Información sobre el acceso condicional
La característica Acceso condicional de Microsoft Entra ID ofrece una de las distintas maneras que puede usar para proteger la aplicación y un servicio. El acceso condicional permite que los desarrolladores y clientes empresariales protejan los servicios de diversas formas, entre las que se incluyen las siguientes:
- Autenticación multifactor
- Autorización para que solo los dispositivos inscritos en Intune accedan a servicios específicos
- Restricción de ubicaciones de usuario e intervalos IP
¿Cómo el acceso condicional afecta a una aplicación?
En los casos más comunes, el acceso condicional no cambia el comportamiento de una aplicación ni requiere cambios por parte del desarrollador. Solo en determinados casos cuando una aplicación solicita indirectamente o de forma silenciosa un token para un servicio, requiere cambios de código para controlar los desafíos del acceso condicional. Puede ser tan sencillo como realizar una solicitud de inicio de sesión interactiva.
En concreto, en los escenarios siguientes:
- Aplicaciones que realizan el flujo "en nombre de"
- Aplicaciones que acceden a varios servicios o recursos
- Aplicaciones de una sola página que usan MSAL.js
- Aplicaciones web que llaman a un recurso
Las directivas de acceso condicional se pueden aplicar a la aplicación y también a una API web a la que accede la aplicación. Según el escenario, un cliente empresarial puede aplicar y quitar directivas de acceso condicional en cualquier momento. Para que la aplicación siga funcionando cuando se aplica una nueva directiva, implemente el control de desafíos.
Ejemplos de acceso condicional
En algunos escenarios se requieren cambios en el código para controlar el acceso condicional, mientras que en otros se trabaja tal cual. Estos son algunos escenarios en los que se usa el acceso condicional para realizar la autenticación multifactor, lo que da una idea de la diferencia.
Se crea una aplicación iOS de inquilino único y se aplica una directiva de acceso condicional. La aplicación inicia la sesión de un usuario y no solicita acceso a una API. Cuando el usuario inicia sesión, la directiva se invoca automáticamente y el usuario debe realizar la autenticación multifactor.
Se crea una aplicación que usa un servicio de nivel intermedio para tener acceso a una API de bajada. Un cliente empresarial de la empresa que usa esta aplicación aplica una directiva a la API de nivel inferior. Cuando un usuario final inicia sesión, la aplicación solicita acceso al nivel intermedio y envía el token. El nivel intermedio realiza el flujo "en nombre de" para solicitar acceso a la API de nivel inferior. En este punto, se presenta un "desafío" de notificaciones al nivel intermedio. El nivel intermedio envía el desafío de vuelta a la aplicación, la cual necesita cumplir con la directiva de acceso condicional.