circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Autenticación basada en certificados para Entra ID

La autenticación basada en certificados ofrece una alternativa de seguridad sólida para acceder a los recursos de Entra ID. Este artículo proporciona una guía paso a paso sobre cómo configurar este método, utilizando SCEPman como la Autoridad de Certificación para simplificar la gestión de certificados.

hashtag
Habilitar CRL de SCEPman

Habilitar CRLchevron-right

Entra ID requerirá una CRL para validar los certificados. Asegúrate de establecer las siguientes variables de entorno en tu servicio de aplicación para que la CRL esté disponible:

AppConfig:CRL:RequestTokenarrow-up-right

Establece esto en una cadena personalizada que se utilizará en la URL para permitir la descarga de la CRL.

AppConfig:CRL:Sourcearrow-up-right

Esta es la fuente desde la que SCEPman construye la CRL. Asegúrate de que esto esté configurado en Almacenamiento

hashtag
Configurar Entra ID

1

hashtag
Crear PKI en Entra Security Center

En Entra ID, navega a Protección > Centro de seguridad > Infraestructura de clave públicaarrow-up-right, haz clic en Crear PKI y selecciona un nombre para mostrar que coincida.

2

hashtag
Agregar Autoridad de Certificación

Navega a la PKI recién creada y haz clic en Agregar autoridad de certificación para subir el certificado de la CA de tu instancia de SCEPman. Este certificado se puede obtener desde su página principal en el menú del lado derecho (Obtener certificado CA).

Para la URL de la lista de revocación de certificados puedes introducir la URL en el siguiente formato:

https://scepman.contoso.com/crl/pem/{YourCrlRequestToken}
circle-exclamation

Asegúrate de incluir la /pem/ ruta en tu URL, ya que Entra podría tener problemas de compatibilidad al usar el formato DER por defecto.

Esto debería dejarte ahora con una autoridad de certificación similar a la siguiente:

3

hashtag
Habilitar CBA en Métodos de autenticación

Con la CA en su lugar, podemos continuar y habilitar la autenticación basada en certificados en Protección > Métodos de autenticación > Políticasarrow-up-right

Ve a la política de autenticación basada en certificados habilítala y permite que todos los usuarios o grupos específicos usen este método:

4

hashtag
Configurar autenticación basada en certificados

Cambia a la Configurar pestaña y revisa las opciones:

Requerir validación de CRL: ✅

Esta es una parte esencial de la seguridad que proporciona este método, ya que la CRL indicará a Entra ID qué certificados han sido revocados y, por lo tanto, no deberán permitirse para la autenticación.

Sugerencias del emisor : ✅

Habilitar las sugerencias del emisor solo mostrará certificados durante la autenticación que hayan sido emitidos por la CA configurada.

Deja los ajustes predeterminados para el enlace de autenticación y continúa para crear una regla que permita la autoridad de certificación creada anteriormente:

Fuerza de autenticación:

Esto define el peso de la autenticación usando esta CA. Si seleccionas Autenticación de un solo factor, otro método de autenticación podría ser necesario dependiendo de la aplicación a la que se acceda.

Vinculación de afinidad:

La vinculación de afinidad define los detalles requeridos en el certificado, que deben coincidir con los datos correlacionados en el objeto de usuario, para que se permita la autenticación. Como SCEPman actualmente no puede agregar información del certificado en el objeto de usuario, recomendamos establecer esto en Bajo a menos que configures la información requerida manualmente.

circle-exclamation

La configuración de la fuerza de autenticación y de la vinculación de afinidad depende en gran medida del caso de uso específico y del tipo de cuentas que desees proteger con este método de autenticación. En caso de que desees proteger usuarios con privilegios elevados, deberías considerar agregar manualmente la información del certificado en sus cuentas de usuario para una afinidad alta.

hashtag
Uso

Con la configuración en su lugar, un usuario puede seleccionar Usar un certificado o tarjeta inteligente:

Lo cual a su vez solicitará el certificado que se utilizará para la autenticación.

hashtag
Agregar manualmente el mapeo de certificados para vinculación de alta afinidad

En caso de que quieras habilitar CBA usando únicamente la vinculación de alta afinidad, puedes ingresar manualmente los detalles de los certificados en la información autorizada del usuario.

Navega a las propiedades del usuario en Entra ID, edítalas y ahora edita los Identificadores de usuario de certificados:

El formato requerido de estos ID depende de los campos que se hayan configurado en el enlace de usuario de los métodos de autenticación. Una lista de formatos se puede encontrar en el correspondiente documentación de Microsoftarrow-up-right.

Ejemplo para la SHA1PublicKey vinculación:

Esto utiliza la huella (thumbprint) del certificado para mapear de forma firme la identidad del usuario.

Última actualización

¿Te fue útil?