• 5 min read

Mayor resistencia del servicio Azure Active Directory con el servicio de autenticación de respaldo

By Mark Russinovich, Chief Technology Officer and Technical Fellow, Microsoft Azure
La promesa más importante de nuestros servicios de identidad es garantizar que todos los usuarios puedan acceder a las aplicaciones y los servicios que necesitan sin interrupción. Hemos reforzado este compromiso con un enfoque multicapa que nos ha permitido mejorar la promesa con un tiempo de actividad de autenticación del 99,99 % para Azure Active Directory (Azure AD).

“Continuando con la serie de entradas de blogs sobre la mejora de la confiabilidad, que destaca las principales actualizaciones e iniciativas relacionadas con la mejora de la confiabilidad de la plataforma Azure y sus servicios, hoy nos centramos en Azure Active Directory (Azure AD). En 2019, hablamos de los principios de disponibilidad básicos de Azure AD dentro de esta serie. Por eso, le he pedido a Nadim Abdo, vicepresidente corporativo para ingeniería, que nos desvele las últimas novedades sobre qué están haciendo los equipos de ingeniería para asegurar la confiabilidad de nuestros servicios de administración de identidad y acceso, que también son críticos para nuestros clientes y asociados”. —Mark Russinovich, director de tecnología, Azure

 

La promesa más importante de nuestros servicios de identidad es garantizar que todos los usuarios puedan acceder a las aplicaciones y los servicios que necesitan sin interrupción. Hemos reforzado este compromiso con un enfoque multicapa que nos ha permitido mejorar la promesa con un tiempo de actividad de autenticación del 99,99 % para Azure Active Directory (Azure AD). Hoy me complace compartir un análisis avanzado de la tecnología, disponible con carácter general, que permite a Azure AD alcanzar niveles de resistencia más altos aún.

El servicio de autenticación de respaldo de Azure AD controla las autenticaciones de forma transparente y automática para las cargas de trabajo admitidas cuando el servicio Azure AD principal no está disponible. Agrega una capa más de resistencia sobre los distintos niveles de redundancia de Azure AD. Es como un generador de respaldo o un sistema de alimentación ininterrumpida diseñado para mejorar la tolerancia a errores, sin dejar de ser totalmente transparente y automático para usted. Este sistema funciona en la nube de Microsoft, pero en rutas de acceso de red y sistemas independientes y no correlacionados con los del sistema Azure AD principal. Esto significa que puede seguir funcionando en el caso de que surjan problemas con el servicio, la red o la capacidad en muchos servicios de Azure AD y de Azure dependientes.

¿Qué cargas de trabajo cubre el servicio?

Este servicio protege las cargas de trabajo de Outlook Web Access y SharePoint Online desde 2019. A principios de este año, se amplió la cobertura a las aplicaciones que se ejecutan en escritorios y dispositivos móviles, o aplicaciones “nativas”. Ahora están cubiertas todas las aplicaciones nativas de Microsoft, incluidos Office 365 y Teams, además de las aplicaciones que no son propiedad de Microsoft y las que pertenecen a los clientes que se ejecutan de forma nativa en los dispositivos. No es necesario tomar ninguna medida especial ni hacer ningún cambio de configuración para obtener la cobertura de la autenticación de respaldo.

A partir de finales de 2021, comenzaremos a implementar esta funcionalidad para más aplicaciones basadas en web. Se hará por fases para las aplicaciones que usan Open ID Connect. Comenzaremos con las aplicaciones web de Microsoft, como Teams Online y Office 365, seguidas de las aplicaciones web propiedad del cliente que usen Open ID Connect y el Lenguaje de marcado de aserción de seguridad (SAML).

¿Cómo funciona el servicio?

