Diseñar una solución para identidades externas

  • 13 minutos

Las organizaciones colaboran con frecuencia con asociados externos, clientes y otras partes que no tienen cuentas en el directorio de la organización. Como arquitecto de seguridad, diseña soluciones que permiten un acceso externo seguro al tiempo que mantienen la gobernanza y el control sobre los recursos de la organización. Microsoft Entra External ID es la solución principal para trabajar con personas ajenas a su organización.

Consideraciones de diseño para identidades externas

El diseño de identidad externa depende de varios factores clave que determinan el enfoque de solución adecuado:

Factor Impacto en el diseño
Tipo de relación Los asociados y proveedores suelen requerir la colaboración B2B en el inquilino de personal. Las aplicaciones de consumidor necesitan un inquilino externo independiente para la administración de identidades y acceso del cliente (CIAM).
Propiedad de la identidad Los usuarios externos deben traer sus propias identidades siempre que sea posible, lo que reduce la sobrecarga administrativa y elimina la administración de contraseñas para cuentas externas.
Configuración del inquilino Los inquilinos del personal hospedan a los empleados y a los invitados B2B juntos. Los inquilinos externos aíslan las identidades de los clientes por separado de los recursos de la organización.
Escalado y rendimiento La colaboración B2B se adapta a miles de socios. Los inquilinos externos escalan a millones de clientes con características de rendimiento mejoradas.
Requisitos de personalización de marca La colaboración B2B utiliza la imagen de marca de Microsoft de la organización de forma predeterminada. Los inquilinos externos admiten la completa personalización de marca neutra por aplicación.
Acceso a la aplicación Los invitados B2B pueden acceder a aplicaciones empresariales y de Microsoft 365. Los usuarios de inquilinos externos acceden solo a las aplicaciones registradas en ese inquilino, no a Microsoft 365 ni a otras aplicaciones SaaS de Microsoft.

ID externo de Microsoft Entra

Microsoft Entra External ID combina soluciones eficaces para trabajar con personas ajenas a su organización. Los usuarios pueden traer sus propias identidades, desde cuentas corporativas o emitidas por el gobierno hasta proveedores de identidades sociales como Google o Facebook.

El identificador externo aborda dos escenarios principales a través de diferentes configuraciones de inquilino:

Scenario Tipo de inquilino Caso de uso principal
Colaboración B2B Inquilino de recursos Asociados, proveedores y contratistas que acceden a las aplicaciones de Microsoft 365 de su organización, SharePoint, Teams y aplicaciones de línea de negocio
Identidad del cliente (CIAM) Inquilino externo Consumidores y clientes comerciales que acceden a aplicaciones personalizadas con experiencia de inicio de sesión exclusiva de la marca

Diagrama en el que se muestra una representación de los dos escenarios de Id. externa y el tipo de inquilino correspondiente. La colaboración con invitados empresariales usa una configuración de inquilino de recursos. Las aplicaciones orientadas externamente usan una configuración de inquilino externo.

Colaboración B2B en inquilinos de personal

La colaboración B2B permite a los empleados trabajar de forma segura con socios comerciales externos. Invita a los invitados a iniciar sesión en su organización de Microsoft Entra con sus propias credenciales, concediéndoles acceso a las aplicaciones y los recursos que elija compartir.

Con la colaboración B2B, el asociado usa su propia solución de administración de identidades. No gestiona cuentas externas, no sincroniza cuentas ni maneja restablecimientos de contraseña. Los usuarios invitados se autentican con su organización principal o proveedor de identidades, mientras que su organización controla el acceso a los recursos a través de directivas. Esto significa que los invitados B2B están sujetos a las directivas de acceso condicional, los requisitos de MFA, los términos de uso y otros controles de seguridad, al igual que los usuarios internos.

Diagrama que muestra una representación de la colaboración B2B.

Autenticación para colaboración B2B

Al invitar a un usuario invitado, canjean la invitación con sus credenciales existentes. Microsoft Entra ID crea un objeto de usuario en el directorio que representa al invitado. Este objeto tiene un tipo de usuario de "invitado" y un nombre principal de usuario que contiene el identificador de #EXT#.

Los usuarios invitados pueden autenticarse mediante:

  • Microsoft Entra ID de su organización principal
  • Cuentas Microsoft (cuentas personales)
  • Contraseña de un solo uso por correo electrónico: habilitada de forma predeterminada para todos los arrendatarios como método de respaldo
  • Proveedores de identidades sociales : Google, Facebook y otros que configure
  • SAML/WS-Fed federación : federación directa con proveedores de identidades externos

Configuración de acceso entre inquilinos

La configuración de acceso entre inquilinos proporciona un control granular sobre la colaboración B2B con otras organizaciones de Microsoft Entra. Esta configuración determina tanto el nivel de acceso entrante que los usuarios externos tienen a los recursos como el acceso saliente que tienen los usuarios a organizaciones externas.

