Metodologías de desarrollo basadas en estándares

Como desarrollador, puede hacer un buen uso de los estándares del sector para el desarrollo de software con la ayuda de la Biblioteca de autenticación de Microsoft (MSAL). En este artículo se proporciona información general sobre los estándares admitidos y sus ventajas en la Plataforma de identidad de Microsoft . Asegúrese de que las aplicaciones en la nube cumplan los requisitos de confianza cero para lograr una seguridad óptima.

¿Qué ocurre con los protocolos?

Al implementar protocolos, tenga en cuenta los costos que incluyen el tiempo para escribir código que esté totalmente actualizado con todos los procedimientos recomendados y siga los procedimientos recomendados de OAuth 2.0 para una implementación segura. En su lugar, se recomienda usar una biblioteca bien mantenida (con una preferencia por MSAL) si va a compilar directamente en Microsoft Entra ID o Microsoft Identity.

Optimizamos las MSAL para la compilación y el trabajo con Microsoft Entra ID. Si su entorno no tiene MSAL o tiene funcionalidades desbloqueadas en su propia biblioteca, desarrolle la aplicación con la plataforma de identidad de Microsoft. Compile las funcionalidades de OAuth 2.0 y OpenID Connect. Considere los costos de revertir correctamente un protocolo.

Cómo admite la Plataforma de identidad de Microsoft los estándares

Para lograr confianza cero de forma más eficaz, desarrolle aplicaciones con estándares del sector que admite la Plataforma de identidad de Microsoft:

• OAuth 2.0 y OpenID Connect
• SAML

OAuth 2.0 y OpenID Connect

Como protocolo del sector para la autorización, OAuth 2.0 permite a los usuarios conceder acceso limitado a los recursos protegidos. OAuth 2.0 funciona concretamente con el Protocolo de transferencia de hipertexto (HTTP) para separar el rol del cliente del propietario del recurso. Los clientes utilizan tokens para acceder a recursos protegidos de un servidor de recursos.

Las construcciones de OpenID Connect permiten a las extensiones de Microsoft Entra mejorar la seguridad. Estas son las extensiones de Microsoft Entra más comunes:

• El contexto de autenticación del acceso condicional permite aplicar directivas específicas a datos y acciones confidenciales en lugar de solo en el nivel de la aplicación.
• La Evaluación continua de acceso (CAE) permite a las aplicaciones Microsoft Entra suscribirse a eventos críticos que pueden ser evaluados y aplicados. CAE incluye la evaluación de eventos de riesgo, como cuentas de usuario deshabilitadas o eliminadas, cambios de contraseña, revocaciones de tokens y usuarios detectados.

Cuando las aplicaciones usan características de seguridad mejoradas, como CAE y el contexto de autenticación de acceso condicional, deben estar codificadas para controlar los desafíos de las notificaciones. Los protocolos abiertos permiten usar los desafíos de notificaciones y las solicitudes de notificaciones para invocar funcionalidades de cliente adicionales. Por ejemplo, indicar a las aplicaciones que necesitan repetir la interacción con Microsoft Entra ID debido a una anomalía. Otro escenario es cuando el usuario ya no cumple las condiciones con las que se había autenticado anteriormente. Puede codificar estas extensiones sin alterar sus flujos de código de autenticación principales.

Lenguaje de Marcado para Confirmaciones de Seguridad (SAML)

La Plataforma de identidad de Microsoft usa el protocolo SAML 2.0 para permitir a las aplicaciones de confianza cero proporcionar una experiencia de inicio de sesión único (SSO) a sus usuarios. Los perfiles SAML de inicio y cierre de sesión único de Microsoft Entra ID explican cómo se usan las aserciones, los protocolos y los enlaces SAML en el servicio de proveedor de identidades. El protocolo SAML requiere que el proveedor de identidades (Plataforma de identidad de Microsoft) y el proveedor de servicios (su aplicación) intercambien información sobre sí mismos. Al registrar la aplicación de confianza cero con Microsoft Entra ID, registra información relacionada con la federación que incluye el URI de redireccionamiento y el URI de metadatos de la aplicación con Microsoft Entra ID.

Ventajas de MSAL en comparación con los protocolos

Microsoft optimiza las MSAL para la Plataforma de identidad de Microsoft y proporciona la mejor experiencia para el inicio de sesión único, el almacenamiento en caché de tokens y la resistencia frente a interrupciones. Mientras las MSAL van estando disponibles con carácter general, seguimos ampliando la cobertura de lenguajes y marcos.

Con MSAL, adquiere tokens para muchos tipos de aplicación: aplicaciones web, API web, aplicaciones de una sola página, aplicaciones móviles y nativas, así como aplicaciones del lado servidor y demonios. MSAL permite una integración rápida y sencilla con acceso seguro a los usuarios y los datos a través de Microsoft Graph y las API. Con las mejores bibliotecas de autenticación del sector, podrá llegar a cualquier público y seguir el ciclo de vida de desarrollo de seguridad de Microsoft.

Pasos siguientes

• En el artículo Bibliotecas de autenticación de la Plataforma de identidad de Microsoft se muestra la compatibilidad con varios tipos de aplicación.
• Desarrollo mediante los principios de confianza cero le ayuda a comprender los principios rectores de confianza cero para que pueda mejorar la seguridad de las aplicaciones.
• Use los procedimientos recomendados de desarrollo para la administración de identidad y acceso de confianza cero en el ciclo de vida de desarrollo de las aplicaciones para crear aplicaciones seguras.
• Creación de aplicaciones con un enfoque de confianza cero para la identidad proporciona información general sobre los permisos y los procedimientos recomendados de acceso.
• Las responsabilidades de desarrollador y administrador para el registro, autorización y acceso de aplicaciones le ayudan a colaborar mejor con sus profesionales de TI.
• En el artículo Protección de API se describen los procedimientos recomendados para proteger la API mediante su registro, la definición de permisos y del consentimiento, y la aplicación del acceso para lograr los objetivos de confianza cero.
• Personalizar tokens describe la información que puede recibir en tokens de Microsoft Entra. Explica cómo la personalización de los tokens mejora la flexibilidad y el control, y al mismo tiempo aumenta la seguridad de confianza cero para las aplicaciones con privilegios mínimos.
• Configurar notificaciones de grupo y roles de aplicación en tokens describe cómo configurar aplicaciones con definiciones de roles de aplicación y asignar grupos de seguridad a roles de aplicación. Este enfoque mejora la flexibilidad y el control, y al mismo tiempo aumenta la seguridad de confianza cero de las aplicaciones con privilegios mínimos.