Cuando se detecta un error en el servicio Azure AD principal, se activa automáticamente el servicio de autenticación de respaldo y permite que las aplicaciones del usuario sigan funcionando. A medida que se recupera el servicio principal, las solicitudes de autenticación se redirigen de nuevo al servicio Azure AD principal. El servicio de autenticación de respaldo funciona en dos modos:

  • Modo Normal: el servicio de respaldo almacena los datos de autenticación esenciales durante el funcionamiento normal. Las respuestas de autenticación satisfactorias de Azure AD a las aplicaciones dependientes generan datos específicos de la sesión, que el servicio de respaldo almacena de forma segura durante un máximo de tres días. Los datos de autenticación son específicos de una combinación de dispositivo-usuario-aplicación-recurso y representan una instantánea de una autenticación correcta en un momento dado.
  • Modo de interrupción: cada vez que se produce un error inesperado en una solicitud de autenticación, la puerta de enlace de Azure AD la redirige automáticamente al servicio de respaldo. A continuación, autentica la solicitud, comprueba que los artefactos presentados son válidos (por ejemplo, el token de actualización y la cookie de sesión) y busca una coincidencia de sesión exacta en los datos almacenados anteriormente. Después, se envía a la aplicación una respuesta de autenticación coherente con lo que habría generado el sistema de Azure AD principal. Tras la recuperación, el tráfico se redirige de forma dinámica al servicio Azure AD principal.

Diagrama que muestra el acceso de clientes o servicios, como Outlook y Exchange Online, a tokens, incluidos los tokens de acceso en caché del nuevo servicio de autenticación de respaldo

El enrutamiento al servicio de respaldo es automático y sus respuestas de autenticación son coherentes con las que proporciona normalmente el servicio Azure AD principal. Esto significa que la protección surte efecto sin necesidad de modificar las aplicaciones ni de intervención manual.

Tenga en cuenta que la prioridad del servicio de autenticación de respaldo es mantener la productividad del usuario y que pueda acceder a una aplicación o recurso donde se había autenticado recientemente. Esto suele ser la mayoría de los tipos de solicitudes que llegan a Azure AD; un 93 %, de hecho. Las autenticaciones “nuevas” más allá de un período de almacenamiento de tres días, donde no se ha concedido acceso recientemente en el dispositivo actual del usuario, no se admiten actualmente durante las interrupciones, pero la mayoría de los usuarios acceden a sus aplicaciones más importantes a diario desde un dispositivo coherente.

¿Cómo se aplican las directivas de seguridad y el cumplimiento normativo del acceso durante una interrupción?

El servicio de autenticación de respaldo supervisa continuamente los eventos de seguridad que afectan al acceso de los usuarios para proteger las cuentas, incluso si estos eventos se detectan justo antes de una interrupción. Usa Evaluación continua de acceso para asegurar la revocación inmediata de las sesiones que ya no son válidas. Entre los ejemplos de eventos de seguridad que pueden dar lugar a que el servicio de respaldo restrinja el acceso durante una interrupción, se incluyen los cambios de estado de los dispositivos, la deshabilitación y la eliminación de las cuentas, la revocación del acceso por un administrador o la detección de un evento de alto riesgo del usuario. Un usuario con un evento de seguridad puede recuperar el acceso solamente cuando se ha restaurado el servicio de autenticación principal.

Además, el servicio de autenticación de respaldo aplica directivas de acceso condicional. El servicio de respaldo vuelve a evaluar las directivas antes de conceder acceso durante una interrupción, con el fin de determinar qué directivas se aplican y si se han satisfecho los controles necesarios para las directivas aplicables, como la autenticación multifactor (MFA). Si el servicio de respaldo recibe una solicitud de autenticación y no se ha satisfecho un control como MFA, esa autenticación se bloquea.

Las directivas de acceso condicional que se basan en condiciones como el usuario, la aplicación, la plataforma del dispositivo y la dirección IP se aplican usando los datos en tiempo real que detecta el servicio de autenticación de respaldo. Sin embargo, ciertas condiciones de las directivas (como el riesgo del inicio de sesión y la pertenencia a roles) no se pueden evaluar en tiempo real y se evalúan en función de la configuración de resistencia. Los valores predeterminados de resistencia permiten que Azure AD maximice la productividad de forma segura cuando una condición (como la pertenencia a grupos) no está disponible en tiempo real durante una interrupción. El servicio evalúa una directiva suponiendo que la condición no ha cambiado desde el último acceso justo antes de la interrupción.

Aunque se recomienda encarecidamente a los clientes mantener habilitados los valores predeterminados de resistencia, puede haber algunos casos en los que los administradores prefieran bloquear el acceso durante una interrupción, cuando una condición de acceso condicional no se pueda evaluar en tiempo real. En estos casos poco frecuentes, los administradores pueden deshabilitar los valores predeterminados de resistencia por directiva en el acceso condicional. Si la directiva deshabilita los valores predeterminados de resistencia, el servicio de autenticación de respaldo no atiende las solicitudes que están sujetas a condiciones de directivas en tiempo real, lo que significa que esos usuarios pueden ser bloqueados por una interrupción del servicio Azure AD principal.

