Glosario para desarrolladores de la plataforma de identidad de Microsoft

En este artículo se incluye definiciones de terminología y algunos de los conceptos clave para desarrolladores, que son útiles para aprender sobre el desarrollo de aplicaciones mediante la plataforma de identidad de Microsoft.

Access token

Un tipo de token de seguridad emitido por un servidor de autorización y usado por una aplicación cliente para acceder a un servidor de recursos protegidos. Normalmente en forma de JSON Web Token (JWT), el token personifica la autorización concedida al cliente por el propietario del recurso para un nivel de acceso solicitado. El token contiene todas las notificaciones aplicables sobre el sujeto, lo que permite a la aplicación cliente utilizarlo como forma de credencial al acceder a un recurso determinado. Esto también elimina la necesidad de que el propietario del recurso exponga sus credenciales al cliente.

Los tokens de acceso solo son válidos durante un breve período de tiempo y no se pueden revocar. Un servidor de autorización también puede emitir un token de actualización cuando se emite el token de acceso. Normalmente, los tokens de actualización solo se proporcionan para las aplicaciones cliente confidenciales.

A veces se conoce a los tokens de acceso como "Aplicación y usuario" o "Solo aplicación", según las credenciales que se va a representar. Por ejemplo, cuando una aplicación cliente usa:

  • La concesión de autorización del "código de autorización", el usuario final se autentica primero como propietario del recurso, delegando la autorización al cliente para acceder al recurso. Después, el cliente se autentica al obtener el token de acceso. El token a veces se conoce más específicamente como token "Aplicación y usuario", ya que representa tanto al usuario que ha autorizado la aplicación cliente como a la aplicación.
  • La concesión de autorización de "Credenciales de cliente", el cliente proporciona la autenticación única, que funciona sin la autorización o autenticación del propietario del recurso, por lo que a veces el token puede conocerse como un token "Solo aplicación".

Consulte la referencia de tokens de acceso para más información.

Actor

Otro término para la aplicación cliente: es la parte que actúa en nombre del sujeto o el propietario del recurso.

Identificador de aplicación (id. del cliente)

El identificador único que Azure AD emite para un registro de la aplicación que identifica una aplicación específica y las configuraciones asociadas. Este identificador de aplicación (Id. del cliente) se usa al realizar solicitudes de autenticación y se proporciona a las bibliotecas de autenticación en el tiempo de desarrollo. El identificador de aplicación (id. del cliente) no es un secreto.

Manifiesto de aplicación

Una característica proporcionada por Azure Portal, que genera una representación JSON de la configuración de identidad de la aplicación, utilizada como un mecanismo para actualizar sus entidades Application y ServicePrincipal asociadas. Para más información, consulte Descripción del manifiesto de aplicación de Azure Active Directory.

Objeto de aplicación

Cuando se registra o se actualiza una aplicación en Azure Portal, el portal crea o actualiza un objeto de aplicación y el objeto de entidad de servicio correspondiente para dicho inquilino. El objeto de aplicación define globalmente la configuración de identidad de la aplicación (en todos los inquilinos a los que tiene acceso), lo que proporciona una plantilla de la que proceden los objetos de entidad de servicio correspondientes para su uso local en tiempo de ejecución (en un inquilino específico).

Para más información, consulte Objetos de aplicación y de entidad de servicio de Azure Active Directory (Azure AD).

Registro de la aplicación

Para permitir que una aplicación integre y delegue las funciones de administración de identidades y acceso a Azure AD, debe registrarse con el inquilinode Azure AD. Al registrar la aplicación con Azure AD, se proporciona una configuración de identidad para la aplicación, lo que le permite integrarla con Azure AD y usar características tales como:

Para más información, consulte Integración de aplicaciones con Azure Active Directory.

