Entra CBA (autenticación basada en certificados) es, con diferencia, la mejor manera de proteger su organización a través de Entra MFA. ¿Sabía que además de mejorar su postura de seguridad, Entra CBA mejora su experiencia de usuario y su productividad? Así es: los estudios muestran que con Entra CBA, hay una mejora 4 veces mayor en la velocidad de autenticación y una reducción del 20 al 50 % en el número de tickets de soporte! En este artículo, le mostraremos cómo configurar la autenticación sin contraseña de Entra CBA en 9 sencillos pasos (¡eso equivale a menos de una hora de pasos!).
Entra CBA utiliza certificados X.509 para verificar a los usuarios. Estos certificados deben ser proporcionados por una Autoridad Certificadora (CA) reconocida por Entra ID. Desafortunadamente, Entra no ofrece una CA incorporada para producir estos certificados para los usuarios y han declarado que la emisión y distribución de certificados quedan fuera del ámbito de Entra CBA. Para la inscripción de certificados, existen dos vías principales:
1) Usar Intune SCEP. Lamentablemente, dado que los certificados de Intune carecen de protección mediante PIN, se consideran un factor único (se pueden encontrar más detalles en la sección Azure CBA a continuación sobre la configuración de Azure CBA para Intune como un factor único).
2) Emplear una tarjeta inteligente o YubiKey para proteger los certificados de usuario.
En este artículo, lo guiaremos sobre cómo configurar Azure CBA usando tarjetas inteligentes y YubiKeys. Para facilitar la inscripción automática de certificados de tarjetas inteligentes, emplearemos [EZCMS, nuestra herramienta de administración de tarjetas inteligentes] (https://www.keytos.io/es/creacion-de-credenciales-fido2-entra-cba). Esto permite una gestión eficaz de su inventario de tarjetas inteligentes y ofrece a los usuarios un proceso de registro de tarjetas inteligentes de autoservicio. La buena noticia es que Entra CBA, EZCA y EZCMS son soluciones basadas en la nube alojadas en Azure, lo que garantiza que su equipo no tenga que preocuparse por mantener ninguna infraestructura subyacente.
Su elección del proveedor de tarjetas inteligentes es vital para configurar Entra CBA. Cualquiera que sea el proveedor que elija afectará el costo, la seguridad y la UX de su implementación de Entra CBA. Hay muchos proveedores de tarjetas inteligentes, pero recomendamos ampliamente YubiKeys debido a su soporte FIDO2 y protocolos de seguridad mejorados desarrollados en colaboración entre Yubico y Keytos. Esto garantiza una seguridad óptima durante el proceso de incorporación. Sin embargo, reconocemos que es posible que YubiKeys no sea adecuado para todos; como tal, también hemos incorporado soporte para tarjetas inteligentes PIVKey. ¡Esto ofrece una alternativa más económica para su implementación de Entra CBA y puede servir simultáneamente como identificación de empleado! Incluso ayudamos en la impresión y envío de las tarjetas inteligentes.
Una vez que haya elegido su proveedor de tarjetas inteligentes y haya realizado un pedido de muestra, podemos ayudarlo a configurar la infraestructura restante.
Para configurar EZCMS, primero debe registrar la aplicación EZCMS en su inquilino. ¡Al hacerlo, permite que EZCMS autentique a sus usuarios! Una vez que registre la aplicación EZCMS, puede ir al portal de Azure y crear su instancia de EZCMS; Una vez hecho esto y se confirma su configuración, podemos crear la CA que emitirá los certificados de tarjeta inteligente.
Si anteriormente estableció una autoridad de certificación ADCS de Windows para la emisión de certificados de tarjetas inteligentes, puede integrar EZCMS con ADCS y comience a distribuir certificados desde su CA ADCS. Por otro lado, si no tiene una CA existente o desea realizar la transición de su sistema a la nube, le sugerimos EZCA, nuestra autoridad certificadora basada en la nube. EZCA facilita la generación de autoridades de certificación seguras, compatibles y compatibles con HSM en Azure. Vale la pena señalar que la CA de tarjeta inteligente EZCA debe estar encadenada a una CA raíz. Tiene la opción de crear uno dentro de EZCA o encadenarlo a una CA raíz ya existente. Después de configurar sus CA, el siguiente paso es cargar estos certificados en Azure.
Una vez que haya creado sus CA, debe cargar los certificados de CA en Azure como CA confiables haciendo lo siguiente:
1) Ingresar al portal de Azure como Administrador Global.
2) Elija Azure Active Directory y haga clic en Seguridad en el panel de la izquierda.
3) Elija Autoridades certificadoras.
4) Cargue el certificado para cada raíz y CA emisora en su infraestructura. Asegúrese de agregar una URL CRL de acceso público para que Azure pueda verificar que los certificados no han sido revocados.
Al crear las CA en las que Azure necesita confiar para la autenticación de usuarios, debe permitir que Azure acepte CBA como método de autenticación haciendo lo siguiente:
1) Vaya a Métodos de autenticación (dentro de la sección Seguridad).
2) Elija Políticas en el panel de la izquierda.
3) Elija Autenticación basada en certificados.
4) Elija la pestaña Configurar.
5) Elija su nivel de protección preferido (Azure tiene como valor predeterminado Single Factor, por lo que si utiliza tarjetas inteligentes asegúrese de cambiarlo a Multi-Factor).
6) Vaya a la sección Reglas y cambie la configuración para que las CA puedan emitir certificados de usuario.
7) Establezca el orden de vinculación del nombre de usuario (cómo se escribe el nombre de usuario en el certificado).
8) Haga clic en Guardar.
EZCMS fue diseñado para incorporar usuarios de múltiples inquilinos diferentes. Consulte nuestra documentación EZCMS o el siguiente vídeo para aprender cómo registrar a su inquilino (NOTA: EZCMS solía llamarse EZSmartCard).
El último paso antes de poder emitir su primera tarjeta inteligente es agregar un usuario de prueba a EZCMS y asignar una tarjeta inteligente a esa usuario. Una vez hecho esto, ¡finalmente podrá emitir su primera tarjeta inteligente!
Una vez que haya configurado EZCMS y haya establecido su tarjeta inteligente de prueba, puede probar el flujo de autenticación si así lo desea. Simplemente sigue estos pasos:
1) Utilice una pestaña de incógnito para ir al portal de Azure.
2) Ingrese su nombre de usuario.
3) Elija Usar un certificado o tarjeta inteligente.
4) Elija su certificado de tarjeta inteligente.
5) Ingrese su PIN.
6) Si está utilizando una YubiKey, tóquela para completar el proceso de autenticación.
¡Felicitaciones, ahora ha configurado exitosamente la autenticación con tarjeta inteligente con Entra CBA! Ahora finalmente puede comenzar a implementarlo para todos sus usuarios.
¿Ver? ¡Le dijimos que era fácil configurar Entra CBA! Si tiene alguna pregunta, comentario o inquietud pendiente, programe una evaluación de identidad GRATUITA con uno de nuestros expertos en identidad hoy.