La configuración del acceso de entrada controla si los usuarios de organizaciones externas con Microsoft Entra pueden acceder a los recursos de su organización. Puede aplicar esta configuración a todos los usuarios o especificar usuarios, grupos y aplicaciones individuales.

La configuración de acceso de salida controla si los usuarios pueden acceder a los recursos de una organización externa. Al igual que las configuraciones entrantes, puede aplicar estas configuraciones a usuarios, grupos y aplicaciones específicos.

La configuración de confianza determina si las directivas de acceso condicional confían en las afirmaciones de organizaciones externas:

  • Notificaciones de MFA: acepte la autenticación multifactor completada en el inquilino principal del usuario
  • Reclamaciones de conformidad de dispositivos - Confiar en el estado de conformidad de dispositivos de las organizaciones asociadas
  • Notificaciones de dispositivos híbridos unidos de Microsoft Entra: acepte el estado de unión híbrida de inquilinos externos

Cuando se habilita la configuración de confianza, los usuarios que ya cumplen estos requisitos en su inquilino principal no se enfrentan a solicitudes de autenticación redundantes. Esto crea una experiencia de colaboración sin problemas mientras se mantiene la seguridad.

El canje automático suprime la solicitud de consentimiento cuando ambas organizaciones habilitan esta configuración. Los usuarios no reciben mensajes de correo electrónico de invitación ni avisos de consentimiento: simplemente acceden a los recursos después de autenticarse con su organización principal.

Conexión directa de empresa a empresa (B2B)

La conexión directa B2B crea relaciones de confianza bidireccionales con otras organizaciones de Microsoft Entra para canales compartidos de Microsoft Teams. A diferencia de la colaboración B2B, los usuarios de conexión directa B2B no se agregan como invitados al directorio. Se autentican en su organización principal y reciben un token de su organización para el acceso.

Ambas organizaciones deben habilitar mutuamente la conexión directa B2B a través de la configuración de acceso entre inquilinos. Esta característica permite:

  • Los propietarios de canales compartidos pueden buscar y agregar usuarios de organizaciones externas
  • Los usuarios externos acceden a canales compartidos de Teams sin cambiar las organizaciones ni iniciar sesión con cuentas diferentes
  • Los archivos y las aplicaciones son accesibles a través de la pestaña Archivos del canal compartido

Identidad de cliente en inquilinos externos

Al desarrollar aplicaciones para consumidores o clientes empresariales, Microsoft Entra External ID en un cliente externo proporciona capacidades de administración de identidades y acceso de clientes (CIAM). Esta configuración aísla las identidades de los clientes del directorio workforce.

Diagrama que muestra una representación del identificador externo en un inquilino externo.

Características del arrendatario externo

Un tenant externo es un tenant dedicado de Microsoft Entra configurado exclusivamente para las aplicaciones que tú publiques para consumidores o clientes empresariales.

  • Directorio aislado : las cuentas de cliente son independientes de los empleados y los recursos internos
  • Personalización de marca predeterminada neutra : no hay personalización de marca de Microsoft de forma predeterminada; apariencia totalmente personalizable
  • Optimizado para escalado: creado para controlar cientos de miles o millones de usuarios
  • Acceso centrado en la aplicación : los usuarios acceden solo a las aplicaciones registradas en el inquilino externo.

Funcionalidades de CIAM

Los inquilinos externos permiten una administración completa de identidades de clientes:

Los flujos de registro de autoservicio definen los pasos de registro que siguen los clientes y los métodos de inicio de sesión que pueden usar:

  • Correo electrónico y contraseña con comprobación de correo electrónico
  • Código de acceso de un solo uso (sin contraseña) de correo electrónico
  • Cuentas sociales de Google, Facebook o Apple

La personalización de marca de empresa personaliza la experiencia de inicio de sesión con la suya propia:

  • Imágenes y colores de fondo
  • Logotipos de la empresa
  • Texto personalizado en todas las aplicaciones

Los atributos de usuario recopilan información durante el registro mediante atributos integrados o atributos personalizados que defina.

Las analíticas proporcionan datos de actividad y participación de los usuarios para apoyar decisiones estratégicas y el crecimiento empresarial.