Authentication

El acto de solicitar a un usuario credenciales legítimas, que proporciona la base para la creación de una entidad de seguridad que se utilizará para el control de identidades y de acceso. Por ejemplo, durante una concesión de autorización de OAuth2, el usuario que se autentica está cumpliendo el rol de propietario del recurso o de aplicación cliente, en función de la concesión usada.

Authorization

El acto de conceder un permiso a la entidad de seguridad autenticada para hacer algo. Hay dos casos de uso principales en el modelo de programación de Azure AD:

Código de autorización

Un "token" de corta duración proporcionado a una aplicación cliente por el punto de conexión de autorización, como parte del flujo de "código de autorización", una de las cuatro concesiones de autorización de OAuth2. El código se devuelve a la aplicación cliente como respuesta a la autenticación de un propietario del recurso, lo que indica que este propietario ha delegado la autorización para acceder a los recursos solicitados. Como parte del flujo, el código se canjea después por un token de acceso.

Punto de conexión de autorización

Uno de los puntos de conexión implementados por el servidor de autorización, que se usa para interactuar con el propietario del recurso con el fin de proporcionar una concesión de autorización durante un flujo de concesión de autorización de OAuth2. Según el flujo de concesión de autorización que se utilice, puede variar la concesión real proporcionada, incluido un código de autorización o un token de seguridad.

Consulte las secciones sobre los tipos de concesión de autorización de la especificación OAuth2 y el punto de conexión de autorización y la especificación de OpenIDConnect para más información.

Concesión de autorización

Una credencial que representa la autorización del propietario del recurso para acceder a sus recursos protegidos, concedida a una aplicación cliente. Una aplicación cliente puede utilizar uno de los cuatro tipos de concesión definidos por la plataforma de autorización de OAuth2 para obtener una concesión, según los requisitos o tipo de cliente: "concesión de código de autorización", "concesión de credenciales de cliente", "concesión implícita" y "concesión de credenciales de contraseña del propietario de recursos". La credencial que se devuelve al cliente es un token de acceso o un código de autorización (que se intercambia después por un token de acceso), según el tipo de concesión de autorización usado.

Servidor de autorización

Tal como se define en la plataforma de autorización de OAuth2, el servidor responsable de emitir los tokens de acceso al cliente después de autenticar correctamente al propietario del recurso y obtener su autorización. Un aplicación cliente interactúa con el servidor de autorización en tiempo de ejecución por medio de sus puntos de conexión de autorización y token, con arreglo a las concesiones de autorización definidas en OAuth2.

En el caso de la integración de aplicaciones de la Plataforma de identidad de Microsoft, esta última implementa el rol de servidor de autorización para aplicaciones de Azure AD y las API de servicio de Microsoft, por ejemplo las API de Microsoft Graph.

Notificación

Un token de seguridad contiene notificaciones, que proporcionan aserciones acerca de una entidad (como una aplicación cliente o un propietario del recurso) a otra entidad (como el servidor de recursos). Las notificaciones son pares de nombre/valor que retransmiten datos sobre el asunto del token (por ejemplo, la entidad de seguridad que autenticó el servidor de autorización). Las notificaciones presentes en cualquier token dependen de varias variables, como el tipo de token, el tipo de credencial que se usa para autenticar al usuario y la configuración de la aplicación, entre otras.

Para más información, consulte la referencia de tokens de acceso de plataforma de identidad de Microsoft.

Aplicación cliente

También se denomina "actor". Tal como se define en la plataforma de autorización de OAuth2, una aplicación que realiza solicitudes de recursos protegidos en nombre del propietario del recurso. Reciben permisos del propietario del recurso en forma de ámbitos. El término "cliente" no implica ninguna característica de implementación de hardware determinada (por ejemplo, si la aplicación se ejecuta en un servidor, un equipo de escritorio o en otros dispositivos).

