¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Microsoft Azure
  3. Azure Active Directory
Extrait - Microsoft Azure Gestione su Sistema de Información en la Nube
Extractos del libro
Microsoft Azure Gestione su Sistema de Información en la Nube
1 opinión
Volver a la página de compra del libro

Azure Active Directory

Introducción

Azure Active Directory (Azure AD o AAD) es un servicio simplificado de gestión de directorios empresariales alojado en la nube de Microsoft. Se pueden crear o replicar usuarios y grupos, pero no es posible la gestión de un objeto de política de grupo o de una unidad organizativa. Una ventaja importante es que el empleado podrá autenticarse en los portales de Azure (o en Azure PowerShell/CLI) con su cuenta de usuario de dominio y su contraseña asociada. Además, una empresa puede proporcionar a sus socios y clientes un acceso controlado a los recursos de su sistema de información.

Los servicios en la nube de Microsoft disponibles en Internet (Office 365, Microsoft Azure, Dynamics, etc.) basan su autenticación en una cuenta AAD.

Permiten a los empleados de una empresa conectarse y acceder a recursos tales como las aplicaciones SaaS, pero también a recursos internos, como las aplicaciones ubicadas en la red e intranet de su empresa.

Cada nueva suscripción proporciona un AAD dedicado, denominado directorio predefinido. Se crea siguiendo la lógica: suemaildesuscripción.onmicrosoft.com. Así, si crea una suscripción con un correo electrónico eni.es@hotmail.es, el directorio creado automáticamente será enieshotmail.onmicrosoft.com.

Este directorio puede albergar cuentas de Microsoft cuando se crea la suscripción, así...

Usuario

Un usuario alojado en el AAD puede definirse de tres formas:

  • Sincronizar: usuario replicado desde su propio Directorio Activo On-Premise en el AAD.

  • Miembro: usuario creado en su directorio AAD. Suele ser del tipo usuario@suinquilino.onmicrosoft.com si un dominio de terceros no ha sido aprobado.

  • Invitado: un usuario externo a su organización que el administrador de esta ha invitado a unirse a su directorio.

Así, se puede invitar a un usuario para que se convierta en miembro de nuestro directorio (los que no tienen una cuenta @enieshotmail.onmicrosoft.com en nuestro ejemplo). Este es el procedimiento:

 Haga clic en Usuarios (sección Administrar) en el panel de parámetros Azure Active Directory. Se muestra la lista de usuarios presentes en el dominio. 

images/cap09_img_03.png

 Haga clic en Nuevo usuario invitado. Escriba la dirección de correo electrónico de la cuenta de destino y luego haga clic en el botón Invitar. Se envía un correo electrónico al usuario invitado en el que se le ofrece unir su cuenta al directorio predefinido.

images/cap09_img_04.png

Si el correo electrónico especificado es un correo empresarial (por ejemplo, usuario@nombredesuempresa.com), el usuario puede iniciar de inmediato una sesión en el portal de Azure (https://portal.azure.com).

Si el correo electrónico es personal (@gmail.com, free.es, etc.), el usuario tendrá que convertir su dirección de correo electrónico...

Azure RBAC

Azure tiene varios roles incorporados entre los que puede elegir los niveles de acceso. Puede asignar estos roles a diferentes niveles: suscripción, grupo de recursos, recursos, etc. De forma predefinida, la persona que crea una suscripción a Azure puede dar a otros usuarios acceso administrativo a ella.

Es necesario conocer los tres roles más utilizados (propietario, colaborador y lector) para asignar el acceso a los recursos de Azure.

  • Propietario: otorga acceso total (edición, eliminación, creación) sobre los recursos en los que se encuentra, así como la posibilidad de asignar roles de Azure a otros usuarios.

  • Colaborador: concede acceso completo (edición, eliminación, creación) sobre los recursos en los que se encuentra, pero no la posibilidad de asignar roles de Azure a otros usuarios.

  • Lector: concede solo derechos de lectura sobre los recursos.

La lista de los roles integrados (built-in) está disponible en: https://docs.microsoft.com/es-es/azure/role-based-access-control/built-in-roles#owner

Para añadir al usuario previamente invitado como propietario de un grupo de recursos, siga estos pasos:

 Desde el portal de Azure, escriba suscripciones en el campo de búsqueda situado en la parte superior de la interfaz. Haga clic en su suscripción, luego en Grupos de recursos y, dentro de los grupos, en libroazure. Haga clic en Control de acceso (IAM), luego...