Qué vendrá después

El servicio de autenticación de respaldo de Azure AD ayuda a los usuarios a mantener la productividad en el improbable caso de una interrupción del servicio de autenticación Azure AD principal. El servicio proporciona otra capa transparente de redundancia a nuestro servicio en rutas de red y nubes de Microsoft que no están correlacionadas. En el futuro, seguiremos ampliando la compatibilidad con otros protocolos y escenarios, así como la cobertura más allá de las nubes públicas. Y ampliaremos también la visibilidad del servicio para nuestros clientes avanzados.

Gracias por su confianza y colaboración continuas.

“Continuando con la serie de entradas de blogs sobre la mejora de la confiabilidad, que destaca las principales actualizaciones e iniciativas relacionadas con la mejora de la confiabilidad de la plataforma Azure y sus servicios, hoy nos centramos en Azure Active Directory (Azure AD). En 2019, hablamos de los principios de disponibilidad básicos de Azure AD dentro de esta serie. Por eso, le he pedido a Nadim Abdo, vicepresidente corporativo para ingeniería, que nos desvele las últimas novedades sobre qué están haciendo los equipos de ingeniería para asegurar la confiabilidad de nuestros servicios de administración de identidad y acceso, que también son críticos para nuestros clientes y asociados”. —Mark Russinovich, director de tecnología, Azure

 

La promesa más importante de nuestros servicios de identidad es garantizar que todos los usuarios puedan acceder a las aplicaciones y los servicios que necesitan sin interrupción. Hemos reforzado este compromiso con un enfoque multicapa que nos ha permitido mejorar la promesa con un tiempo de actividad de autenticación del 99,99 % para Azure Active Directory (Azure AD). Hoy me complace compartir un análisis avanzado de la tecnología, disponible con carácter general, que permite a Azure AD alcanzar niveles de resistencia más altos aún.

El servicio de autenticación de respaldo de Azure AD controla las autenticaciones de forma transparente y automática para las cargas de trabajo admitidas cuando el servicio Azure AD principal no está disponible. Agrega una capa más de resistencia sobre los distintos niveles de redundancia de Azure AD. Es como un generador de respaldo o un sistema de alimentación ininterrumpida diseñado para mejorar la tolerancia a errores, sin dejar de ser totalmente transparente y automático para usted. Este sistema funciona en la nube de Microsoft, pero en rutas de acceso de red y sistemas independientes y no correlacionados con los del sistema Azure AD principal. Esto significa que puede seguir funcionando en el caso de que surjan problemas con el servicio, la red o la capacidad en muchos servicios de Azure AD y de Azure dependientes.

¿Qué cargas de trabajo cubre el servicio?

Este servicio protege las cargas de trabajo de Outlook Web Access y SharePoint Online desde 2019. A principios de este año, se amplió la cobertura a las aplicaciones que se ejecutan en escritorios y dispositivos móviles, o aplicaciones “nativas”. Ahora están cubiertas todas las aplicaciones nativas de Microsoft, incluidos Office 365 y Teams, además de las aplicaciones que no son propiedad de Microsoft y las que pertenecen a los clientes que se ejecutan de forma nativa en los dispositivos. No es necesario tomar ninguna medida especial ni hacer ningún cambio de configuración para obtener la cobertura de la autenticación de respaldo.

A partir de finales de 2021, comenzaremos a implementar esta funcionalidad para más aplicaciones basadas en web. Se hará por fases para las aplicaciones que usan Open ID Connect. Comenzaremos con las aplicaciones web de Microsoft, como Teams Online y Office 365, seguidas de las aplicaciones web propiedad del cliente que usen Open ID Connect y el Lenguaje de marcado de aserción de seguridad (SAML).

¿Cómo funciona el servicio?

