Probablemente estés siguiendo una guía sobre cómo configurar Entra CBA y te encontraste con Affinity Binding Requierda en el portal Entra ID y se pregunta si lo necesita. No te preocupes: cuando Microsoft te confunda, ¡Keytos te tiene cubierto!
El Affinity Binding Requerido en Entra CBA se refiere a cómo Entra ID debe autenticar a sus usuarios cuando miran un certificado. La opción “Low” analiza los campos basados en texto del certificado, como RFC822Name o Nombre principal, mientras que “High” requiere que establezca un enlace firme como actualizar el campo UserIds de su certificado de usuario con el número de serie del certificado, asegurándose de que su usuario está emitiendo el certificado que usted emitió para él.
Entonces, según el nombre y la definición, probablemente esté pensando: “Probablemente debería habilitar High Affinity Binding”; sin embargo, dependiendo de la configuración de su CA, puede ser excesivo y simplemente generar más trabajo para su equipo (además de limitarlo a tener solo un certificado por usuario a la vez, sin permitirle tener tarjetas inteligentes de repuesto).
Si está familiarizado con cómo funciona la autenticación de certificados (TL; DR, valide que el certificado haya sido emitido por una autoridad confiable y luego verifique los valores de texto del certificado para validarlo, ya que confía en que la autoridad certificadora validará adecuadamente al usuario antes de al emitir el certificado), probablemente se esté preguntando cuál es el punto de crear este High Affinity Binding en el que debe agregar manualmente el número de serie del certificado al usuario, rompiendo la rotación automática que conlleva la autenticación basada en certificados. Bueno, los orígenes de esto provienen de CVE-2022-34691, CVE-2022-26931 y CVE-2022-26923, donde se podía engañar a ADCS para que emitiera un certificado con ciertos valores de texto que le permitirían elevarse desde un estado sin privilegios a administrador de dominio. Para solucionar esto, en lugar de solucionar el problema desde el origen y crear una PKI moderna con funciones avanzadas de autoridad de registro, crearon KB5014754 que fue un parche para AD que agregó fuertes requisitos de mapeo a los certificados al requerir el SID de la cuenta; lo que significa que si su certificado no contiene el SID de la cuenta en un campo especial, ya no será aceptado.
Debe habilitar el High Affinity Binding cuando no tenga control total sobre qué certificados emite su CA; por ejemplo, se utiliza la misma CA para emitir certificados de tarjeta inteligente y certificados de plantilla SSL, lo que permite a los usuarios crear certificados en los que especifican el nombre alternativo del sujeto y pueden agregar un nombre alternativo del sujeto principal del usuario y hacerse pasar por alguien. (Para EZCMS con EZCA, están protegidos gracias a la herramienta avanzada de administración de certificados de EZCA que solo permite a las autoridades de certificación de tarjetas inteligentes emitir certificados a través de su instancia confiable de EZCMS.)
Ahora, pasemos a la pregunta que se estaba haciendo desde que empezó a leer este blog: “¿Es segura el Low Affinity Binding en Entra CBA?” La respuesta es probablemente si. Si solo está utilizando su autoridad certificadora para emitir certificados y tiene un sistema moderno de gestión de credenciales para emitir certificados a su usuarios, debería estar bien con el Low Affinity Binding, que le permitirá aprovechar las funciones que ofrecen los certificados X.509 como rotación automática y múltiples certificados por usuario. Si tiene alguna pregunta, hable con nuestros expertos en PKI y asegúrese de que su infraestructura sea segura.
