Uso del control de acceso basado en roles para las aplicaciones
Se aplica a: inquilinos de personal inquilinos externos (más información)
El control de acceso basado en rol (RBAC) es un mecanismo popular para exigir la autorización en las aplicaciones. Cuando una organización usa RBAC, el desarrollador de una aplicación define los roles para la aplicación. Después, un administrador puede asignar roles a usuarios y grupos diferentes para controlar quién tiene acceso al contenido y la funcionalidad de la aplicación.
Por lo general, las aplicaciones reciben la información de los roles de usuario como notificaciones en un token de seguridad. Los desarrolladores tienen la flexibilidad de proporcionar su propia implementación para saber cómo se interpretarán las notificaciones de roles como permisos de aplicación. Esta interpretación de los permisos puede implicar el uso de middleware u otras opciones proporcionadas por la plataforma de las aplicaciones o bibliotecas relacionadas.
Roles de aplicación
Id. externa de Microsoft Entra te permite definir roles de aplicación para la aplicación y asignar dichos roles a usuarios y grupos. Los roles que asignas a un usuario o grupo definen su nivel de acceso a los recursos y operaciones de la aplicación.
Cuando id. externa de Microsoft Entra emite un token de seguridad para un usuario autenticado, incluye los nombres de los roles que ha asignado al usuario o grupo en la declaración de roles del token de seguridad. Una aplicación que recibe ese token de seguridad en una solicitud puede tomar decisiones de autorización basadas en los valores de la reclamación de roles.
Sugerencia
Para probar esta característica, vaya a la demostración de Woodgrove Groceries e inicie el caso de uso "Control de acceso basado en roles".
Grupos
Los desarrolladores también pueden usar grupos de seguridad para implementar el control de acceso basado en roles en sus aplicaciones, donde las pertenencias de los usuarios en grupos específicos se interpretan como pertenencias a roles. Cuando una organización usa grupos de seguridad, se incluye una notificación de grupos en el token. La notificación de grupos especifica los identificadores de todos los grupos a los que está asignado el usuario dentro del inquilino de externo actual.
Sugerencia
Para probar esta característica, ve a la demostración de Woodgrove Groceries e inicia el caso de uso "Control de acceso basado en grupos".
Roles de aplicación frente a grupos
Si bien puedes usar roles de aplicación o grupos para la autorización, las diferencias clave entre ambos pueden influir en la opción que decidas usar para el escenario en cuestión.
Roles de aplicación | Grupos |
---|---|
Son específicos de una aplicación y se definen en el registro de la aplicación. | No son específicos de una aplicación, sino de un inquilino externo. |
No se pueden compartir entre aplicaciones. | Se pueden usar en varias aplicaciones. |
Los roles de aplicación se quitan cuando se quita el registro de la aplicación. | Los grupos permanecen intactos incluso si se quita la aplicación. |
Se proporcionan en la notificación roles . |
Se proporcionan en la notificación groups . |
Creación de un grupo de seguridad
Los grupos de seguridad se usan para administrar el acceso de usuarios y equipos a los recursos compartidos. Puedes crear un grupo de seguridad para que todos los miembros del grupo tengan el mismo conjunto de permisos de seguridad.
Para crear un grupo de seguridad, sigue estos pasos:
- Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.
- Si tienes acceso a varios inquilinos, usa el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
- Ve aIdentidad>Grupos>Todos los grupos.
- Selecciona Nuevo grupo.
- Selecciona Seguridad en la lista desplegable Tipo de grupo.
- Escribe el Nombre de grupo para el grupo de seguridad, como Contoso_App_Administrators.
- Escribe la descripción del grupo de seguridad; por ejemplo, Administrador de seguridad de aplicaciones de Contoso.
- Selecciona Crear.
El nuevo grupo de seguridad aparece en la lista Todos los grupos. Si no la ves inmediatamente, actualiza la página.
Id. externa de Microsoft Entra para clientes puede proporcionar información de pertenencia a un grupo de usuarios en tokens que se pueden usar en las aplicaciones. Aprenderás a agregar la notificación de grupo a los tokens en la sección Asignación de usuarios y grupos a roles.
Declaración de roles para una aplicación
Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de roles con privilegios.
Si tienes acceso a varios inquilinos, usa el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
Ve a Identidad>Aplicaciones>Registros de aplicaciones.
Selecciona la aplicación para la que deseas definir roles de aplicación.
Selecciona Roles de aplicación y, a continuación, selecciona Crear rol de aplicación.
En el panel Crear rol de aplicación, escribe la configuración del rol. En la tabla siguiente, se describen las opciones y sus parámetros.
Campo Description Ejemplo Nombre para mostrar Nombre para mostrar para el rol de aplicación que aparece en las experiencias de asignación de aplicaciones. Este valor puede incluir espacios. Orders manager
Tipos de miembros permitido Especifica si este rol de aplicación puede asignarse a usuarios, aplicaciones o ambos. Users/Groups
Valor Especifica el valor de la notificación de roles que debería esperar la aplicación en los tokens de acceso y autenticación. El valor debe coincidir exactamente con la cadena a la que se hace referencia en el código de la aplicación. El valor no puede contener espacios. Orders.Manager
Descripción Una descripción más detallada del rol de aplicación que se muestra durante las experiencias de asignación de aplicaciones de administración. Manage online orders.
¿Quieres habilitar este rol de aplicación? Especifica si está habilitado el rol de aplicación. Para eliminar un rol de aplicación, desactiva esta casilla y aplica el cambio antes de intentar la operación de eliminación. Activada Selecciona Aplicar para crear el rol de aplicación.
