware y software se pueden habilitar y administrar por separado. Para obtener más información sobre cómo migrar a la directiva de métodos de autenticación, consulte Cómo migrar la configuración de directivas de MFA y SSPR a la directiva de métodos de autenticación para Microsoft Entra ID.
Los inquilinos con una licencia P1 o P2 de Microsoft Entra ID pueden seguir cargando tokens OATH de hardware como en la versión preliminar original. Para obtener más información, consulte Carga de tokens OATH de hardware en formato CSV.
Para obtener más información acerca de cómo habilitar tokens OATH de hardware y las API de Microsoft Graph que puede usar para cargar, activar y asignar tokens, consulte Administración de tokens OATH.
Iconos de token OATH
Los usuarios pueden agregar y administrar tokens OATH en Información de seguridad, o pueden seleccionar Información de seguridad desde Mi cuenta. Los tokens OATH de software y hardware tienen iconos diferentes.
| Tipo de registro de token | Icono |
|---|---|
| Token de software OATH |  |
| Token de hardware OATH |  |
Contenido relacionado
Obtenga más información acerca de Cómo administrar tokens OATH. Obtenga información sobre los proveedores de claves de seguridad FIDO2 que son compatibles con la autenticación sin contraseña.