Una aplicación cliente solicita autorización a un propietario del recurso para participar en un flujo de concesión de autorización de OAuth2 y puede acceder a los datos y las API en nombre del propietario del recurso. La plataforma de autorización de OAuth2 define dos tipos de clientes, "confidencial" y "público", en función de la capacidad del cliente para mantener la confidencialidad de sus credenciales. Las aplicaciones pueden implementar un cliente web (confidencial) que se ejecuta en un servidor web, un cliente nativo (público) instalado en un dispositivo y un cliente basado en agente usuario (público) que se ejecuta en el explorador de un dispositivo.

El proceso de un propietario de recursos que concede autorización a una aplicación cliente, para acceder a recursos protegidos bajo permisos específicos, en nombre del propietario del recurso. Según los permisos solicitados por el cliente, se le solicitará al administrador o usuario su consentimiento para permitir el acceso a los datos de la organización o individuales, respectivamente. Tenga en cuenta que en un escenario multiinquilino, la entidad de servicio de la aplicación también se registra en el inquilino del usuario que concede el consentimiento.

Consulte el marco de consentimiento para más información.

token de identificador

Un token de seguridad de OpenID Connect proporcionado por un punto de conexión de autorización del servidor de autorización, que contiene las notificaciones que pertenecen a la autenticación de un propietario de recursos de usuario final. Al igual que un token de acceso, los tokens de identificador también se representan como JSON Web Token (JWT) firmados digitalmente. Sin embargo, a diferencia de un token de acceso, las notificaciones de token de identificador no se usan para fines relacionados con el acceso a los recursos y específicamente con el control de acceso.

Consulte la referencia de tokens de identificador para más información.

Identidades administradas

Eliminan la necesidad de que los desarrolladores administren las credenciales. Además, proporcionan una identidad que usan las aplicaciones al conectarse a recursos que admiten la autenticación de Azure AD. Las aplicaciones pueden usar la identidad administrada para obtener tokens de Azure AD. Por ejemplo, una aplicación puede usar una identidad administrada para acceder a recursos como Azure Key Vault donde los desarrolladores pueden almacenar credenciales de forma segura o tener acceso a cuentas de almacenamiento. Para más información, vea Introducción a las identidades administradas.

Plataforma de identidad de Microsoft

La plataforma de identidad de Microsoft es una evolución de la plataforma de desarrolladores y de servicio de identidad de Azure Active Directory (Azure AD). Permite a los desarrolladores crear aplicaciones que inicien sesión en todas las identidades de Microsoft, obtener tokens para llamar a Microsoft Graph, otras API de Microsoft o API que los desarrolladores hayan creado. Es una plataforma completa que consiste en un servicio de autenticación, bibliotecas, registro y configuración de aplicaciones, documentación completa para desarrolladores, ejemplos de código y otros contenidos para desarrolladores. La plataforma de identidad de Microsoft admite los protocolos estándar del sector como OAuth 2.0 y OpenID Connect.

Aplicación multiinquilino

Una clase de aplicación que permite iniciar sesión y consentir a usuarios aprovisionados en un inquilino de Azure AD, incluidos inquilinos que no son aquel con el que el cliente está registrado. De forma predeterminada, las aplicaciones cliente nativas son aplicaciones multiinquilino, mientras que las aplicaciones cliente web y recurso web/API tienen la capacidad de seleccionar entre uno y varios inquilinos. Por el contrario, una aplicación web registrada como único inquilino solo permite inicios de sesión desde cuentas de usuario aprovisionadas en el mismo inquilino que donde se registra la aplicación.

Consulte Inicio de sesión de cualquier usuario de Azure Active Directory (AD) mediante el patrón de aplicación multiinquilino para más información.

Native Client

Un tipo de aplicación cliente que se instala de forma nativa en un dispositivo. Como todo el código se ejecuta en un dispositivo, se considera un cliente "público" debido a su incapacidad para almacenar credenciales de manera privada o confidencial. Consulte los tipos de cliente y perfiles de OAuth2 para más información.

