Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Microsoft para
diseño de la identidad para las organizaciones que
usan plataformas y servicios en la nube de Microsoft
Introducción a la identidad
SaaS
PaaS de Azure IaaS de Azure
Software como servicio
Usar Azure Active Directory como proveedor de Identidad como servicio (IDaaS)
AD Azure es un proveedor líder de Identidad como
servicio (IDaaS) basada en la nube, que proporciona
una amplia gama de funcionalidades para las
organizaciones empresariales. Haga clic en cada
cuadro para obtener más información.
Azure Active Directory
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a
Agosto de 2016 ITSPdocs@microsoft.com.
Identidad de nube de Lo que los arquitectos de TI necesitan saber sobre el
Microsoft para
diseño de la identidad para las organizaciones que
usan plataformas y servicios en la nube de Microsoft
Con esta base, puede agregar otras aplicaciones a la nube de Microsoft y aplicar el
mismo conjunto de características de seguridad de identidad y autenticación para
acceder a estas aplicaciones. Por ejemplo, puede desarrollar nuevas aplicaciones de
línea de negocio (LOB) mediante las características nativas de la nube de Microsoft
Azure e integrar dichas aplicaciones con el inquilino de Azure AD. Incluye los
complementos de SharePoint personalizados.
SaaS
PaaS de Azure
Software como servicio
Su complemento de
SharePoint hospedado por
el proveedor
Office 365
Microsoft Intune
Su aplicación LOB
Windows 10
Su inquilino de Azure AD
Su inquilino de Azure AD
Su directorio local
Su centro de datos local
SaaS
Software como servicio
Office 365
Su inquilino de Azure AD
Con 6 millones de organizaciones que ya usan Azure AD, es muy probable A continuación se muestra un ejemplo de organización ficticia de Proseware.
que su organización asociada ya tenga un inquilino de Azure AD, lo que le
permitirá empezar a colaborar de forma instantánea. Si no es así, las
funcionalidades B2B de Azure AD le permitirá enviarles una invitación
automatizada para poner en funcionamiento Azure AD en cuestión de
PaaS de Azure
minutos.
SaaS
Software como servicio
Sitio web para Inquilino B2C
Relación de clientes de de Azure AD
colaboración B2B Proseware de Proseware
de Azure AD
Salesforce
Inquilino de Azure
Su inquilino de El inquilino de AD de Proseware
Azure AD Azure AD de su Clientes
asociado
Red virtual
Proxy de aplicación
Azure AD
Su aplicación LOB en
máquinas virtuales
Red de la
Conector Conector
organización
Servicios de dominio Azure AD
Aplicación Aplicación
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a
Agosto de 2016 ITSPdocs@microsoft.com.
Identidad de nube de Lo que los arquitectos de TI necesitan saber sobre el
Microsoft para
diseño de la identidad para las organizaciones que
usan plataformas y servicios en la nube de Microsoft
Con esta base, puede agregar otras aplicaciones a la nube de Microsoft y aplicar el
mismo conjunto de características de seguridad de identidad y autenticación para
acceder a estas aplicaciones. Por ejemplo, puede desarrollar nuevas aplicaciones de
línea de negocio (LOB) mediante las características nativas de la nube de Microsoft
Azure e integrar dichas aplicaciones con el inquilino de Azure AD. Incluye los
complementos de SharePoint personalizados.
SaaS
PaaS de Azure
Software como servicio
Su complemento de
SharePoint hospedado por
el proveedor
Office 365
Microsoft Intune
Su aplicación LOB
Windows 10
Su inquilino de Azure AD
Su inquilino de Azure AD
Su directorio local
Su centro de datos local
SaaS
Software como servicio
Office 365
Su inquilino de Azure AD
Con 6 millones de organizaciones que ya usan Azure AD, es muy probable A continuación se muestra un ejemplo de organización ficticia de Proseware.
que su organización asociada ya tenga un inquilino de Azure AD, lo que le
permitirá empezar a colaborar de forma instantánea. Si no es así, las
funcionalidades B2B de Azure AD le permitirá enviarles una invitación
automatizada para poner en funcionamiento Azure AD en cuestión de
PaaS de Azure
minutos.
SaaS
Software como servicio
Sitio web para Inquilino B2C
Relación de clientes de de Azure AD
colaboración B2B Proseware de Proseware
de Azure AD
Salesforce
Inquilino de Azure
Su inquilino de El inquilino de AD de Proseware
Azure AD Azure AD de su Clientes
asociado
Red virtual
Proxy de aplicación
Azure AD
Su aplicación LOB en
máquinas virtuales
Red de la
Conector Conector
organización
Servicios de dominio Azure AD
Aplicación Aplicación
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a
Agosto de 2016 ITSPdocs@microsoft.com.
