Nivel 1 de seguridad del autenticador de NIST con Microsoft Entra ID
El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) desarrolla los requisitos técnicos de las agencias federales de Estados Unidos que implementan soluciones de identidad. Las organizaciones deben cumplir estos requisitos al trabajar con agencias federales.
Antes de comenzar el nivel de garantía del autenticador 1 (AAL1), puede revisar los siguientes recursos:
- Información general sobre NIST: descripción de los niveles de AAL
- Conceptos básicos de autenticación: terminología y tipos de autenticación
- Tipos de autenticadores de NIST: tipos de autenticadores
- AAL de NIST: componentes de AAL, métodos de autenticación de Microsoft Entra y módulos de plataforma segura (TPM).
Tipos de autenticadores permitidos
Para lograr AAL1, puede usar cualquier autenticador permitido de factor único o multifactor de NIST.
| Método de autenticación de Microsoft Entra | Tipo de autenticador de NIST |
|---|---|
| Contraseña | Secreto memorizado |
| Teléfono (SMS): no recomendado | Fuera de banda de factor único |
| Aplicación Microsoft Authenticator (sin contraseña) | Fuera de banda multifactor |
| Certificado de software de factor único | Software criptográfico de factor único |
| Certificado de software multifactor (protegido por PIN) Windows Hello para empresas con TPM de software |
Software criptográfico multifactor |
| Certificado protegido por hardware (tarjeta inteligente/clave de seguridad/TPM) Claves de seguridad FIDO 2 Windows Hello para empresas con TPM de hardware |
Hardware criptográfico multifactor |
Sugerencia
Se recomienda seleccionar al menos autenticadores AAL2 resistentes a la suplantación de identidad. Seleccione autenticadores AAL3 según sea necesario por motivos empresariales, estándares del sector o requisitos de cumplimiento normativo.
Validación de FIPS 140
Requisitos del comprobador
Microsoft Entra ID usa el módulo criptográfico Windows FIPS 140 de nivel 1 para todas sus operaciones criptográficas relacionadas con la autenticación. Por lo tanto, es un comprobador compatible con FIPS 140 según las exigencias de las agencias gubernamentales.
Resistencia de tipo "man in the middle" (MitM)
Todas las comunicaciones entre el solicitante y Microsoft Entra ID se realizan a través de un canal protegido y autenticado para proporcionar resistencia a los ataques de tipo "Man in the middle" (MitM). Esta configuración satisface los requisitos de resistencia de MitM para AAL1, AAL2 y AAL3.
Pasos siguientes
Conceptos básicos sobre autenticación
Tipos de autenticadores de NIST
Lograr NIST AAL1 con Microsoft Entra ID