Hoy en día, cuando hablamos de Identidades corporativas, podemos pensar principalmente en tres escenarios:

• Identidades en Azure AD. Es posible tener nuestro Directorio sólo y exclusivamente en la Nube. Si bien es un escenario poco habitual, puede resultar especialmente útil para pequeñas empresas que no tienen una infraestructura local, y para las cuales, tener un servicio de Directorio en la Nube como Azure AD, sería más que suficiente (ej: acceder a Office 365, y otras soluciones SaaS).
• Identidades On-Premise (Directorio Activo en nuestro DataCenter). Quizás el escenario más habitual hasta ahora, es tener nuestro servicio de Directorio Activo en nuestro DataCenter, a través del cual no sólo gestionamos Usuarios, sino también Dispositivos, y mucho más.
• Identidades en ambos sitios: Azure AD + On-Premise (entorno híbrido). Esta es la tendencia para compañías de medio y gran tamaño, que tienen su infraestructura local de Directorio Activo con miles o millones de usuarios, y desean poder disfrutar de las ventajas de Azure AD.

En estos escenarios, oiremos hablar también del Single Sign-On (SSO), un término que es importante matizar, para diferenciarlo del Same Sign-On:

• Same Sign-On. Significa que se nos pedirá credenciales en cada Aplicación a la que accedemos, pero al menos, nos podremos validar con el mismo usuario y contraseña, por lo que se evita el problema de tener que memorizar y custodiar múltiples usuarios y contraseñas.
• Single Sign-On (SSO). Significa que podemos logarnos una única vez, tras la cual, podemos saltar de Aplicación en Aplicación sin que se nos vuelvan a solicitar credenciales de acceso, realizándose en todos los casos accesos autenticados y autorizados correctamente.

Azure Active Directory (Azure AD): Sincronización y Federación

Es posible gestionar (leer y escribir) la información de Azure Active Directory desde el Azure Management Portal, Office 365 Admin Center, Windows Intune Account Portal, y desde PowerShell con el módulo de Microsoft Azure Active Directory. Sin embargo, en un entorno de Azure AD, quizás lo que más nos interesará serán las opciones que tenemos para la Sincronización y Federación de Usuarios.

La Sincronización de Usuarios es la opción más utilizada, al ser más rápida, simple, y fácil de configurar, pero sólo podremos conseguir Same Sign-On. La Federación de Usuarios es algo más compleja, pero nos permitirá conseguir el ansiado Single Sign-On (SSO): acceder a recursos locales y externos (ej: Office 365) con las credenciales del Directorio Activo On-Premise.

Podríamos diferenciar tres tipos de Sincronización de Usuarios:

• Sincronización de Identidades (Identity Sync). Es el escenario más simple, en el que las propiedades del usuario son gestionadas On-Premise, y sincronizadas con Azure AD. La contraseña no se sincroniza, por lo que el usuario tendrá dos contraseña (una On-Premise y otra en Azure).
• Sincronización de Contraseñas (Password Sync). Las propiedades y contraseña del usuario son gestionadas On-Premise, y sincronizadas con Azure AD. De este modo, el usuario puede acceder con la misma contraseña a los recursos de la compañía y a los recursos externos (ej: Office 365, CRM Online, etc).
• Sincronización de Contraseñas con Escritura (Password Sync with WriteBack). Permite que los usuarios puedan resetear su contraseña desde cualquier lugar, validarlas inmediatamente contra las políticas del Directorio Activo On-Premise, almacenarlas como un hash, y sincronizarlas con el Directorio Activo On-Premise. Se utiliza Azure Service Bus Relay para implementar el WriteBack, evitando tener que publicar Directorio Activo a Internet.

Hay varias formas (o herramientas) de realizar la Sincronización de Usuarios entre Directorio Activo y Azure:

• DirSync (Azure Active Directory Sync Tool). Fué la primera herramienta.
• AADSync (Azure Active Directory Synchronization Services). Incluye características avanzadas, como sincronización desde múltiples Bosques, y Password Write-Back.
• Azure AD Connect. Realiza tanto Sincronización como Federación de Directorios, con un esfuerzo de configuración mínimo.
• FIM (ForeFront Identity Manager). Es el hermano mayor de DirSync y AADSync. Permite sincronizar información desde múltiples Bosques y también desde otros orígenes como SQL.
• MIM (Microsoft Identity Manager). Es el sucesor de FIM.

Igualmente, tenemos varias opciones o herramientas para realizar la Federación de Usuarios:

• AD FS (Active Directory Federation Services). Requiere un mínimo de infraestructura (una base de datos SQL y un servidor Windows) y algo de esfuerzo de configuración.
• Azure AD Connect.

La Federación y el Single Sign-On (SSO) es posible gracias a Secure Token Service (STS).

Usuarios y Proveedores de Identidad Externos

En Azure AD es posible añadir usuarios de otro Directorio de Azure AD (ej: de otra empresa o partner) así como también usuarios con cuentas de Microsoft. Estos usuarios serán autenticados contra sus propios Directorios al logarse.

Al añadir un usuario de Azure AD dentro de otro Azure AD, se copian las propiedades del usuario, como el Display Name y el User Name. Sin embargo, a partir de ese momento, los futuros cambios no son propagados entre ambos Directorios.

Otra opción que tenemos es utilizar Azure Active Directory B2C, disponible en el Marketplace, y que nos permite conectar proveedores de identidad externos (ej: Facebook, Google, Linkedin, Amazon, etc.) a nuestro Azure AD, de tal modo que sea posible logarse en nuestras aplicaciones con estos usuarios, de una forma fácil y sencilla. Puede utilizarse Azure AD Graph API para obtener propiedades de los usuarios como el nombre y la dirección de correo.

Poco más por hoy. Como siempre, confío que la lectura resulte de interés.