Permisos

Una aplicación cliente obtiene acceso a un servidor de recursos mediante la declaración de las solicitudes de permiso. Existen dos tipos:

También se revelan durante el proceso de consentimiento , ya que proporciona al administrador o al propietario del recurso la oportunidad de conceder o denegar el acceso de cliente a los recursos en su inquilino.

Las solicitudes de permisos se configuran en la pestaña Permisos de API de Azure Portal al seleccionar los permisos delegados y permisos de la aplicación deseados (estos últimos requiere la pertenencia al rol de administrador global). Dado que un cliente público no puede mantener credenciales con seguridad, solo puede solicitar permisos delegados, mientras que un cliente confidencial tiene la capacidad de solicitar permisos tanto delegados como de aplicación. El objeto de aplicación de cliente almacena los permisos declarados en su propiedad requiredResourceAccess.

Token de actualización

Un tipo de token de seguridad emitido por un servidor de autorización y usado por una aplicación cliente para solicitar un nuevo token de acceso antes de que expire el token de acceso. Normalmente en forma de JSON Web Token (JWT).

A diferencia de los tokens de acceso, los tokens de actualización se pueden revocar. Si una aplicación cliente intenta solicitar un nuevo token de acceso con un token de actualización que ha sido revocado, el servidor de autorización denegará la solicitud y la aplicación cliente dejará de tener permiso de acceso al servidor de recursos en nombre del propietario del recurso.

Consulte los tokens de actualización para más información.

Propietario del recurso

De acuerdo con la plataforma de autorización de OAuth2, una entidad capaz de conceder acceso a un recurso protegido. Cuando el propietario del recurso es una persona, se conoce como usuario final. Por ejemplo, cuando una aplicación cliente desea acceder al buzón del usuario a través de Microsoft Graph API, requiere el permiso del propietario de los recursos del buzón de correo. Al "propietario del recurso" a veces también se le denomina el sujeto.

Cada token de seguridad representa un propietario del usuario. El propietario del recurso es lo que representan la notificación del sujeto, la notificación del identificador de objeto y los datos personales del token. Los propietarios de recursos son la entidad que concede permisos delegados a una aplicación cliente, en forma de ámbitos. Los propietarios de recursos también son los destinatarios de los roles que indican que hay permisos expandidos dentro de un inquilino o en una aplicación.

Servidor de recursos

Tal como se ha definido por la plataforma de autorización de OAuth2, un servidor que hospeda recursos protegidos, capaz de aceptar y responder a las solicitudes de recursos protegidos de las aplicaciones cliente que presentan un token de acceso. También se conoce como servidor de recursos protegidos, o aplicación de recursos.

Un servidor de recursos expone las API y exige el acceso a sus recursos protegidos mediante ámbitos y roles, con el marco de autorización de OAuth 2.0. Por ejemplo, Microsoft Graph API, que proporciona acceso a los datos del inquilino de Azure AD y a las API de Microsoft 365 que ofrecen acceso a datos, como el correo electrónico y el calendario.

Al igual que una aplicación cliente, se establece la configuración de la identidad de la aplicación de recursos a través de Registro en un inquilino de Azure AD, que proporciona tanto el objeto de aplicación y como el de entidad de servicio. Algunas API proporcionadas por Microsoft, como Microsoft Graph API, han registrado previamente entidades de servicio, que están disponibles en todos los inquilinos durante el aprovisionamiento.

Roles

Al igual que los ámbitos, los roles proporcionan una forma de que un servidor de recursos controle el acceso a los recursos que protege. A diferencia de los ámbitos, los roles representan privilegios que se han concedido al sujeto más allá de la línea base (este es el motivo por el que leer su propio correo electrónico es un ámbito, mientras que ser administrador de correo electrónico que puede leer el correo electrónico de todos los usuarios es un rol).

