Azure AD (I): visión general y registro de aplicaciones

  • Article

Azure Active Directory (AD) es el servicio de directorio y gestión de identidad multi-tenant basado en la nube de Microsoft. Incluye una gran cantidad de servicios relacionados con la gestión de identidades incluyendo autenticación multifactor, registro de dispositivos, auto gestión de contraseñas, auto gestión de grupos, control de acceso basado en roles, monitorización de uso de las aplicaciones, auditoria y monitorización de la seguridad y alertas.

Todos estos servicios permiten proveer de seguridad a aplicaciones basadas en la nube, pero también, con pocos clicks, Azure AD puede ser integrado con Windows Server Active Directory. Otra de las ventajas del servicio es que permite a las compañías dar a los empleados y partners acceso a miles de aplicaciones SaaS como Office365 utilizando single sign-on (SSO).

azure_active_directory

 

Azure Active Directory proporciona un servicio de alta fiabilidad debido a su arquitectura multi-tenant y a la georeplicación en varias regiones. Si se produce un fallo en uno de los datacenters el tráfico es automáticamente redirigido a otro por lo que los usuarios no perciben ninguna alteración en el servicio.

Azure AD proporciona diversas maneras de comunicación e interacción. Una de ellas es Graph API. A través de esta API es posible realizar acciones como consultar el directorio para conocer los usuarios y grupos y las relaciones entre ellos. También es posible realizar cambios sobre el directorio como añadir, borrar y actualizar usuarios.

Graph API utiliza el protocolo OAuth 2.0, pero AD soporta todos los protocolos comunes que pueden ser usados para dar seguridad a las aplicaciones: WS-Federation, SAML-P, OAuth 2.0 y OpenID Connect.

A lo largo de este post veremos cómo crear un directorio activo y registrar una aplicación para que pueda utilizarlo.

En primer lugar, accedemos al portal de Azure y pulsamos en New. Buscamos Active Directory.

AD1

Seleccionamos el servicio y pulsamos en Create. Veremos que nos redirige al portal clásico de Azure. A día de hoy el servicio sigue siendo gestionando a través del portal clásico pero el objetivo es que esté integrado en el nuevo portal al igual que el resto de servicios de Azure.

Se nos abrirá una ventana de diálogo para introducir los datos del directorio activo.

En la parte baja de la pantalla vemos que tenemos la opción de indicar que es un directorio B2C,  este servicio soporta autenticación con los servicios de identificación más comunes como Facebook y Google. Una vez seleccionado el tipo de directorio no es posible cambiarlo. AD2

Tras unos segundos aparecerá el recurso en la pantalla ya creado.

AD3

Todas las gestiones respecto a este servicio han de hacerse desde el portal clásico.  Si hacemos doble click sobre el directorio creado accedemos a la página de gestión del servicio.

AD4

En la parte superior encontramos diversas opciones.

Usuarios

En este apartado tenemos toda la gestión relacionada con los usuarios.

AD5

Integrando nuestra aplicación con Azure AD podremos delegar la gestión de identidad y centrarnos en nuestra aplicación proporcionando la personalización o el control de acceso necesario gracias a la información que nos proporciona Azure AD una vez autenticado el usuario.

Un usuario de Azure AD puede ser creado desde el portal, sincronizado desde un Windows Server Active Directory existente o una Microsoft Account. Cuando damos de alta un usuario nos pedirá que indiquemos qué tipo de usuario de los anteriores es. También es necesario establecer el rol del usuario de entre los siguientes:

  • Usuario
  • Administrador global
  • Administrador de facturación
  • Administrador de servicios
  • Administrador de usuarios
  • Administrador de contraseñas

El rol irá asociado a las labores que el usuario realizará respecto al directorio activo.

Grupos

Los grupos permiten gestionar de forma unificada a los usuarios y realizar la autenticación basada en ellos en lugar de forma individual por usuario.

AD6

Aplicaciones

En este apartado es donde se darán de alta las aplicaciones que van a usar el directorio activo.  Es posible añadir aplicaciones propias de la organización o seleccionar una desde la galería. Cuando se añade una aplicación se generan automáticamente unas claves únicas identificativas que serán las que permitan el acceso desde el código de la aplicación al directorio activo.

AD7

Dominios

Todos los directorios en Azure AD tienen un nombre DNS único en el dominio *.onmicrosoft.com.

AD8

 

Los usuarios son referenciados como “nombre@*.onmicrosoft.com”. A través de los dominios personalizados es posible asociar un dominio propio a un directorio activo, esto permite que los usuarios puedan ser referenciados como “nombre@midominio.com”.

Integración de directorios

Este apartado permite configurar la integración con un directorio de Windows Server on-premise.

AD9

Configurar

En este apartado se pueden establecer distintos aspectos de la configuración:

  • Nombre del directorio activo
  • Preferencia de idioma de las notificaciones
  • Autenticación multifactor
  • Gestión de dispositivos
  • Agente de informes de Micrososft Identity Manager
  • Servicios de dominio
  • Gestión de aplicaciones integradas
  • Acceso de usuarios invitados
  • Rango de IPs públicas de la organización

AD10

Informes

Azure AD ofrece informes sobre la actividad que tiene el servicio y permite detectar actividades sospechosas. Ofrece informes sobre intentos de acceso desde varias zonas geográficas, usuarios con credenciales amenazadas, inicios de sesión desde direcciones IP con actividad sospechosa, etc. Esta información permite tener un control sobre toda la actividad que tiene el directorio y poder prevenir o subsanar posibles ataques maliciosos.

AD11

 Licencias

Desde el apartado de licencias es posible activar la cuenta Premium y Enterprise Mobility Suite, que ofrecen servicios extra como autenticación multifactor, control de acceso basado en el estado del servicio, localización de usuarios, informes completos y más.

AD12

 

Una vez tenemos el directorio activo, si queremos desarrollar una aplicación que lo utilice tenemos que registrarla.

Para ello vamos al apartado Aplicaciones y pulsamos en agregar. Se abrirá una ventana de diálogo para introducir los datos de la aplicación. En función del tipo de aplicación que vayamos a desarrollar hemos de seleccionar un tipo u otro. En nuestro caso, como ejemplo, vamos a ver el proceso para registrar una aplicación del tipo Aplicación Web.

AD13
En la siguiente ventana nos pedirá que introduzcamos la URL y la URI de la aplicación.

AD14

Pulsamos en el check y ya tenemos la aplicación registrada. Se nos abrirá el apartado de gestión de la aplicación.

 

Ya tenemos la aplicación registrada. Desde este panel podemos realizar diversas opciones de configuración para la aplicación, como extraer las claves de la aplicación, los permisos para otras aplicaciones, gestionar los usuarios y muchas más.

Una vez ya tenemos nuestra aplicación registrada, podemos empezar a desarrollar el código de comunicación con AD utilizando alguno de los diversos protocolos soportados o a través de Graph API.

Para más información sobre el directorio activo puedes acceder a la página de Azure.

 

Beatriz García Roces

Technical Evangelist Intern

@BeRoces