circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Autenticación basada en certificados para Entra ID

La autenticación basada en certificados ofrece una sólida alternativa de seguridad para acceder a recursos de Entra ID. Este artículo proporciona una guía paso a paso sobre cómo configurar este método, utilizando SCEPman como la autoridad certificadora para agilizar la gestión de certificados.

hashtag
Habilitar SCEPman CRL

Habilitar CRLchevron-right

Entra ID requerirá una CRL para validar los certificados. Asegúrate de establecer las siguientes variables de entorno en tu servicio de aplicación para que la CRL esté disponible:

AppConfig:CRL:RequestTokenarrow-up-right

Establézcalo en una cadena personalizada que se utilizará en la URL para permitir que se descargue la CRL.

AppConfig:CRL:Sourcearrow-up-right

Esta es la fuente a partir de la cual SCEPman genera la CRL. Asegúrate de que esto esté establecido en Storage

hashtag
Configurar Entra ID

1

hashtag
Crear PKI en Entra Security Center

En Entra ID, navega a Protección > Centro de seguridad > Infraestructura de clave públicaarrow-up-right, haz clic en Crear PKI y selecciona un nombre para mostrar coincidente.

2

hashtag
Agregar Autoridad de Certificación

Navega hasta la PKI recién creada y haz clic en Agregar autoridad certificadora para cargar el certificado de la CA de tu instancia de SCEPman. Este certificado se puede obtener en su página de inicio, en el menú del lado derecho (Obtener certificado de CA).

Para la URL de la lista de revocación de certificados puedes introducir la URL en el siguiente formato:

https://scepman.contoso.com/crl/pem/{YourCrlRequestToken}
circle-exclamation

Asegúrate de incluir la /pem/ ruta en tu URL, ya que Entra podría tener problemas de compatibilidad al usar el formato DER predeterminado.

Ahora deberías tener una autoridad certificadora similar a la siguiente:

3

hashtag
Habilitar CBA en Métodos de autenticación

Con la CA en su lugar, podemos continuar y habilitar la autenticación basada en certificados en Protección > Métodos de autenticación > Políticasarrow-up-right

Ve a la autenticación basada en certificados política, actívala y permite que todos los usuarios o grupos específicos usen este método:

4

hashtag
Configurar la autenticación basada en certificados

Cambia a la pestaña Configurar y revisa las opciones:

Requerir validación de CRL: ✅

Esta es una parte esencial de la seguridad que ofrece este método, ya que la CRL indicará a Entra ID qué certificados han sido revocados y, por lo tanto, no se permitirá su autenticación.

Sugerencias del emisor : ✅

Al habilitar las sugerencias del emisor, solo se mostrarán durante la autenticación los certificados emitidos por la CA configurada.

Deja la configuración predeterminada para el enlace de autenticación y continúa creando una regla para permitir la autoridad certificadora creada anteriormente:

Fortaleza de autenticación:

Esto define el peso de la autenticación mediante esta CA. Si seleccionas autenticación de factor único, es posible que se necesite otro método de autenticación dependiendo de la aplicación a la que se acceda.

Enlace de afinidad:

El enlace de afinidad define los detalles requeridos en el certificado, que deben coincidir con los datos correspondientes en el objeto de usuario para que se permita la autenticación. Como actualmente SCEPman no puede agregar ninguna información del certificado en el objeto de usuario, recomendamos establecer esto en Low a menos que configures la información requerida manualmente.

circle-exclamation

La configuración de la fortaleza de autenticación y del enlace de afinidad depende en gran medida del caso de uso específico y del tipo de cuentas que quieras proteger con este método de autenticación. En caso de que quieras proteger usuarios con altos privilegios, deberías considerar agregar manualmente la información del certificado en sus cuentas de usuario para una alta afinidad.

hashtag
Uso

Con la configuración establecida, un usuario puede seleccionar Usar un certificado o tarjeta inteligente:

Lo que a su vez solicitará el certificado que se utilizará para la autenticación.

hashtag
Agregar manualmente la asignación de certificados para un enlace de alta afinidad

En caso de que quieras habilitar CBA solo usando enlace de alta afinidad, puedes introducir manualmente los detalles del certificado en la información autorizada del usuario.

Navega hasta las propiedades de los usuarios en Entra ID, edítalas y ahora edita los ID de usuario de certificado:

El formato requerido de estos ID depende de los campos que se hayan configurado en el enlace de usuario de los métodos de autenticación. Se puede encontrar una lista de formatos en el correspondiente documentación de Microsoftarrow-up-right.

Ejemplo para el SHA1PublicKey enlace:

Esto utiliza la huella digital del certificado para asignar fuertemente la identidad del usuario.

Última actualización

¿Te fue útil?