Los roles de las aplicaciones pueden admitir dos tipos de asignaciones: la asignación de "usuario" implementa el control de acceso basado en roles para aquellos usuarios o grupos que requieren acceso al recurso, mientras que la asignación de "aplicación" implementa lo mismo para las aplicaciones cliente que requieren acceso. Un rol de aplicación se puede definir como asignable por usuario, asignable por aplicación, o ambos.

Los roles son cadenas definidas por recursos (por ejemplo, "Aprobador de gastos", "Solo lectura", "Directory.ReadWrite.All"), administradas en Azure Portal mediante el manifiesto de aplicación del recurso, y almacenadas en la propiedad appRoles del recurso. Azure Portal también se usa para asignar usuarios a roles asignables por "usuario" y a configurar permisos de aplicaciones cliente para solicitar roles asignables por "aplicación".

Para ver una explicación detallada de los roles de aplicación expuestos por Microsoft Graph API, consulte los ámbitos de permisos de Graph API. Para obtener un ejemplo de implementación paso a paso, consulte Incorporación o eliminación de asignaciones de roles de Azure mediante Azure Portal.

Ámbitos

Como los roles, los ámbitos proporcionan una forma para que un servidor de recursos controle el acceso a los recursos protegidos. Los ámbitos se utilizan para implementar el control de acceso basado en ámbitos para una aplicación cliente a la que el propietario haya otorgado acceso delegado al recurso.

Los ámbitos son cadenas definidas por recursos (por ejemplo, "Mail.Read" o "Directory.ReadWrite.All"), administradas en Azure Portal mediante el manifiesto de aplicación del recurso, y almacenadas en la propiedad oauth2Permissions del recurso. Azure Portal también se utiliza para configurar los permisos delegados de la aplicación cliente para acceder a un ámbito.

Como procedimiento recomendado para la convención de nomenclatura, utilice un formato "resource.operation.constraint". Para ver una explicación detallada de los ámbitos expuestos por Microsoft Graph API, consulte los ámbitos de permisos de Graph API. Para conocer los ámbitos expuestos por los servicios de Microsoft 365, consulte la referencia de permisos de la API de Microsoft 365.

Token de seguridad

Un documento firmado con notificaciones, como un token OAuth2 o una aserción SAML 2.0. En el caso de una concesión de autorización de OAuth2, un token de acceso (OAuth2), un token de actualización y un token de identificador son tipos de token de seguridad, que se implementan como un JSON Web Token (JWT).

Objeto de entidad de servicio

Cuando se registra o se actualiza una aplicación en Azure Portal, el portal crea o actualiza un objeto de aplicación y un objeto de entidad de servicio correspondiente para dicho inquilino. El objeto de aplicación define globalmente la configuración de identidad de la aplicación (en todos los inquilinos a los que se le ha concedido acceso a la aplicación asociada) y es la plantilla de la que proceden los objetos de entidad de servicio correspondientes para su uso local en tiempo de ejecución (en un inquilino específico).

Para más información, consulte Objetos de aplicación y de entidad de servicio de Azure Active Directory (Azure AD).

Inicio de sesión

Proceso de una aplicación cliente que inicia la autenticación del usuario final y captura el estado relacionado con el fin de adquirir un token de seguridad y establecer el ámbito de la sesión de la aplicación en ese estado. El estado puede incluir artefactos, como información de perfil de usuario, e información derivada de las notificaciones de tokens.

Normalmente, la función de inicio de sesión de una aplicación se utiliza para implementar el inicio de sesión único (SSO). También puede ir precedido por una función de "suscripción", como punto de entrada para que un usuario final obtenga acceso a una aplicación (al primer inicio de sesión). La función de suscripción se usa para recopilar y conservar el estado adicional específico del usuario y puede requerir el consentimiento del usuario.

Cierre de sesión

Proceso de cancelación de la autenticación de un usuario final para desasociar el estado de usuario asociado a la sesión de la aplicación cliente durante el inicio de sesión

Asunto

También se conoce como propietario de recurso.

