Desde su anuncio inicial en 2022, Microsoft ha mejorado significativamente Entra CBA en varias plataformas. En su actualización más reciente del 13 de diciembre, Microsoft anunció que estas mejoras abarcan soporte para certificados en diferentes dispositivos y compatibilidad con claves de seguridad externas, como YubiKeys. El sistema actualizado proporciona a los usuarios más flexibilidad y control sobre los procesos de autenticación con políticas de autenticación personalizables basadas en el tipo de certificado, grupo de usuarios, tipo de recurso y solidez del certificado. ¡Fue realmente genial ver a nuestros socios en Yubico mencionados por su nombre en esa actualización de Microsoft! En caso de que seas nuevo en nuestro blog, probablemente seamos los mayores fanáticos de YubiKey del mundo… ¡incluso el viejo de Marketing y ese loco de Coding Flamingo los aman!
YubiKeys proporciona una forma sólida y fácil de usar para mejorar la seguridad sin depender de los sistemas de contraseñas tradicionales, que sabemos que son un problema. Esta alineación con las prácticas de seguridad modernas y las exigencias regulatorias los convierte en una excelente opción para las organizaciones que buscan adoptar un enfoque sin contraseña.
La autenticación basada en certificados funciona mediante el uso de certificados X.509 para autenticar a los usuarios. ¿Cómo obtenemos estos certificados? Bueno, necesitarás una autoridad certificadora para emitirlos. Como era de esperar, no existe una autoridad de certificación nativa de Azure incorporada, ya que Microsoft ha declarado la emisión y distribución de certificados fuera del alcance.
¡Nuestra misión en Keytos es ayudar a organizaciones de todas las formas y tamaños a superar este obstáculo con facilidad! Hemos creado una Autoridad de Certificación y un CMS Entra-Native para administrar fácilmente el proceso de principio a fin. Lo siguiente lo guiará a través de los pasos asociados con la selección e incorporación de una YubiKey, la credencial antiphishing más confiable para el profesional de seguridad moderno.
Elegir la YubiKey adecuada para usted y su organización puede parecer una tarea desalentadora, pero en realidad es bastante fácil. Si estás buscando profundizar en cuánto cuestan las YubiKeys y cuáles pueden ser mejores para ti, consulta nuestro blog sobre el tema. Recomendamos usar YubiKeys para Entra CBA porque son fáciles de usar, admiten FIDO2 y tienen certificación adicional. No importa cuál elijas, estás haciendo una excelente elección. Consejo profesional: optar por las claves biométricas puede ser excesivo…
Comience registrando la aplicación EZCMS en su inquilino para permitir que EZCMS autentique a sus usuarios. Una vez registrada la aplicación, puede ir al Portal de Azure y crear su instancia de EZCMS. Una vez creada la instancia de EZCMS y configurada la configuración de su organización, estamos listos para crear la autoridad de certificación que emitirá los certificados de tarjeta inteligente.
Si ya tiene una autoridad de certificación ADCS de Windows configurada para emitir certificados de tarjetas inteligentes, puede conectar EZCMS a ADCS. Sin embargo, si no tiene una CA existente o desea trasladar su infraestructura a la nube, simplemente configure EZCA, nuestra autoridad de certificación basada en la nube.
Ahora que ha creado sus autoridades certificadoras, es hora de cargar sus certificados de CA como CA confiables en Azure. Siga estos pasos para comenzar:
1) Vaya al portal de Azure como Administrador global.
2) Seleccione Azure Active Directory y luego, en el panel lateral izquierdo, seleccione Seguridad.
3) Seleccione Autoridades de certificación.
4) Cargue el certificado para cada CA en su infraestructura (CA raíz y emisora). Nota: asegúrese de agregar una URL CRL de acceso público para Azure para validar que los certificados no hayan sido revocados.
Después de configurar las autoridades de certificación en las que Entra debe confiar para la autenticación de usuarios, debemos configurar Entra para que acepte la autenticación basada en certificados como método de autenticación. Así es como se hace.
1) Navegue hasta Métodos de autenticación dentro de la sección de seguridad.
2) Seleccione Políticas en el lado izquierdo.
3) Haga clic en autenticación basada en certificados.
4) Haga clic en la pestaña Configurar.
5) Seleccione el nivel de protección (Entra tiene como valor predeterminado el factor único, ya que no sabe si solo va a usar un certificado sin una tarjeta inteligente o si va a proteger ese certificado, por lo que si va a usar tarjetas inteligentes, cambiar a autenticación multifactor).
6) En la sección de reglas, establezca las CA que pueden emitir certificados de usuario. Nota: También puede establecer un ID de política si utiliza esa CA para otros tipos de certificados, pero las mejores prácticas de PKI recomiendan utilizar una CA dedicada para la autenticación con tarjeta inteligente.
7) Seleccione el orden de vinculación del nombre de usuario (así es como se agrega el nombre de usuario en el certificado). En este ejemplo, usaremos la asignación de PrincipalName al nombre principal del usuario, que es el valor predeterminado de EZCMS.
EZCMS está diseñado para poder incorporar usuarios de múltiples inquilinos, por lo que puede usarlo para incorporar usuarios a todos sus diferentes inquilinos, por ejemplo, en Keytos, seguimos las mejores prácticas de seguridad de Azure y realizar un aislamiento completo de inquilinos para empresas (keytos.io), identidades de prueba e identidades de producción y usar EZCMS para incorporarlas todas. Siga la documentación de EZCMS o el video a continuación para registrar su dominio.
El último paso antes de emitir su primera YubiKey es agregar un usuario de prueba a EZCMS y luego podrá asignar la YubiKey a ese usuario. ¡Ahora estás listo para emitir tu primera YubiKey!
Una vez que EZCMS esté configurado y haya creado su YubiKey de prueba, puede probar el flujo de autenticación de la siguiente manera:
1) Ir al portal azul en una pestaña de incógnito.
2) Ingresando su nombre de usuario.
3) Seleccione “Usar un certificado o tarjeta inteligente”.
4) Seleccione su certificado de tarjeta inteligente.
5) Ingrese su PIN.
6) Toque YubiKey para completar la autenticación.
7) ¡FELICIDADES! ¡Has iniciado sesión correctamente!
Ahora que ha configurado correctamente la autenticación YubiKey con la autenticación basada en certificado Entra, puede comenzar a implementarla para todos sus usuarios. Si tiene alguna pregunta sobre cómo configurar la autenticación basada en certificados Entra o Azure, reserve una evaluación de identidad gratuita con nuestros expertos en identidad.