Identidad de nube de Lo que los arquitectos de TI necesitan saber sobre el
Microsoft para
diseño de la identidad para las organizaciones que
usan plataformas y servicios en la nube de Microsoft
Proporciona opciones de identidad basada en la nube para las No se recomienda el uso de cuentas solo en la nube para organizaciones de
aplicaciones PaaS e IaaS de Azure. escala empresarial, salvo que no se use Windows Server AD localmente.
Su centro de datos en la nube privado o local Su centro de datos en la nube privado o local
Esta es la opción más simple, además de la recomendada para la mayoría de La federación ofrece funcionalidades empresariales adicionales. También es
las organizaciones empresariales. más compleja y presenta más dependencias para acceder a los servicios en la
Las cuentas de usuario se sincronizan desde el directorio local con el nube.
inquilino de Azure AD. El directorio local sigue siendo el origen de Toda la autenticación en Azure AD se realiza en el directorio local a través
autoridad de las cuentas. de los Servicios de federación de Active Directory (AD FS) u otro proveedor
Azure AD lleva a cabo la autenticación de los servicios y aplicaciones de identidades federado.
basados en la nube. Funciona con proveedores de identidades que no son de Microsoft.
Admite la sincronización de varios bosques. La sincronización de hash de contraseña agrega la capacidad de actuar
como una copia de seguridad de inicio de sesión para el inicio de sesión
Sincronización de contraseñas federado (si se produce un error en la solución de federación).
Los usuarios escriben la misma contraseña para los servicios en la nube
y locales. Use la federación si:
Las contraseñas de usuario nunca se envían a Azure AD. En su lugar, se Ya se ha implementado AD FS.
sincroniza un hash de cada contraseña. No es posible descifrar o aplicar Usa un proveedor de identidades de terceros.
ingeniería inversa a un hash de una contraseña ni obtener la contraseña Tiene una tarjeta inteligente integrada local u otra solución MFA.
propiamente. Requiere la auditoría de inicio de sesión o la deshabilitación de cuentas.
Autenticación multifactor (MFA)
Cumple con el Estándar federal de procesamiento de información (FIPS).
Puede aprovechar las características básicas de MFA que se ofrecen con La autenticación federada requiere una mayor inversión en
Office 365. la infraestructura local.
Las aplicaciones de Azure pueden aprovechar el servicio Azure Multi- Los servidores locales deben ser accesibles desde Internet a través de un
Factor Authentication. firewall corporativo. Microsoft recomienda el uso de servidores proxy de
La sincronización de directorios no proporciona integración con federación implementados en una red perimetral o subred filtrada.
soluciones MFA locales. Requiere hardware, licencias y operaciones para servidores de AD FS,
servidores proxy de AD FS o servidores proxy de aplicación web, firewalls
Azure AD Connect en el entorno de desarrollo y prueba de y equilibradores de carga.
Office 365 La disponibilidad y el rendimiento son importantes para garantizar que los
usuarios puedan acceder a Office 365 y otras aplicaciones en la nube.
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a
Agosto de 2016 ITSPdocs@microsoft.com.
Identidad de nube de Lo que los arquitectos de TI necesitan saber sobre el
diseño de la identidad para las organizaciones que
Microsoft para usan plataformas y servicios en la nube de Microsoft
Mayor disponibilidad
Azure AD
Si todavía no ha implementado AD FS local, tenga en cuenta si las ventajas
de implementar esta carga de trabajo en Azure valen la pena para su Conexión directa para Solo conexión
organización. autenticación con proxy saliente
Proporciona autonomía para la autenticación en servicios en la nube (sin Red local IaaS de Azure
dependencias locales).
Reduce los servidores y las herramientas hospedados localmente.
Usa una puerta de enlace de VPN de sitio a sitio en un clúster de
LB
conmutación por error de dos nodos para conectarse a Azure (nuevo).
Usa ACL para asegurarse de que los servidores proxy de aplicación web Servidores
proxy de
solo pueden comunicarse con AD FS, no con controladores de dominio Nodo 2 de aplicación web
u otros servidores directamente. VPN
de sitio a
sitio
Esta solución funciona con: LB
Aplicaciones que requieren Kerberos Servidores de
Todos los servicios SaaS de Microsoft Nodo 1 de
AD FS
Aplicaciones de Azure accesibles desde Internet VPN
Controladores de dominio de sitio a Controladores de Herramienta
Aplicaciones IaaS o PaaS de Azure que requieren autenticación en el sitio dominio AD
entorno Windows Server AD de su organización Replicación
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a
Agosto de 2016 ITSPdocs@microsoft.com.
Identidad de nube de Lo que los arquitectos de TI necesitan saber sobre el
diseño de la identidad para las organizaciones que
Microsoft para usan plataformas y servicios en la nube de Microsoft
Servicios de
Azure AD dominio Implementación híbrida de
Windows Server AD
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a
Agosto de 2016 ITSPdocs@microsoft.com.