Cuando se detecta un error en el servicio Azure AD principal, se activa automáticamente el servicio de autenticación de respaldo y permite que las aplicaciones del usuario sigan funcionando. A medida que se recupera el servicio principal, las solicitudes de autenticación se redirigen de nuevo al servicio Azure AD principal. El servicio de autenticación de respaldo funciona en dos modos:

Diagrama que muestra el acceso de clientes o servicios, como Outlook y Exchange Online, a tokens, incluidos los tokens de acceso en caché del nuevo servicio de autenticación de respaldo

El enrutamiento al servicio de respaldo es automático y sus respuestas de autenticación son coherentes con las que proporciona normalmente el servicio Azure AD principal. Esto significa que la protección surte efecto sin necesidad de modificar las aplicaciones ni de intervención manual.

Tenga en cuenta que la prioridad del servicio de autenticación de respaldo es mantener la productividad del usuario y que pueda acceder a una aplicación o recurso donde se había autenticado recientemente. Esto suele ser la mayoría de los tipos de solicitudes que llegan a Azure AD; un 93 %, de hecho. Las autenticaciones “nuevas” más allá de un período de almacenamiento de tres días, donde no se ha concedido acceso recientemente en el dispositivo actual del usuario, no se admiten actualmente durante las interrupciones, pero la mayoría de los usuarios acceden a sus aplicaciones más importantes a diario desde un dispositivo coherente.

¿Cómo se aplican las directivas de seguridad y el cumplimiento normativo del acceso durante una interrupción?

El servicio de autenticación de respaldo supervisa continuamente los eventos de seguridad que afectan al acceso de los usuarios para proteger las cuentas, incluso si estos eventos se detectan justo antes de una interrupción. Usa Evaluación continua de acceso para asegurar la revocación inmediata de las sesiones que ya no son válidas. Entre los ejemplos de eventos de seguridad que pueden dar lugar a que el servicio de respaldo restrinja el acceso durante una interrupción, se incluyen los cambios de estado de los dispositivos, la deshabilitación y la eliminación de las cuentas, la revocación del acceso por un administrador o la detección de un evento de alto riesgo del usuario. Un usuario con un evento de seguridad puede recuperar el acceso solamente cuando se ha restaurado el servicio de autenticación principal.

Además, el servicio de autenticación de respaldo aplica directivas de acceso condicional. El servicio de respaldo vuelve a evaluar las directivas antes de conceder acceso durante una interrupción, con el fin de determinar qué directivas se aplican y si se han satisfecho los controles necesarios para las directivas aplicables, como la autenticación multifactor (MFA). Si el servicio de respaldo recibe una solicitud de autenticación y no se ha satisfecho un control como MFA, esa autenticación se bloquea.

Las directivas de acceso condicional que se basan en condiciones como el usuario, la aplicación, la plataforma del dispositivo y la dirección IP se aplican usando los datos en tiempo real que detecta el servicio de autenticación de respaldo. Sin embargo, ciertas condiciones de las directivas (como el riesgo del inicio de sesión y la pertenencia a roles) no se pueden evaluar en tiempo real y se evalúan en función de la configuración de resistencia. Los valores predeterminados de resistencia permiten que Azure AD maximice la productividad de forma segura cuando una condición (como la pertenencia a grupos) no está disponible en tiempo real durante una interrupción. El servicio evalúa una directiva suponiendo que la condición no ha cambiado desde el último acceso justo antes de la interrupción.

Aunque se recomienda encarecidamente a los clientes mantener habilitados los valores predeterminados de resistencia, puede haber algunos casos en los que los administradores prefieran bloquear el acceso durante una interrupción, cuando una condición de acceso condicional no se pueda evaluar en tiempo real. En estos casos poco frecuentes, los administradores pueden deshabilitar los valores predeterminados de resistencia por directiva en el acceso condicional. Si la directiva deshabilita los valores predeterminados de resistencia, el servicio de autenticación de respaldo no atiende las solicitudes que están sujetas a condiciones de directivas en tiempo real, lo que significa que esos usuarios pueden ser bloqueados por una interrupción del servicio Azure AD principal.

Qué vendrá después

El servicio de autenticación de respaldo de Azure AD ayuda a los usuarios a mantener la productividad en el improbable caso de una interrupción del servicio de autenticación Azure AD principal. El servicio proporciona otra capa transparente de redundancia a nuestro servicio en rutas de red y nubes de Microsoft que no están correlacionadas. En el futuro, seguiremos ampliando la compatibilidad con otros protocolos y escenarios, así como la cobertura más allá de las nubes públicas. Y ampliaremos también la visibilidad del servicio para nuestros clientes avanzados.

Gracias por su confianza y colaboración continuas.