Requisitos de la aplicación para el sistema de autenticación de copia de seguridad
El sistema de respaldo de autenticación de Microsoft Entra hace que las aplicaciones que usen protocolos y flujos admitidos sean más resistentes. Para más información sobre el sistema de respaldo de autenticación, consulte Sistema de respaldo de autenticación de Microsoft Entra ID.
Requisitos de las aplicaciones para la protección
Las aplicaciones deben comunicarse con un nombre de host compatible para el entorno de Azure determinado y usar protocolos admitidos actualmente por el sistema de autenticación de copia de seguridad. El uso de bibliotecas de autenticación, como la Biblioteca de autenticación de Microsoft (MSAL), garantiza que usa protocolos de autenticación compatibles con el sistema de autenticación de copia de seguridad.
Nombres de host admitidos por el sistema de autenticación de copia de seguridad
| Entorno de Azure | Nombre de host admitido |
|---|---|
| Azure Commercial | login.microsoftonline.com |
| Azure Government | login.microsoftonline.us |
Protocolos de autenticación admitidos por el sistema de autenticación de copia de seguridad
OAuth 2.0 y OpenID Connect (OIDC)
Guía común
Todas las aplicaciones que usen los protocolos Open Authorization (OAuth) 2.0 u OIDC deben cumplir los procedimientos siguientes para garantizar la resistencia:
- La aplicación usa MSAL o cumple estrictamente las especificaciones de OAuth2 y de OpenID Connect. Microsoft recomienda usar las bibliotecas de MSAL adecuadas para su plataforma y caso de uso. El uso de estas bibliotecas garantiza que el sistema de autenticación de copia de seguridad admita el uso de API y patrones de llamadas.
- La aplicación usa un conjunto fijo de ámbitos en lugar de consentimiento dinámico al adquirir tokens de acceso.
- La aplicación no usa la concesión de credenciales de contraseña del propietario del recurso. Este tipo de concesión no será compatible con el sistema de autenticación de copia de seguridad para cualquier tipo de cliente. Microsoft recomienda encarecidamente cambiar a flujos de concesión alternativos para mejorar la seguridad y la resistencia.
- La aplicación no se basa en el punto de conexión UserInfo. Al cambiar al uso de un token de identificador, se reduce la latencia mediante la eliminación de hasta dos solicitudes de red y se usa la compatibilidad existente para la resistencia del token de identificador en el sistema de autenticación de copia de seguridad.
Aplicaciones nativas
Las aplicaciones nativas son aplicaciones cliente públicas que se ejecutan directamente en dispositivos móviles o de escritorio y no en exploradores web. Se registran como clientes públicos en su registro de aplicaciones en el centro de administración de Microsoft Entra o Azure Portal.
Las aplicaciones nativas están protegidas por el sistema de autenticación de copia de seguridad cuando se cumplen todas las siguientes condiciones:
- La aplicación conserva la caché de tokens durante al menos tres días. Las aplicaciones deberían usar la ubicación de caché de tokens del dispositivo o la API de serialización de caché de tokens para conservar la caché de tokens incluso cuando el usuario cierre la aplicación.
- La aplicación usa la API AcquireTokenSilent de MSAL para recuperar tokens mediante tokens de actualización almacenados en caché. El uso de la API AcquireTokenInteractive podría no adquirir un token del sistema de autenticación de copia de seguridad si se requiriese la interacción del usuario.
El sistema de autenticación de copia de seguridad no admite actualmente la concesión de autorización del dispositivo.
Aplicaciones web de página única
Las aplicaciones web de página única (SPA) tienen compatibilidad limitada en el sistema de autenticación de copia de seguridad. Las SPA que usan el flujo de concesión implícita y solicitan solo los tokens de identificador de OpenID Connect están protegidos. Solo las aplicaciones que usan MSAL.js 1.x o implementan directamente el flujo de concesión implícita pueden usar esta protección, ya que MSAL.js 2.x no admite el flujo implícito.
El sistema de autenticación de copia de seguridad no admite actualmente el flujo de código de autorización con la clave de prueba para el intercambio de código.
Servicios y aplicaciones web
El sistema de autenticación de copia de seguridad no admite actualmente aplicaciones web y servicios configurados como clientes confidenciales. Actualmente no se admite la protección para el flujo de concesión de código de autorización y la adquisición de tokens posteriores mediante tokens de actualización y secretos de cliente o credenciales de certificado. Actualmente no se admite el flujo en nombre de OAuth 2.0.
Inicio de sesión único SAML 2.0 (SSO)
El sistema de autenticación de copia de seguridad admite parcialmente el protocolo de inicio de sesión único (SSO) del Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) 2.0. Los flujos que usan el flujo iniciado por el proveedor de identidades (IdP) de SAML 2.0 están protegidos por el sistema de autenticación de copia de seguridad. Las aplicaciones que usan el flujo iniciado por el proveedor de servicios (SP), no están protegidas actualmente por el sistema de autenticación de copia de seguridad.
Protocolos de autenticación de identidad de carga de trabajo admitidos por el sistema de autenticación de copia de seguridad
OAuth 2.0
Identidad administrada
Las aplicaciones que usan identidades administradas para adquirir tokens de acceso de Microsoft Entra están protegidas. Microsoft recomienda el uso de identidades administradas asignadas por el usuario en la mayoría de los escenarios. Esta protección se aplica tanto a las identidades administradas asignadas por el usuario como a las asignadas por el sistema.
Entidad de servicio
El sistema de autenticación de copia de seguridad no admite actualmente la autenticación de identidad de carga de trabajo basada en entidades de servicio a través del flujo de concesión de credenciales de cliente. Microsoft recomienda usar la versión de MSAL adecuada para su plataforma para que la aplicación esté protegida por el sistema de autenticación de copia de seguridad cuando la protección esté disponible.