Glosario de Directorio Activo Azure


Cada subscripcion de Azure tiene Azure AD.

Usuario

Hay 4 tipos de usuarios: Del mismo AD, con cuenta Microsoft, de otro AD o invitado (Sharepoint…).
En el siguiente enlace tenemos la vista de nuestro usuario; donde podemos ver nuestro perfil y modificar nuestras aplicaciones. Tendremos más opciones si nuestro usuario pertenece a un Azure AD.

Aplicación

Cualquier usuario no invitado del AD puede registrar una aplicación. Las aplicaciones pueden ser:

  • Nuestras: Creadas en nuestro AD . Esta aplicación (Aplication Object) se muestra como Service Principal en múltiples ADs (incluido en nuestro AD cuando la usamos).
  • Usamos: Incluye ademas de las nuestras otras creadas en otros AD. Es decir, usamos aplicaciones externas ;-). La aplicación de otro AD; aparece como un Service Principal en nuestro AD.

Características de la Aplicación Global

  • Identificador: Guid que identifica la aplicación.
  • Tipo de aplicación
    • Web Aplication/Web Api:
      • Application ID URI: URL que identifica la aplicación.
      • Reply Url: URL que indica donde se envia la respuesta cuando el usuario de AD se autentica.
    • Nativa: aplicaciones desktop, jobs… En este caso solo solicita la Reply Url.
  • Key: Se requiere para el proceso de autenticación.
  • Permisos necesarios de la aplicación:
    Requerir permisos para acceder a determinados servicios del Azure AD que son necesarios para la aplicación. Esta parte solo la pueden configurar administradores. A los usuarios se les pedirá el consentimiento para usar estos derechos la primera vez que se conecten (aunque es posible que un usuario administrador del consentimiento para todos los usuarios del AD).
    Los servicios que se puede acceder son:

    • Microsoft Graph: API permite trabajar con los elementos del AD (usuarios, grupos…). La documentación de sus permisos.
    • Office 365 Management API
    • Windows Azure Active Directory
    • Windows Azure Service Management API: API que permite trabajar con recursos de azure (Maquinas Virtuales, SQL Azure…).

    Hay dos clases:

    • De Aplicación (disponible sólo en Web Application/Web Api): no requiere de un usuario; utiliza una secret key.
    • Delegados: requiere de un usuario.
  • Acceso a las Aplicación
    • Las aplicaciones por defecto pueden ser accedidas por todos los usuarios de nuestro AD. Podemos restringir el acceso, requiriendo la User Assignment Required to Access App en la configuración de la aplicación. Y asignando en la aplicación los usuarios o grupo (el grupo sólo AD Premium).
    • Las aplicaciones no pueden ser accedidas por usuarios de otros AD; podemos activar Aplication is MultiTenant (MultiEmpresa) en la configuración de la aplicación para permitirlo.
      NOTA: La aplicación Multitenant para eliminarla del AD; debemos pasarla a SingleTenant y luego borrarla ;-).
    • Las aplicaciones nativas son siempre Multitenant; es decir accesibles por otros AD, no es posible restringir a nuestro AD.

Escenarios de Autenticación

En este enlace se describen los escenarios de uso de autenticación contra un Azure AD. Usar las librerías 🙂

Proceso de Autenticación de Usuario de una Aplicación en AAD

  • 1.- Se crea la aplicación en un dominio.
    applicationcreation
  • 2.- Cuando el usuario se autentica contra la aplicación la primera vez; se le solicitan los derechos que requiere la aplicación.
    aplicacionrequierederechos
  • 3.- Cuando el usuario concede los derechos a la aplicación; se la crea un registro en el dominio del usuario con la información de la aplicación y se registra allí los accesos que se producen a la misma.
    aplicacionregistrada

NOTA:

Que ocurre internamente cuando el Usuario se autentica la primera vez

La aplicación cuando se registra:

  • Crea un registro de la misma en el Azure AD del usuario se autentico. Si cambiáramos configuración de la aplicación (derechos, url…) deberíamos eliminar dicho registro.
    aplicacionregistrada
  • vistausuarioderechosaplicacionRegistra los permisos concedidos por el usuario a la aplicación. Desde el portal de Azure no podemos ver por el momento esta asignación de permisos por el usuario; pero en la vista de nuestro usuario también vemos los derechos que hemos concedido a la aplicación. Podríamos revocar el acceso de la aplicación a derechos concedidos; eliminándola.
Anuncios
Esta entrada fue publicada en Azure, Seguridad. Guarda el enlace permanente.

2 respuestas a Glosario de Directorio Activo Azure

  1. Pingback: Graph Api y Autenticación | Pensando bajo la lluvia

  2. Pingback: Azure Key Vault | Pensando bajo la lluvia

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s