Grupo

Un usuario puede asignar un grupo a uno o más recursos de Azure, lo que permite que todos los usuarios del grupo tengan el mismo acceso. Un usuario ajeno a un grupo puede pedir acceso al propietario del grupo. Se le informa al usuario si la solicitud se aprueba o deniega.

Añadir un grupo se hace desde la misma interfaz que se utiliza para crear un usuario:

 Haga clic en el menú hamburguesa images/09EP06N.png, en el panel de acciones situado a la izquierda de la interfaz, y luego en Azure Active Directory. Haga luego clic en Grupos (sección Administrar) y luego en Nuevo grupo.

 En el campo Tipo de grupo, seleccione Seguridad. Escriba el nombre del grupo (gplibroazure), una breve descripción y su tipo de pertenencia entre las tres opciones propuestas:

  • Asignada: el grupo es asignado a un recurso por su propietario.

  • Dispositivo dinámico: regla creada para un dispositivo.

  • Usuario dinámico: regla asignada a un usuario según criterios, por ejemplo (user.department -eq "Ventas") -or (user.department -eq "Comerciales").

 Seleccione Asignada y luego haga clic en No hay miembros seleccionados. Escriba la dirección electrónica del usuario creado anteriormente o busque en la lista haciendo clic en ella y confirme con el botón Seleccionar.

images/cap09_img_06.png

 Haga clic en el botón Crear.

Tenant

Para explicar de forma sencilla qué es un inquilino (tenant), resumiremos los diferentes componentes relacionados con Azure. El control de acceso en Azure se considera en primer lugar desde la perspectiva de la facturación y los límites. El propietario actual de una suscripción es el administrador de la cuenta, y uno de sus derechos es la gestión de la facturación. Una suscripción permite tanto limitar la facturación como garantizar un límite de seguridad, ya que el administrador solo puede trabajar en una suscripción a la vez. Cada suscripción tiene una relación privilegiada con una instancia de Azure AD. Esto significa concretamente que la suscripción se basa en un directorio que autentica usuarios y servicios. Se pueden vincular varias suscripciones al mismo directorio de Azure AD, pero cada suscripción solo puede estar vinculada a un directorio.

En Azure AD, un cliente es un inquilino de su suscripción a Azure y representa a una empresa en su conjunto. Cuando una empresa se suscribe a una oferta de la nube de Microsoft, ya sea Office 365, Dynamics o Azure, se le asigna una instancia dedicada. Este inquilino almacena los objetos del sistema de información de la empresa, como grupos, usuarios y aplicaciones. Es independiente de los demás inquilinos de otras empresas.

La empresa también puede publicar su aplicación...

Ediciones

Azure Active Directory está disponible en cuatro ediciones, cada una de las cuales proporciona un conjunto de características para una organización en función de su tamaño y necesidades:

  • Gratuita: gestión de usuarios y grupos, sincronización con un dominio Active Directory On-Premise, SSO (Single Sign On) en aplicaciones SaaS de Microsoft y de otras empresas (Salesforce, Google Apps, Dropbox, etc.); MFA (Azure Multi-Factor Authentication) para una autenticación fuerte (combinación de contraseña y contraseña de uso único recibida a través de un SMS o de una App), destinada únicamente a las cuentas de administrador de la suscripción general. Incluye 500 000 objetos y 10 aplicaciones por usuario. Colaboración B2B y modificación de contraseña en autoservicio para cuentas en la nube.

Las tres ediciones siguientes solo están disponibles si la empresa tiene un contrato Enterprise o si es miembro del programa de licencias por volumen Open o Cloud Solution Provider:

  • Office365: gestión de cuentas en autoservicio (reinicio de contraseñas), publicación de aplicaciones web locales y la misma funcionalidad que la versión gratuita.

  • Premium P1: acceso entre aplicaciones, delegación de la administración, reinicio diferido de contraseñas, acceso condicional, Azure Information...

SLA

La arquitectura de replicación AAD implementada por Microsoft garantiza un SLA del 99,9 % para las tres últimas ediciones. Sin embargo, no se garantiza el uso completo del servicio, solo se tienen en cuenta la gestión de los objetos AAD (lectura, escritura, creación y eliminación) y las conexiones. Tenga presente que se emitirá una nota de crédito del 100 % si la disponibilidad mensual es inferior al 95 %. Esto demuestra la confianza que Microsoft tiene en su infraestructura Azure AD (compartida con Office 365).

