Administración y supervisión de aplicaciones de Microsoft Entra
Ahora que ha implementado su primera aplicación integrada en Microsoft Entra, tiene previsto explorar aspectos más exhaustivos de su funcionalidad que se centran en las tareas de administración y mantenimiento. También quiere asegurarse de identificar advertencias adicionales sobre las aplicaciones multiinquilino.
¿Cuáles son las tareas comunes de administración y mantenimiento relacionadas con las aplicaciones integradas en Microsoft Entra?
La implementación de las aplicaciones integradas en Microsoft Entra incluye las siguientes consideraciones especiales, algunas de las cuales pueden requerir tareas de administración y mantenimiento adicionales:
Realice un seguimiento de todos los identificadores uniformes de recursos (URI) de redirección asociados a las aplicaciones, incluidos los registros del Servicio de nombres de dominio (DNS) correspondientes.
Proteja las aplicaciones web asegurándose de que los URI de redirección se correspondan con los puntos de conexión cifrados.
Mantenga las credenciales de las aplicaciones web, API web y aplicaciones de demonio.
Al usar secretos, considere la posibilidad de automatizar su administración, incluida su rotación.
Aplique el principio de privilegios mínimos al configurar el ámbito de permiso de las aplicaciones. Las aplicaciones solo deben solicitar permisos adicionales cuando sea necesario.
Siempre que sea posible, use permisos delegados en lugar de permisos de aplicación.
Durante el desarrollo, use la biblioteca de autenticación de Microsoft en lugar de programar directamente con protocolos como OAuth 2.0 y Open ID.
Nota:
La biblioteca de autenticación de Microsoft ofrece un enfoque fácil de usar para implementar una amplia gama de escenarios de autenticación, incluido el acceso condicional, el inicio de sesión único (SSO) en todo el dispositivo y el almacenamiento en caché de tokens.
Nota:
Este módulo no está pensado para proporcionar una guía completa y procedimientos recomendados con respecto a la integración de aplicaciones nativas de la nube con Microsoft Entra ID, sino para presentar los conceptos de autenticación de Microsoft Entra y multiinquilinato.
¿Cuáles son las consideraciones adicionales relacionadas con las aplicaciones multiinquilino integradas en Microsoft Entra?
Al implementar escenarios multiinquilino de Microsoft Entra, debe configurar la aplicación para que acepte inicios de sesión desde cualquier inquilino de Microsoft Entra. Los usuarios de esos inquilinos podrán acceder a la aplicación después de conceder el consentimiento pertinente solicitado por la aplicación.
Hay cuatro elementos principales necesarios como parte de la implementación de una aplicación multiinquilino:
- Registro de la aplicación para que sea multiinquilino
- Configuración de la aplicación para enviar solicitudes al punto de conexión /common
- Adición de código para administrar varios valores de emisor
- Inclusión de disposiciones para responder al consentimiento del usuario y del administrador
Registro de la aplicación para que sea multiinquilino
Para registrar la aplicación como multiinquilino:
Use el cuadro de texto Buscar recursos, servicios y documentos para buscar Registro de aplicaciones y, en la lista de resultados, en la sección Servicios de Azure seleccione Registro de aplicaciones.
Seleccione Todos los registros y seleccione cna-app.
Seleccione la opción Tipos de cuenta admitidos, a continuación, en Tipos de cuenta admitidos Cuentas en cualquier directorio organizativo (Cualquier directorio Microsoft Entra: Multiinquilino), y seleccione Guardar.
Microsoft Entra ID necesita que el URI de identificador de aplicación sea único globalmente. Cuando la aplicación es de un solo inquilino, el URI de identificador de aplicación debe ser único en ese inquilino. En el caso de una aplicación multiinquilino, debe ser único globalmente. Para satisfacer este requisito, el nombre de host del URI del identificador de aplicación debe coincidir con un dominio comprobado del inquilino de Microsoft Entra.
Configuración de la aplicación para enviar solicitudes al punto de conexión /common
En una aplicación de un solo inquilino, las solicitudes de inicio de sesión se envían al punto de conexión de inicio de sesión del inquilino. Por ejemplo, para contoso.com, el punto de conexión correspondiente es https://login.microsoftonline.com/contoso.com. De hecho, las solicitudes destinadas a ese punto de conexión permiten el inicio de sesión de usuarios o invitados en el inquilino de Microsoft Entra correspondiente. Con una aplicación multiinquilino, no puede determinar con antelación qué inquilino se usará, por lo que usará el punto de conexión https://login.microsoftonline.com/common, que sirve a todos los inquilinos de Microsoft Entra.
Adición de código para administrar varios valores de emisor
Las aplicaciones web y las API web reciben y validan los tokens que provienen de la Plataforma de identidad de Microsoft. Esto requiere implementar una lógica que decida qué valores de emisor son válidos y cuáles no, en función de la parte del identificador de inquilino del valor del emisor. Para más información, consulte la documentación a la que se hace referencia en la unidad de resumen de este curso.
Inclusión de disposiciones para responder al consentimiento del usuario y del administrador
Para una aplicación multiinquilino, el registro inicial de una aplicación tiene lugar en el inquilino de Microsoft Entra utilizado por el desarrollador de la aplicación. Cuando usuarios individuales de distintos inquilinos de Microsoft Entra inician sesión en la aplicación por primera vez, se pide a cada uno que dé su consentimiento a los permisos solicitados por la aplicación. Esto, a su vez, resultaría en la creación de una entidad de servicio en sus respectivos inquilinos. Para obtener más información sobre las disposiciones para abordar este requisito, consulte la documentación a la que se hace referencia en la unidad de resumen de este curso.