Métodos de autenticación en Microsoft Entra ID: tokens OATH

  • Artículo

TOTP (contraseñas de un solo uso y duración definida) de OATH es un estándar abierto que especifica cómo se generan los códigos de contraseña de un solo uso (OTP). TOTP de OATH se puede implementar mediante software o hardware para generar los códigos. Microsoft Entra ID no es compatible con OATH HOTP, un estándar de generación de código diferente.

Tokens de software OATH

Los tokens de software OATH suelen ser aplicaciones, como la aplicación Microsoft Authenticator y otras aplicaciones de autenticador. Microsoft Entra ID genera la clave secreta o valor de inicialización, que se introduce en la aplicación y se usa para generar cada OTP.

La aplicación Authenticator genera códigos automáticamente cuando se configura para realizar notificaciones de inserción, de modo que un usuario tenga una copia de seguridad incluso si el dispositivo no tiene conectividad. También se pueden usar aplicaciones de terceros que usen TOTP de OATH para generar códigos.

Algunos tokens de hardware TOTP de OATH son programables, es decir, no incluyen una clave secreta ni un valor de inicialización programados previamente. Estos tokens de hardware programables se pueden configurar con la clave secreta o el valor de inicialización obtenidos del flujo de configuración del token de software. Los clientes pueden adquirir estos tokens del proveedor de su elección y usar la clave secreta o el valor de inicialización en el proceso de configuración de su proveedor.

Tokens de hardware OATH (versión preliminar)

Microsoft Entra ID admite el uso de tokens OATH-TOTP SHA-1 que actualizan los códigos cada 30 o 60 segundos. Los clientes pueden adquirir estos tokens a través del proveedor de su elección. Los tokens OATH de hardware están disponibles para usuarios con una licencia Microsoft Entra ID P1 o P2.

Importante

La versión preliminar solo se admite en nubes globales de Azure y Azure Government.

Los tokens de hardware TOTP de OATH suelen incluir una clave secreta, o valor de inicialización, programada previamente en el token. Estas claves deben introducirse en Microsoft Entra ID tal como se describe en los pasos siguientes. Las claves secretas están limitadas a 128 caracteres, que no son compatibles con algunos tokens. La clave secreta solo puede contener los caracteres a-z o A-Z y los dígitos 2-7, y debe estar codificada en base 32.

Los tokens de hardware OATH TOTP programables que pueden volver a sembrarse también pueden configurarse con Microsoft Entra ID en el flujo de configuración de tokens de software.

Los tokens de hardware OATH se admiten como parte de una versión preliminar pública. Para más información sobre las versiones preliminares, consulte Términos de uso complementarios de las versiones preliminares de Microsoft Azure.

Screenshot of OATH token management.

Una vez adquiridos los tokens, deben cargarse en un formato de archivo de valores separados por comas (CSV). El archivo debe incluir el UPN, el número de serie, la clave secreta, el intervalo de tiempo, el fabricante y el modelo, como se muestra en el ejemplo siguiente:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

Nota:

Asegúrese de incluir la fila de encabezado en el archivo CSV.

Una vez formateado correctamente como archivo CSV, un administrador global puede iniciar sesión en el Centro de administración de Microsoft Entra, ir a Protección>Autenticación multifactor>Tokens OATH y cargar el archivo CSV resultante.

En función del tamaño del archivo CSV, puede tardar unos minutos en procesarse. Seleccione el botón Actualizar para ver el estado actual. Si hay algún error en el archivo, puede descargar un archivo CSV que enumere los errores para poder resolverlos. Los nombres de campo del archivo CSV descargado son diferentes de los de la versión cargada.

Una vez solucionados los errores, el administrador puede seleccionar Activar en el token y escribir la OTP que se muestra en el token para activar cada clave. Puede activar un máximo de 200 tokens OATH cada 5 minutos.

Los usuarios pueden tener una combinación de hasta cinco tokens de hardware OATH o aplicaciones de autenticación, como la aplicación Microsoft Authenticator, que está configurada para utilizarse en cualquier momento. Los tokens OATH de hardware no se pueden asignar a los usuarios invitados en el inquilino de recursos.

Importante

Asegúrese de asignar solo cada token a un solo usuario. En el futuro, la compatibilidad con la asignación de un único token a varios usuarios se detiene para evitar un riesgo de seguridad.

Solución de problemas de un error durante el procesamiento de carga

En ocasiones, puede haber conflictos o problemas que se producen con el procesamiento de una carga del archivo CSV. Si se produce algún conflicto o problema, recibirá una notificación similar a la siguiente:

Screenshot of upload error example.

Para determinar el mensaje de error, asegúrese y seleccione Ver detalles. Se abre la hoja Estado del token de hardware y se proporciona el resumen del estado de la carga. Muestra que se ha producido un error o varios errores, como en el ejemplo siguiente:

Screenshot of hardware token status example.

Para determinar la causa del error que aparece, asegúrese de hacer clic en la casilla situada junto al estado que desea ver, que activa la opción Descargar. Esto descarga un archivo CSV que contiene el error identificado.

Screenshot of download status example.

El archivo descargado se denomina Failures_filename.csv donde nombre de archivo es el nombre del archivo cargado. Se guarda en el directorio de descargas predeterminado del explorador.

En este ejemplo se muestra el error identificado como un usuario que no existe actualmente en el directorio del inquilino:

Screenshot of error reason example.

Una vez que haya solucionado los errores enumerados, vuelva a cargar el ARCHIVO CSV hasta que se procese correctamente. La información de estado de cada intento permanece durante 30 días. El CSV se puede quitar manualmente haciendo clic en la casilla situada junto al estado y seleccionando Eliminar estado si así lo desea.

Determinar el tipo de registro de tokens OATH

Los usuarios pueden administrar y agregar registros de tokens OATH accediendo a mysecurityinfo o seleccionando Información de seguridad en Mi cuenta. Los iconos específicos se usan para diferenciar si el registro de tokens OATH está basado en hardware o software.

Tipo de registro de token Icono
Token de software OATH Software OATH token
Token de hardware OATH Hardware OATH token

Pasos siguientes

Más información sobre la configuración de métodos de autenticación con la API REST de Microsoft Graph. Obtenga información sobre los proveedores de claves de seguridad FIDO2 que son compatibles con la autenticación sin contraseña.