Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las aplicaciones pueden usar la biblioteca de identidades de Azure para autenticarse en Microsoft Entra ID, lo que permite que las aplicaciones accedan a servicios y recursos de Azure. Este requisito de autenticación se aplica si la aplicación se implementa en Azure, hospedado localmente o si se ejecuta localmente en una estación de trabajo de desarrollador. En las secciones anteriores se describen los enfoques recomendados para autenticar una aplicación en Microsoft Entra ID en distintos entornos al usar las bibliotecas cliente de SDK de Azure.
Enfoque recomendado para la autenticación de aplicaciones
La autenticación basada en tokens a través de Microsoft Entra ID es el enfoque recomendado para autenticar aplicaciones en Azure, en lugar de usar cadenas de conexión o opciones basadas en claves. La biblioteca Azure Identity proporciona clases que admiten la autenticación basada en tokens y permiten a las aplicaciones autenticarse en recursos Azure si la aplicación se ejecuta localmente, en Azure o en un servidor local.
Ventajas de la autenticación basadas en token
La autenticación basada en tokens ofrece las siguientes ventajas sobre las cadenas de conexión:
- La autenticación basada en tokens garantiza que solo las aplicaciones específicas destinadas a acceder al recurso de Azure puedan hacerlo, mientras que cualquiera o cualquier aplicación con un cadena de conexión puede conectarse a un recurso de Azure.
- La autenticación con tokens permite limitar aún más el acceso a los recursos de Azure a solo los permisos específicos que la aplicación necesite. Este enfoque sigue el principio de privilegios mínimos. Por el contrario, un cadena de conexión concede derechos completos al recurso de Azure.
- Al usar una identidad administrada para la autenticación basada en tokens, Azure controla las funciones administrativas automáticamente, por lo que no tiene que preocuparse por tareas como proteger o rotar secretos. Esto hace que la aplicación sea más segura porque no hay ningún secreto de la aplicación ni cadena de conexión que se pueda poner en peligro.
- La biblioteca Azure Identity adquiere y administra Microsoft Entra tokens por usted.
El uso de cadenas de conexión debe limitarse a escenarios en los que la autenticación basada en tokens no es una opción, aplicaciones de prueba de concepto iniciales o prototipos de desarrollo que no tienen acceso a datos confidenciales o de producción. Cuando sea posible, use las clases de autenticación basadas en tokens disponibles en la biblioteca de identidades de Azure para autenticarse en Azure recursos.
Autenticación en distintos entornos
El tipo específico de autenticación basada en tokens que una aplicación debe usar para autenticarse en Azure recursos depende de dónde se ejecute la aplicación. En el diagrama siguiente se proporcionan instrucciones para distintos escenarios y entornos:
Un diagrama mostrando las estrategias de autenticación basadas en tokens para una aplicación dependiendo de dónde se está ejecutando.
Cuando una aplicación:
- Hosted en Azure: La aplicación debe autenticarse en los recursos de Azure mediante una identidad administrada. Esta opción se describe con más detalle en autenticación en entornos de servidor.
- Ejecutando durante el desarrollo localmente: La aplicación puede autenticarse en Azure mediante una cuenta de desarrollador, un broker o un principal del servicio. Cada opción se describe con más detalle en autenticación en el contexto del desarrollo local.
- Hospedado en las instalaciones: la aplicación debe autenticarse en los recursos de Azure mediante una entidad de servicio de aplicación o una identidad administrada en el caso de Azure Arc. Los flujos de trabajo en sitio se describen con más detalle en Autenticación para aplicaciones hospedadas en las instalaciones.
Autenticación para aplicaciones hospedadas Azure
Cuando la aplicación se hospeda en Azure, puede usar identidades administradas para autenticarse en Azure recursos sin necesidad de administrar credenciales. Hay dos tipos de identidades administradas: asignadas por el usuario y asignadas por el sistema.
Uso de una identidad administrada asignada por el usuario
Se crea una identidad administrada asignada por el usuario como un recurso de Azure independiente. Se puede asignar a uno o varios recursos de Azure, lo que permite que esos recursos compartan la misma identidad y permisos. Para autenticarse mediante una identidad administrada asignada por el usuario, cree la identidad, asígnela al recurso de Azure y, a continuación, configure la aplicación para que use esta identidad para la autenticación especificando su identificador de cliente, identificador de recurso o identificador de objeto.
Autenticación mediante una identidad administrada asignada por el usuario
Usar una identidad administrada asignada por el sistema
Una identidad administrada asignada por el sistema se habilita directamente en un recurso Azure. La identidad está vinculada al ciclo de vida de ese recurso y se elimina automáticamente cuando se elimina el recurso. Para autenticarse mediante una identidad administrada asignada por el sistema, habilite la identidad en el recurso de Azure y configure la aplicación para que use esta identidad para la autenticación.
Autenticación mediante una identidad administrada asignada por el sistema
Autenticación durante el desarrollo local
Durante el desarrollo local, puede autenticarse en los recursos de Azure mediante sus credenciales de desarrollador o un principal de servicio. Esto le permite probar la lógica de autenticación de la aplicación sin implementarla en Azure.
Uso de credenciales de desarrollador
Puede usar sus propias credenciales de Azure para autenticarse en recursos de Azure durante el desarrollo local. Normalmente, esto se hace mediante una herramienta de desarrollo, como CLI de Azure o Visual Studio Code, lo que puede proporcionar a la aplicación los tokens necesarios para acceder a los servicios de Azure. Este método es cómodo, pero solo debe usarse con fines de desarrollo.
Autenticación local mediante credenciales de desarrollador
Uso de un agente
La autenticación con intermediación recopila credenciales de usuario mediante el agente de autenticación del sistema para autenticar una aplicación. Un intermediario de autenticación del sistema se ejecuta en la máquina de un usuario y administra los procesos de autenticación y el mantenimiento de los tokens para todas las cuentas conectadas.
Autenticación local mediante un agente
Uso de una entidad de servicio
Una entidad de servicio se crea en un locatario de Microsoft Entra para representar una aplicación y se utiliza para autenticarse en los recursos de Azure. Puede configurar su aplicación para usar credenciales de entidad de servicio durante el desarrollo local. Este método es más seguro que usar credenciales de desarrollador y está más cerca de cómo se autenticará la aplicación en producción. Sin embargo, sigue siendo menos ideal que usar una identidad administrada debido a la necesidad de secretos.
Autenticación local con una entidad de servicio
Autenticación para aplicaciones hospedadas en el entorno local
En el caso de las aplicaciones hospedadas en el entorno local, puede usar una entidad de servicio para autenticarse en los recursos de Azure. Esto implica crear una entidad de servicio en Microsoft Entra ID, asignarle los permisos necesarios y configurar la aplicación para que use sus credenciales. Este método permite que la aplicación local acceda de forma segura a los servicios Azure.
Autenticación de la aplicación local mediante una entidad de servicio