Inquilino

Una instancia de un directorio de Azure AD se conoce como inquilino de Azure AD. Proporciona varias características, como:

Los inquilinos de Azure AD se crean o asocian con suscripciones de Azure y Microsoft 365 durante el registro, lo que proporciona características de administración de identidad y acceso para la suscripción. Los administradores de la suscripción de Azure también pueden crear inquilinos de Azure AD adicionales través de Azure Portal. Consulte Obtención de un inquilino de Azure Active Directory para más información sobre las diversas maneras de acceder a un inquilino. Consulte Asociación o incorporación de una suscripción de Azure al inquilino de Azure Active Directory para obtener más información sobre la relación entre las suscripciones y un inquilino de Azure AD.

Punto de conexión de token

Uno de los puntos de conexión implementados por el servidor de autorización para admitir las concesiones de autorización de OAuth2. En función de la concesión, se puede utilizar para adquirir un token de acceso (y el token de "actualización" relacionado) a un cliente, o un token de identificador cuando se usa con el protocolo OpenID Connect.

cliente basada en agente usuario

Un tipo de aplicación cliente que descarga código desde un servidor web y se ejecuta dentro de un agente usuario (por ejemplo, un explorador web), como una aplicación de página única (SPA). Como todo el código se ejecuta en un dispositivo, se considera un cliente "público" debido a su incapacidad para almacenar credenciales de manera privada o confidencial. Consulte los tipos de cliente y perfiles de OAuth2 para más información.

Entidad de seguridad de usuario

Similar a cómo se usa un objeto de entidad de servicio para representar una instancia de aplicación, un objeto de entidad de seguridad de usuario es otro tipo de entidad de seguridad, que representa a un usuario. El tipo de recurso Usuario de Microsoft Graph define el esquema de un objeto de usuario, incluidas las propiedades relacionadas con el usuario, como el nombre y los apellidos, el nombre principal del usuario, la pertenencia al rol de directorio, etc. Esto proporciona la configuración de la identidad de usuario para que Azure AD establezca una entidad de seguridad del usuario en tiempo de ejecución. La entidad de seguridad del usuario se utiliza para representar a un usuario autenticado para el inicio de sesión único, al registrar la delegación del consentimiento o tomar decisiones de control de acceso, etc.

Cliente web

Un tipo de aplicación cliente que ejecuta todo el código en un servidor web y puede funcionar como un cliente de "confidencial" al almacenar de forma segura sus credenciales en el servidor. Consulte los tipos de cliente y perfiles de OAuth2 para más información.

Identidad de carga de trabajo

Identidad usada por una carga de trabajo de software (como una aplicación, un servicio, un script o un contenedor) para autenticar otros servicios y recursos y acceder a ellos. En Azure AD, las identidades de carga de trabajo son aplicaciones, entidades de servicio e identidades administradas. Para más información, vea Introducción a las identidades de carga de trabajo.

Federación de identidades de carga de trabajo

Permite acceder de forma segura a recursos protegidos de Azure AD desde aplicaciones y servicios externos sin necesidad de administrar secretos (en escenarios admitidos). Para más información, vea Federación de identidades de carga de trabajo.

Pasos siguientes

La Guía del desarrollador de la plataforma de identidad de Microsoft es la página de aterrizaje que se usar para todos los temas relacionados con el desarrollo de la Plataforma de identidad de Microsoft, que incluyen una introducción a la integración de aplicaciones, así como los conceptos básicos de la autenticación de la plataforma de identidad de Microsoft y escenarios de autenticación admitidos. También puede encontrar ejemplos de código y tutoriales sobre cómo empezar a trabajar rápidamente en GitHub.

Use la siguiente sección de comentarios para proporcionar comentarios y ayudarnos a mejorar y a dar forma a nuestro contenido. Puede incluir solicitudes de nuevas definiciones o de actualización de las existentes.