Integración de aplicaciones con Microsoft Entra ID y la plataforma de identidad de Microsoft
Como desarrollador, puede compilar e integrar aplicaciones que los profesionales de TI puedan proteger en la empresa. Este artículo le ayuda a comprender cómo Usar principios de confianza cero para integrar de forma segura la aplicación con el Microsoft Entra ID y la plataforma de identidad de Microsoft.
El servicio de administración de identidad y acceso basado en la nube de Microsoft, Microsoft Entra ID, proporciona a los desarrolladores estas ventajas de integración de aplicaciones:
- Autenticación y autorización de aplicaciones.
- Autenticación y autorización de usuarios.
- Inicio de sesión único (SSO) mediante federación o contraseña
- Aprovisionamiento y sincronización de usuarios.
- Control de acceso basado en rol.
- Servicios de autorización de OAuth
- Publicación de aplicaciones y proxy
- Atributos de extensión de esquema de directorio
En el diagrama anterior se muestra el kit de herramientas unificado de la Plataforma de identidad de Microsoft para desarrolladores que admite varias identidades y estándares del sector. Puede compilar aplicaciones e integrar la identidad con puntos de conexión, bibliotecas, API web, comprobación del publicador, aprovisionamiento de usuarios y agentes de autenticación.
Introducción a la integración de aplicaciones
El sitio de la documentación de la plataforma de identidad de Microsoft es el mejor lugar para aprender a integrar las aplicaciones con dicha plataforma. Puede encontrar talleres para desarrolladores, materiales de talleres, vínculos a grabaciones de talleres e información sobre los próximos eventos en directo en https://aka.ms/UpcomingIDLOBDev.
Al diseñar la aplicación, debe hacer lo siguiente:
- Identifique los recursos a los que la aplicación necesita acceder.
- Considere si la aplicación tiene usuarios interactivos y componentes de carga de trabajo.
- Acceder a los recursos protegidos por Microsoft Entra ID mediante la compilación de aplicaciones que protejan la identidad a través de permisos y acceso.
Tipos de aplicaciones que puede integrar
La plataforma de identidad de Microsoft realiza la administración de identidades y acceso (IAM) solo para las aplicaciones compatibles y registradas. Para integrarse con la Plataforma de identidad de Microsoft, la aplicación debe poder proporcionar un componente basado en explorador web que pueda conectarse a los puntos de conexión de autorización de la Plataforma de identidad de Microsoft en la dirección https://login.microsoftonline.com
. La aplicación llama al punto de conexión del token en la misma dirección.
Una aplicación integrada se puede ejecutar desde cualquier ubicación, incluidos estos ejemplos:
- Microsoft Azure
- Otros proveedores de nube
- Sus propios centros de datos y servidores
- Equipos de escritorio
- Dispositivos móviles
- Dispositivos de Internet de las cosas
La aplicación o dispositivo, como una aplicación de explorador web que accede al punto de conexión de autorización, puede proporcionar requisitos de forma nativa. La cooperación entre un explorador desconectado y la aplicación cumple los requisitos. Por ejemplo, las aplicaciones que se ejecutan en televisores pueden hacer que el usuario realice la autenticación inicial con un explorador en un dispositivo móvil o de escritorio.
Registre la aplicación cliente (aplicación web o nativa) o API web para establecer una relación de confianza entre la aplicación y la plataforma de identidad de Microsoft. El registro de aplicación de Microsoft Entra es fundamental puesto que una configuración errónea o la falta de protección de la aplicación puede provocar tiempo de inactividad o situaciones de peligro. Siga los Procedimientos recomendados de seguridad para las propiedades de la aplicación en Microsoft Entra ID.
Publicar en la galería de aplicaciones de Microsoft Entra
La Galería de aplicaciones Microsoft Entra es una colección de aplicaciones de software como servicio (SaaS) en el Microsoft Entra ID preintegrado con el Microsoft Entra ID. La colección incluye miles de aplicaciones que facilitan la implementación y configuración del inicio de sesión único (SSO) y el aprovisionamiento automático de usuarios.
El aprovisionamiento automático de usuarios hace referencia a la creación de identidades y roles de usuario en las aplicaciones en la nube a las que los usuarios necesitan acceder. El aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que cambian el estado o los roles. Para aprovisionar usuarios en aplicaciones SaaS y otros sistemas, el servicio de aprovisionamiento de Microsoft Entra se conecta a un punto de conexión de la API de administración de usuarios de System for Cross-Domain Identity Management (SCIM) 2.0 que proporciona el proveedor de la aplicación. Este punto de conexión SCIM permite a Microsoft Entra ID crear, actualizar y quitar usuarios mediante programación.
Al crear aplicaciones para Microsoft Entra ID, puede usar la API de administración de usuarios de SCIM 2.0 para construir un punto de conexión SCIM que integre Microsoft Entra ID para el aprovisionamiento. Para obtener más información, consulte el tutorial Plan y desarrollo del aprovisionamiento de un punto de conexión de SCIM en Microsoft Entra ID.
Publique la aplicación en la galería de aplicaciones de Microsoft Entra y haga que estén disponibles públicamente para que los usuarios las agreguen a sus inquilinos tras completar estas tareas:
- Complete los requisitos previos.
- Cree y publique documentación.
- Envíe la aplicación.
- Únase a Microsoft Partner Network.
Convertirse en publicador verificado
La verificación del publicador proporciona a los usuarios de aplicaciones y a los administradores de la organización información sobre la autenticidad de los desarrolladores que publican aplicaciones que se integran con la plataforma de identidad de Microsoft. Cuando se trata de un publicador verificado, los usuarios pueden decidir más fácilmente si quieren permitir que la aplicación inicie sesión y acceda a su información de perfil. Pueden basar su decisión en la información y el acceso que la aplicación solicita en forma de tokens.
Los publicadores de aplicaciones verifican su identidad con Microsoft asociando su registro de aplicaciones a su cuenta verificada de Microsoft Partner Network (MPN). Durante la comprobación, Microsoft solicita documentación. Después de convertirse en un publicador verificado, se muestra un distintivo de verificación azul en las páginas web y las peticiones de consentimiento de Microsoft Entra de la aplicación.
Pasos siguientes
- Creación de aplicaciones con un enfoque de confianza cero para la identidad proporciona información general sobre los permisos y los procedimientos recomendados de acceso.
- Procedimientos recomendados de autorización le ayuda a implementar los mejores modelos de autorización, permisos y consentimiento para las aplicaciones.
- Configuración del dominio de editor de una aplicación le ayuda a comprender las aplicaciones multiinquilino y los valores de dominio de publicador predeterminados.
- Tutoriales de integración de aplicaciones SaaS para su uso con Microsoft Entra ID le ayuda a integrar las aplicaciones SaaS habilitadas para la nube con el identificador de Microsoft Entra.
- Consulte las sugerencias para solucionar problemas de verificación del publicador si recibe errores o ve un comportamiento inesperado durante la publicación.