Autenticación LDAP con Microsoft Entra ID

El protocolo ligero de acceso a directorios (LDAP) es un protocolo de aplicación para trabajar con varios servicios de directorio. Los servicios de directorio, como Active Directory, almacenan información de usuarios y cuentas, e información de seguridad, como contraseñas. Luego, el servicio permite que la información se comparta con otros dispositivos de la red. Las aplicaciones empresariales, como el correo electrónico, los administradores de relaciones con el cliente (CRM) y el software de recursos humanos (RR. HH.), pueden usar LDAP para autenticación, acceso y búsqueda de información.

Microsoft Entra ID admite este patrón a través de Microsoft Entra Domain Services (AD DS). Permite que las organizaciones que adoptan una estrategia de primero en la nube modernicen su entorno al mover sus recursos LDAP locales a la nube. Las ventajas inmediatas serán:

• Integración con Microsoft Entra ID. Las adiciones de usuarios y grupos, o los cambios de atributo en sus objetos, se sincronizan automáticamente desde el inquilino de Microsoft Entra en AD DS. Los cambios en los objetos de Active Directory en el entorno local se sincronizan con Microsoft Entra ID y, a continuación, AD DS.

• Se simplifican las operaciones. Se reduce la necesidad de mantener y revisar manualmente las infraestructuras locales.

• Confiable. Obtiene servicios administrados de alta disponibilidad.

Cuándo se utiliza

Existe la necesidad de que una aplicación o un servicio usen la autenticación LDAP.

Componentes del sistema

• Usuario: Accede a las aplicaciones dependientes de LDAP a través de un explorador.

• Explorador web: Interfaz con la que el usuario interactúa para acceder a la dirección URL externa de la aplicación.

• Red virtual: Red privada en Azure a través de la cual la aplicación heredada puede consumir servicios de LDAP.

• Aplicaciones heredadas: Aplicaciones o cargas de trabajo de servidor que requieren LDAP implementado en una red virtual de Azure, o que tienen visibilidad para IP de instancia de AD DS a través de rutas de red.

• Microsoft Entra ID: sincroniza la información de identidad del directorio local de la organización a través de Microsoft Entra Connect.

• Microsoft Entra Domain Services (AD DS): realiza una sincronización unidireccional desde Microsoft Entra ID para proporcionar acceso a un conjunto central de usuarios, grupos y credenciales. La instancia de AD DS se asigna a una red virtual. Las aplicaciones, los servicios y las VM de Azure que se conectan a esta red virtual asignada a AD DS pueden usar las características de AD DS comunes, como LDAP, la unión a un dominio, la directiva de grupo, la autenticación NTLM y Kerberos.

  Nota

  En entornos en los que la organización no puede sincronizar los hashes de contraseña, o donde los usuarios inician sesión mediante tarjetas inteligentes, se recomienda usar un bosque de recursos en AD DS.

• Microsoft Entra Connect: una herramienta para la sincronización de información de identidad local con Microsoft Entra ID. El asistente para la implementación y las experiencias guiadas le ayudan a configurar los requisitos previos y los componentes necesarios para la conexión, incluida la sincronización y el inicio de sesión de Active Directory a Microsoft Entra ID.

• Active Directory: Servicio de directorio que almacena información de identidades locales, como información de usuarios y cuentas, e información de seguridad, como contraseñas.

Implementación de la autenticación LDAP con Microsoft Entra ID

• Creación y configuración de una instancia de Microsoft Entra Domain Services

• Configuración de redes virtuales para una instancia de Microsoft Entra Domain Services

• Configuración de LDAP seguro para un dominio administrado de Microsoft Entra Domain Services

• Creación de una confianza de bosque de salida en un dominio local de Microsoft Entra Domain Services