Métodos de autenticación para clientes

Los inquilinos externos admiten MFA mediante directivas de acceso condicional con dos métodos de segundo factor:

  • Código de acceso de un solo uso de correo electrónico: después de iniciar sesión con correo electrónico y contraseña, los usuarios reciben un código de acceso enviado a su correo electrónico.
  • Autenticación basada en SMS : los usuarios comprueban a través de SMS, disponibles para los usuarios que inician sesión con correo electrónico, código de acceso único o identidades sociales

Identidad descentralizada con el identificador comprobado de Microsoft Entra

En escenarios que requieren la comprobación de identidades que conserva la privacidad, el identificador comprobado de Microsoft Entra permite a los usuarios presentar notificaciones verificables criptográficamente sin necesidad de comunicación directa entre el comprobador y el emisor.

Diagrama que muestra el flujo para la emisión y comprobación de una credencial verificable.

Cuándo usar el identificador comprobado

Considere la posibilidad de una identidad descentralizada cuando:

  • Debe comprobar las notificaciones sin almacenar datos personales (comprobación de edad, validación de credenciales)
  • Minimizar la responsabilidad de los datos es importante: menos datos almacenados significa una reducción del impacto en la vulneración
  • Varias organizaciones necesitan confiar en las mismas credenciales sin compartir bases de datos
  • Los usuarios deben controlar sus datos de identidad y presentar solo lo que es necesario
  • El cumplimiento normativo exige la minimización de datos

Funcionalidades de identificador comprobadas

El identificador comprobado de Microsoft Entra proporciona:

  • Emisión de credenciales basada en los estándares de credenciales verificables de W3C
  • Comprobación de credenciales para las notificaciones presentadas por los usuarios
  • Integración con la infraestructura existente de Microsoft Entra ID
  • Compatibilidad con Wallet para aplicaciones móviles que almacenan credenciales de usuario

Controlar el acceso externo con la gobernanza de identificadores de Entra de Microsoft

La gobernanza de identificadores de Microsoft Entra es un conjunto de gobernanza de identidades independiente que complementa el identificador externo de Microsoft Entra. Aunque el identificador externo controla la autenticación y la administración de identidades para usuarios externos, la gobernanza de identificadores proporciona funcionalidades de administración del ciclo de vida y control de acceso para usuarios internos y externos.

Gestión de permisos para el acceso externo

La administración de derechos, una característica de gobernanza de identificadores de Entra de Microsoft, automatiza el ciclo de vida de acceso externo cuando no sabe con antelación qué usuarios externos necesitan acceso. Se integra con la colaboración B2B mediante el aprovisionamiento automático de cuentas de invitado cuando se aprueba el acceso.

Entre las funcionalidades clave se incluyen:

  • Paquetes de acceso que combinan recursos (grupos, aplicaciones, sitios de SharePoint) con directivas y aprobaciones
  • El portal de autoservicio permite a los usuarios externos solicitar acceso sin intervención del administrador
  • Flujos de trabajo de aprobación dirigen las solicitudes a los propietarios o administradores empresariales adecuados
  • La expiración automática quita el acceso después de un período definido
  • Las revisiones de acceso solicitan a los propietarios de recursos que vuelvan a certificar periódicamente el acceso de invitado.

Tras la aprobación, la administración de derechos crea cuentas de invitado a través de la colaboración B2B y asigna usuarios a los grupos, aplicaciones y sitios de SharePoint adecuados automáticamente. Cuando el acceso expira o se revoca, la cuenta de invitado se puede quitar automáticamente.

Integración de ID verificado con la gestión de derechos

La administración de derechos se integra con Microsoft Entra ID verificada para requerir la verificación de identidad durante las solicitudes de acceso. Los administradores de paquetes de acceso pueden requerir que los solicitantes presenten credenciales verificables de emisores de confianza(como certificaciones de entrenamiento, autorización de trabajo o licencias profesionales) antes de conceder acceso. Esta combinación proporciona una comprobación de alta seguridad para los recursos confidenciales sin almacenar datos personales en el directorio.

Controles de seguridad para identidades externas

Aplique estos controles independientemente del enfoque de identidad externa:

Supervisión Implementation
Acceso condicional Crear directivas dirigidas específicamente a usuarios invitados o inicios de sesión de clientes con restricciones adecuadas
Requisitos de MFA Requerir MFA para usuarios externos o confiar en el MFA del inquilino principal a través de las configuraciones de acceso entre inquilinos para invitados B2B
Términos de uso Requerir la aceptación de directivas de uso aceptables antes de acceder a los recursos
Revisiones de acceso Revise periódicamente el acceso de invitado y quite los usuarios que ya no necesitan acceso.
Controles de sesión Limitar la duración de la sesión para usuarios externos
Restricciones de inquilino Controlar a qué cuentas externas pueden acceder los usuarios desde dispositivos administrados