Introducción a las credenciales de identidad federada en Microsoft Entra ID

Espacio de nombres: microsoft.graph

Tradicionalmente, los desarrolladores usan certificados o secretos de cliente para las credenciales de su aplicación para autenticarse con los servicios y acceder a ellos en Microsoft Entra ID. Para acceder a los servicios en su Microsoft Entra inquilino, los desarrolladores han tenido que almacenar y administrar las credenciales de la aplicación fuera de Azure, introduciendo los siguientes cuellos de botella:

  • Una carga de mantenimiento para certificados y secretos.
  • El riesgo de fuga de secretos.
  • Certificados que expiran y interrupciones del servicio debido a una autenticación errónea.

Las credenciales de identidad federada son un nuevo tipo de credencial que permite la federación de identidades de carga de trabajo para cargas de trabajo de software. La federación de identidades de carga de trabajo permite acceder a Microsoft Entra recursos protegidos sin necesidad de administrar secretos (para escenarios admitidos).

¿Cómo funcionan las credenciales de identidad federada?

Cree una relación de confianza entre un proveedor de identidades externo (IdP) y una aplicación en Microsoft Entra ID mediante la configuración de una credencial de identidad federada. La credencial de identidad federada se usa para indicar qué token del IdP externo debe ser de confianza para la aplicación. Una vez creada esa relación de confianza, la carga de trabajo de software puede intercambiar tokens de confianza desde el proveedor de identidades externo por tokens de acceso de la Plataforma de identidad de Microsoft. Después, la carga de trabajo de software usa ese token de acceso para acceder a los recursos protegidos Microsoft Entra a los que se ha concedido acceso a la carga de trabajo. Esto elimina la carga de mantenimiento de la administración manual de credenciales y elimina el riesgo de pérdida de secretos o de que expiren los certificados. Para obtener más información y escenarios admitidos, consulte Federación de identidades de carga de trabajo.

Configuración de credenciales de identidad federada mediante Microsoft Graph

El recurso federatedIdentityCredential representa la configuración de una credencial de identidad federada a través de Microsoft Graph. Use la API Create federatedIdentityCredential para configurar el objeto. Las propiedades siguientes son los bloques de creación de credenciales de identidad federada:

  • audiences : la audiencia que puede aparecer en el token externo. Este campo es obligatorio y debe establecerse en api://AzureADTokenExchange para Microsoft Entra ID. Indica qué Plataforma de identidad de Microsoft debe aceptar en la aud notificación del token entrante. Este valor representa Microsoft Entra ID en el proveedor de identidades externo y no tiene ningún valor fijo entre los proveedores de identidades; es posible que tenga que crear un nuevo registro de aplicación en el IdP para que sirva como audiencia de este token.
  • issuer : dirección URL del proveedor de identidades externo. Debe coincidir con la notificación del emisor del token externo que se está intercambiando.
  • subject : el identificador de la carga de trabajo de software externo dentro del proveedor de identidades externo. Al igual que el valor de audiencia, no tiene ningún formato fijo, ya que cada IdP usa su propio guid, a veces un identificador delimitado por dos puntos y, a veces, cadenas arbitrarias. El valor aquí debe coincidir con la sub notificación dentro del token presentado a Microsoft Entra ID.
  • name : cadena única para identificar la credencial. Esta propiedad es una clave alternativa y el valor se puede usar para hacer referencia a la credencial de identidad federada mediante las operaciones GET y UPSERT .

La combinación del emisor y el asunto debe ser única en la aplicación. Cuando la carga de trabajo de software externo solicita Plataforma de identidad de Microsoft para intercambiar el token externo por un token de acceso, los valores de emisor y sujeto de la credencial de identidad federada se comprueban con las issuer notificaciones y subject proporcionadas en el token externo. Si se supera esa comprobación de validación, Plataforma de identidad de Microsoft emite un token de acceso a la carga de trabajo de software externo.

Consideraciones sobre diseño

Se pueden agregar un máximo de 20 credenciales de identidad federada por objeto de aplicación o identidad administrada asignada por el usuario.