Diseño de arquitectura de identidad

Las arquitecturas de administración de identidad y acceso (IAM) proporcionan marcos para proteger los datos y recursos. Las redes internas establecen límites de seguridad en sistemas locales. En entornos de nube, los firewalls y las redes perimetrales no son suficientes para administrar el acceso a aplicaciones y datos. En su lugar, los sistemas de nube pública se basan en soluciones de identidad para la seguridad en los límites.

Una solución de identidad controla el acceso a las aplicaciones y los datos de una organización. Los usuarios, dispositivos y aplicaciones tienen identidades. Los componentes de IAM admiten la autenticación y autorización de estas y otras identidades. El proceso de autenticación controla quién o qué usa una cuenta. La autorización controla lo que ese usuario puede hacer en las aplicaciones.

Tanto si está empezando a evaluar soluciones de identidad como si quiere expandir la implementación actual, Azure ofrece muchas opciones. Un ejemplo es Microsoft Entra ID, un servicio en la nube que proporciona funcionalidades de administración de identidades y control de acceso. Para decidir sobre una solución, empiece por obtener información acerca de este servicio y otros componentes, herramientas y arquitecturas de referencia de Azure.

Introducción a la identidad en Azure

Si no está familiarizado con IAM, el mejor lugar para empezar es Microsoft Learn. Esta plataforma en línea gratuita ofrece vídeos, tutoriales y aprendizaje práctico para distintos productos y servicios.

Los siguientes recursos pueden ayudarle a aprender los conceptos básicos de IAM.

Rutas de aprendizaje

• Microsoft Security, Compliance, and Identity Fundamentals: descripción de las funcionalidades de las soluciones para la administración de la identidad y el acceso de Microsoft
• Implementación de la identidad de Microsoft: asociación
• SC-300: Implementación de una solución de administración de identidades
• MS-500, parte 1: Implementación y administración de la identidad y el acceso

Módulos

• Descripción de los conceptos de identidad
• Exploración de la plataforma de identidad de Microsoft

Ruta hacia la producción

Después de haber abordado los aspectos básicos de la administración de identidades, el siguiente paso es desarrollar la solución.

Diseño

A fin de explorar opciones para las soluciones de identidad, consulte estos recursos:

• Para obtener una comparación de tres servicios que proporcionan acceso a una identidad central, consulte Comparación de Active Directory Domain Services, Microsoft Entra ID y Microsoft Entra Domain Services administrado.

• Para obtener información sobre cómo hacer que IAM sea resistente, consulte Resistencia de la administración de identidad y acceso con Microsoft Entra ID.

• A fin de comparar opciones para reducir la latencia al integrarse con una red de Azure, consulte Integración de AD local en Azure.

• Para obtener información sobre cómo asociar ofertas de facturación a un inquilino de Microsoft Entra, consulte Ofertas de facturación de Azure e inquilinos de Active Directory.

• A fin de evaluar opciones para una identidad y una base de acceso, consulte Área de diseño de la administración de identidades y acceso de Azure.

• Para explorar formas de organizar los recursos que se implementan en la nube, consulte Organización de recursos.

• Para ver una comparación de diversas opciones de autenticación, consulte Selección del método de autenticación adecuado para la solución de identidad híbrida de Microsoft Entra.

• Para obtener una solución de identidad híbrida completa, consulte Cómo proporciona Microsoft Entra ID administración regulada por la nube para cargas de trabajo locales.

• Para obtener información sobre cómo Microsoft Entra Connect integra directorios locales con Microsoft Entra ID, consulte ¿Qué es Microsoft Entra Connect?

Implementación

Cuando se haya decidido por un enfoque, la implementación será el siguiente paso. Para obtener recomendaciones de implementación, consulte estos recursos:

• A fin de ver una serie de artículos y ejemplos de código para una solución multiinquilino, consulte Administración de identidades en aplicaciones multiinquilino.

• Para obtener información sobre la implementación de Microsoft Entra ID, consulte estos recursos:

  • Guía de implementación de características de Microsoft Entra
  • Planes de implementación de Microsoft Entra
  • Planes de implementación de Azure Active Directory B2C

• Para obtener información sobre cómo usar Microsoft Entra ID para proteger una aplicación de página única, consulte los tutoriales en Registro de una aplicación de página única con la plataforma de identidad de Microsoft.

procedimientos recomendados

• Con funcionalidades como la automatización, el autoservicio y el inicio de sesión único, Microsoft Entra ID puede aumentar la productividad. Para obtener información general sobre cómo beneficiarse de este servicio, consulte Cuatro pasos para establecer las bases de una identidad segura con Microsoft Entra ID.

• Para comprobar si la implementación de Microsoft Entra se alinea con la versión 2.0 de Azure Security Benchmark, consulte Línea de base de seguridad de Azure para Microsoft Entra ID.

• Algunas soluciones usan puntos de conexión privados en los inquilinos para conectarse a los servicios de Azure. A fin de ver las directrices para incidencias de seguridad en relación con los puntos de conexión privados, consulte Limitación de las conexiones de punto de conexión privado entre inquilinos en Azure.

• Para obtener recomendaciones para los escenarios siguientes, consulte Integración de dominios de AD locales con Microsoft Entra ID:

  • Concesión de acceso a su instancia de Azure Web Apps a los usuarios remotos de su organización
  • Implementación de funcionalidades de autoservicio para los usuarios finales
  • Uso de una red local y una red virtual que no están conectadas mediante un túnel de red privada virtual (VPN) o un circuito ExpressRoute

• Para obtener información general e instrucciones sobre cómo migrar aplicaciones a Microsoft Entra ID, consulte estos artículos:

  • Trasladar la autenticación de aplicación al identificador de Microsoft Entra ID
  • Migración de la autenticación de la aplicación a Microsoft Entra ID
  • Revisión del informe de actividad de la aplicación
  • Recursos para migrar aplicaciones a Microsoft Entra ID

Conjunto de implementaciones de base de referencia

Estas arquitecturas de referencia proporcionan implementaciones de línea base para diversos escenarios:

• Creación de un bosque de recursos AD DS en Azure
• Implementación de AD DS en una red virtual de Azure
• Extensión de AD FS local a Azure

Mantenerse al día con la identidad

Microsoft Entra ID recibe mejoras de forma continua.

• Para mantenerse al tanto de los desarrollos recientes, consulte Novedades de Microsoft Entra ID.
• Para ver una hoja de ruta que muestre nuevas características y servicios clave, consulte Actualizaciones de Azure.

Recursos adicionales

Los siguientes recursos proporcionan recomendaciones prácticas e información para escenarios específicos.

Identificador de Microsoft Entra ID en entornos educativos

• Introducción a los inquilinos de Microsoft Entra
• Diseño de una arquitectura de varios directorios para instituciones grandes
• Diseño de la configuración de inquilino
• Diseño de estrategias de credenciales y autenticación
• Diseño de una estrategia de cuentas
• Diseño de gobernanza de identidad
• Guía actualizada para la implementación de Microsoft 365 EDU durante la COVID-19

Información para profesionales de Amazon Web Services (AWS) y Google Cloud

• Seguridad e identidad multinube con Azure y Amazon Web Services (AWS)
• Administración de identidades y acceso de Microsoft Entra para AWS
• Comparación entre servicios de Google Cloud y Azure: seguridad e identidad