Asignación de usuarios y grupos a roles
Una vez que hayas agregado los roles de aplicación a la aplicación, el administrador puede asignar usuarios y grupos a estos roles. La asignación de usuarios y grupos a los roles se puede realizar mediante el centro de administración o mediante programación con Microsoft Graph. Cuando los usuarios asignados a los distintos roles de aplicación inician sesión en la aplicación, los tokens tienen sus roles asignados en la notificación roles
.
Para asignar usuarios y grupos a los roles de aplicación mediante Azure Portal:
- Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de roles con privilegios.
- Si tienes acceso a varios inquilinos, usa el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
- Ve a Aplicaciones de identidad>Aplicaciones>Empresariales.
- Selecciona Todas las aplicaciones para ver una lista de todas las aplicaciones. Si la aplicación no aparece en la lista, usa los filtros de la parte superior de la lista Todas las aplicaciones para restringir la lista o desplázate hacia abajo en la lista para localizar la aplicación.
- Selecciona la aplicación en la que deseas asignar usuarios o grupos de seguridad a los roles.
- En Administrar, selecciona Usuarios y grupos.
- Selecciona Agregar miembro para abrir el panel Agregar asignación.
- En el panel Agregar asignación, selecciona Usuarios y grupos. Aparecerá una lista de usuarios y grupos de seguridad. Puedes seleccionar varios usuarios y grupos de la lista.
- Una vez que lo haga, elige Seleccionar.
- En el panel Agregar asignación, elige Seleccionar un rol. Aparecen todos los roles que definió para la aplicación.
- Seleccione un rol y, luego, elija Seleccionar.
- Seleccione Asignar para finalizar las asignaciones de usuarios y grupos en la aplicación.
- Confirme que los usuarios y grupos que agregó aparecen en la lista Usuarios y grupos.
Para probar la aplicación, cierre la sesión y vuelva a iniciarla con el usuario al que asignó los roles. Inspeccione el token de seguridad para asegurarse de que contiene el rol del usuario.
Incorporación de reclamaciones de grupos en tokens de seguridad
Para emitir las notificaciones de pertenencia a grupos en tokens de seguridad, siga estos pasos:
- Inicie sesión en el centro de administración de Microsoft Entra como Administrador de aplicaciones como mínimo.
- Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
- Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.
- Seleccione la aplicación en la que desea agregar la notificación del grupo.
- En Administrar, seleccione Configuración del token.
- Seleccione Agregar notificación de grupos.
- Seleccione los tipos de grupos que se van a incluir en los tokens de seguridad.
- En Personalizar propiedades de token por tipo, seleccione Id. de grupo.
- Seleccione Agregar para agregar la notificación de grupos.
Agregar miembros a un grupo
Ahora que agregó la notificación de grupos de aplicaciones en la aplicación, agregue usuarios a los grupos de seguridad. Si no tiene un grupo de seguridad, créelo.
- Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.
- Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
- Vaya aIdentidad>Grupos>Todos los grupos.
- Seleccione el grupo que quiere administrar.
- Seleccione Miembros.
- Seleccione + Agregar miembros.
- Desplácese por la lista o bien introduzca un nombre en el cuadro de búsqueda. Puede elegir varios nombres. Cuando esté listo, elija Seleccionar.
- La página Información general del grupo se actualiza para mostrar el número de miembros que ahora se agregan al grupo.
Para probar la aplicación, cierre la sesión y vuelva a iniciarla con el usuario que agregó al grupo de seguridad. Inspeccione el token de seguridad para asegurarse de que contiene la pertenencia a grupos del usuario.
Compatibilidad con grupos y roles de aplicación
Un inquilino externo sigue la asignación de aplicaciones y el modelo de administración de usuarios y grupos de Microsoft Entra. Muchas de las características principales de Microsoft Entra están derivando a los inquilinos externos.
En la tabla siguiente, se muestran las características que están disponibles actualmente.
Característica | ¿Está disponible actualmente? |
---|---|
Creación de un rol de aplicación para un recurso | Sí, modificando el manifiesto de aplicación |
Asignación de un rol de aplicación a usuarios | Sí |
Asignación de un rol de aplicación a grupos | Sí, solo a través de Microsoft Graph |
Asignación de un rol de aplicación a las aplicaciones | Sí, solo a través de permisos de aplicaciones |
Asignación de un usuario a un rol de aplicación | Sí |
Asignación de una aplicación a un rol de aplicación (permiso de aplicación) | Sí |
Incorporación de un grupo a una aplicación o entidad de servicio (notificación de grupos) | Sí, solo a través de Microsoft Graph |
Creación, actualización o eliminación de un cliente (usuario local) a través del Centro de administración de Microsoft Entra | Sí |
Restablecimiento de una contraseña para un cliente (usuario local) a través del Centro de administración de Microsoft Entra | Sí |
Creación, actualización o eliminación de un cliente (usuario local) a través de Microsoft Graph | Sí |
Restablecimiento de una contraseña para un cliente (usuario local) a través de Microsoft Graph | Sí, solo si la entidad de servicio se agrega al rol de administrador global |
Creación, actualización o eliminación de un grupo de seguridad a través del Centro de administración de Microsoft Entra | Sí |
Creación, actualización o eliminación de un grupo de seguridad a través de Microsoft Graph API | Sí |
Cambio de los miembros del grupo de seguridad mediante el Centro de administración de Microsoft Entra | Sí |
Cambio de los miembros del grupo de seguridad mediante Microsoft Graph API | Sí |
Escalación vertical hasta 50 000 usuarios y 50 000 grupos | No está disponible actualmente |
Incorporación de 50 000 usuarios a al menos dos grupos | No está disponible actualmente |