La edición gratuita no tiene ningún acuerdo de compromiso de servicio.

Azure AD Connect

Azure AD Connect es un software gratuito proporcionado como descarga por Microsoft para permitir al administrador sincronizar objetos de su Active Directory local en Azure AD. Se instala en su dominio de Active Directory local, lo más cerca posible de un controlador de dominio, pero no en él. Con este programa, la autenticación en el portal de Azure o el uso de scripts (Azure PowerShell, Azure CLI) es posible con el nombre de usuario y la contraseña del dominio de Active Directory del empleado (cuenta profesional). El acceso a los servicios IaaS (por ejemplo, una máquina virtual de Windows Server 2019) o a un servicio PaaS (gestión de un blob en una cuenta de almacenamiento) también es posible a través de este tipo de cuenta.

Azure AD Connect incluye tres componentes:

  • El servicio de sincronización replica los usuarios y grupos en Azure AD.

  • Azure AD Connect Health garantiza la eficacia de las sincronizaciones y proporciona una bitácora de la actividad en caso de problemas.

  • AD FS es una función opcional que gestiona entornos híbridos, uso de tarjetas inteligentes, etc.

Azure AD Connect requiere el acceso a varios sitios, tales como mscrl.microsoft.com, *.verisign.com y *.entrust.com a través del puerto HTTP/80. La herramienta también utiliza el puerto HTTPS/443 para el tráfico saliente hacia *.windows.net, secure.aadcdn.microsoftonline-p.com y *.microsoftonline.com.

¿Cuáles son las diferencias entre instalar un controlador de dominio en Azure o en las instalaciones? Hay tres:

  • El direccionamiento estático del controlador de dominio en Azure se realiza desde el portal de Azure o a través de un lenguaje de script (Azure PowerShell...

Azure MFA

La autenticación es el paso que permite verificar la identidad de una entidad (persona, ordenador, etc.) para darle acceso a los recursos locales (archivos, aplicaciones, etc.) o a los recursos en la nube (Apps).

Tradicionalmente, un administrador se autentica en un recurso utilizando un nombre de usuario y su contraseña. Azure Multi-Factor Authentication (MFA) propone añadir una verificación adicional a través de un smartphone o un medio biométrico para validar el acceso a un recurso en la nube.

La fase de verificación implica un protocolo de autenticación. La autenticación simple se basa en un único elemento (por ejemplo, la contraseña) para autenticar a una persona.

La autenticación fuerte, por otro lado, se basa en al menos dos de estos factores: 

  • Lo que el usuario sabe (contraseña).

  • Lo que el usuario posee (smartphone).

  • Lo que el usuario es (su huella digital).

El servicio MFA admite tres tipos de verificación:

  • La recepción de un SMS que proporciona un código único.

  • Una llamada telefónica en la que una voz electrónica le pide que introduzca un código de seguridad.

  • El uso de una App llamada Microsoft Authenticator, descargable desde PlayStore, Apple Store, pero no a partir de Windows Store.

Puede utilizar la configuración de seguridad predefinida para habilitar la autenticación multifactor para todos...

Puntos clave para recordar

Hemos resumido los principales temas de este capítulo y los hemos ordenado alfabéticamente. De este modo, el lector puede utilizar este recordatorio como lista de control.

Azure Active Directory

  • Servicio simplificado de gestión de directorios empresariales alojado en la nube de Microsoft.

  • Servicios de Microsoft disponibles en Internet (Office 365, Microsoft Azure, etc.) o localmente, basando su autenticación en una cuenta Azure AD.

  • Cada nueva suscripción proporciona un AAD dedicado que se denomina, de forma predefinida, Directorio.

Azure AD Connect

  • Programa gratuito proporcionado como descarga por Microsoft que permite al administrador sincronizar objetos de su Directorio Activo local en Azure AD.

  • Se instala en un controlador de dominio.

  • Proporciona autenticación en portales web o en lenguajes de script (Azure PowerShell, Azure CLI) con el nombre de usuario y contraseña del dominio Active Directory del empleado (cuenta de trabajo).

MFA

  • Servicio basado en la autenticación fuerte en dos pasos, que funciona tanto en la red local como en Azure.

  • El servicio admite tres tipos de verificación: recibir un SMS, una llamada telefónica en la que una voz electrónica anuncia el código de seguridad o utilizar la aplicación Microsoft Authenticator para smartphones.

Tenant

  • Se pueden vincular varias suscripciones al mismo directorio de Azure AD, pero cada suscripción...