Configuración de Azure AD B2C para la protección de la identidad del cliente

Configuración de Azure AD B2C para la protección de la identidad del cliente

01/05/2025

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la configuración y el uso de Azure AD B2C (empresa a consumidor) para proteger y administrar las identidades de los clientes. En un mundo digital donde la experiencia del cliente es primordial, ofrecer un proceso de registro e inicio de sesión seguro, intuitivo y personalizable es crucial. Azure AD B2C es una solución de gestión de acceso e identidad del cliente (CIAM) que permite a sus clientes registrarse e iniciar sesión en sus aplicaciones y API utilizando sus identidades sociales (como Google, Facebook) o cuentas locales [1].

Introducción

La identidad del cliente es la base de la experiencia digital moderna. Las aplicaciones web y móviles necesitan un sistema sólido para gestionar el registro, el inicio de sesión y los perfiles de millones de clientes, garantizando la seguridad, la escalabilidad y el cumplimiento de las normas de privacidad. Desarrollar y mantener un sistema CIAM interno es complejo, costoso y propenso a errores de seguridad. Soluciones como Azure AD B2C eliminan esta complejidad al proporcionar una plataforma como servicio (PaaS) que maneja todos los aspectos de la gestión de identidades del cliente [2].

Azure AD B2C amplía las capacidades de Azure Active Directory para satisfacer las necesidades específicas de las aplicaciones orientadas al consumidor. Permite a las organizaciones personalizar completamente la experiencia de identidad del cliente, desde las páginas de inicio de sesión y registro hasta los atributos que se recopilan. Además, se integra con funciones de seguridad avanzadas como autenticación multifactor (MFA), acceso condicional y protección de identidad para proteger las cuentas de los clientes contra amenazas comunes como ataques de fuerza bruta y credenciales comprometidas [3].

Esta guía práctica cubrirá los requisitos previos, conceptos B2C, cómo crear y configurar un inquilino B2C, registrar aplicaciones, configurar flujos de usuarios personalizables (registro, inicio de sesión, edición de perfil, restablecimiento de contraseña), cómo integrarse con aplicaciones y cómo probar y validar la autenticación. Se proporcionarán instrucciones paso a paso, ejemplos prácticos y explicaciones concisas para que el lector pueda implementar, probar y validar estas características. Además, se discutirán consejos de seguridad, controles de cumplimiento y mejores prácticas para garantizar que las identidades de sus clientes estén protegidas y administradas de manera eficiente, autónoma, profesional y confiable.

¿Por qué Azure AD B2C es crucial para proteger las identidades de los clientes?

  • Experiencia del cliente mejorada: proporciona opciones de inicio de sesión social y personalización completa de la interfaz de usuario, lo que resulta en una experiencia de usuario fluida y consistente.
  • Seguridad sólida: integra funciones de seguridad de nivel empresarial como MFA, acceso condicional y protección de identidad para proteger las cuentas de los clientes de ataques.
  • Escalabilidad y confiabilidad: Diseñado para manejar millones de usuarios y miles de millones de autenticaciones, garantizando alta disponibilidad y rendimiento.
  • Cumplimiento: ayuda a cumplir con las regulaciones de privacidad de datos como GDPR y LGPD a través del control sobre el almacenamiento y procesamiento de los datos de los clientes.
  • Reducción de costos: Elimina la necesidad de construir y mantener una infraestructura de identidad interna compleja.
  • Flexibilidad: Admite una amplia gama de protocolos de autenticación (OpenID Connect, OAuth 2.0, SAML) y se puede integrar con prácticamente cualquier aplicación.

Requisitos previos

Para configurar Azure AD B2C, necesitará los siguientes elementos:

  1. Suscripción activa de Azure: una suscripción de Azure para crear y administrar recursos.
  2. Acceso administrativo: una cuenta con el rol de "Administrador global" o "Administrador de usuarios" en la suscripción de Azure.
  3. Inquilino de Azure AD B2C: un nuevo inquilino de Azure AD B2C, que es un directorio independiente del inquilino corporativo de Azure AD.

Paso a paso: Configurar Azure AD B2C

Creemos un inquilino B2C, registremos una aplicación y configuremos un flujo de usuarios.

1. Creación de un inquilino de Azure AD B2C

Un inquilino B2C es un directorio independiente que almacena las identidades de sus clientes.

  1. Abra su navegador y navegue hasta el portal de Azure: https://portal.azure.com.
  2. Inicie sesión con una cuenta que tenga los permisosEs necesario.
  3. En el campo de búsqueda superior, escriba "Azure Active Directory B2C" y selecciónelo de los resultados.

  4. Haga clic en + Crear un nuevo inquilino de Azure AD B2C.

  5. Cree un inquilino B2C:

    • Tipo de inquilino: Inquilino de Azure AD B2C.
    • Nombre de la organización: proporcione un nombre para su organización (por ejemplo: MyCompanyB2C).
    • Nombre de dominio inicial: elija un nombre de dominio único (por ejemplo: mycompanyab2c.onmicrosoft.com).
    • País/Región: Seleccione su país/región.
    • Suscripción: seleccione su suscripción de Azure.
    • Grupo de recursos: cree un nuevo grupo de recursos (por ejemplo, rg-b2c) o seleccione uno existente.

  6. Haga clic en Revisar + crear y luego en Crear.

    • Explicación: La creación de inquilinos B2C puede tardar unos minutos. Una vez creado, deberá cambiar a este nuevo directorio B2C para administrarlo.

2. Registrar una aplicación en Azure AD B2C

Cada aplicación que utilizará Azure AD B2C para la autenticación debe estar registrada.

  1. En Azure Portal, asegúrese de estar en el inquilino de Azure AD B2C (use el selector de directorio en la esquina superior derecha).
  2. En el panel de navegación izquierdo, seleccione Registros de aplicaciones en "Administrar".

  3. Haga clic en + Nuevo registro.

  4. Registrar una aplicación:

    • Nombre: Dé un nombre a su aplicación (ej: WebApp-MinhaEmpresa).
    • Tipos de cuentas admitidos: seleccione Cuentas en cualquier directorio organizacional o directorio de proveedor de identidad (para autenticar usuarios con flujos de usuarios).
    • URI de redireccionamiento (opcional): seleccione Web e ingrese la URL donde se enviará el token de autenticación después de iniciar sesión (por ejemplo, https://localhost:5001/signin-oidc para desarrollo local o la URL de producción de su aplicación).
    • Permisos: marque Otorgar consentimiento de administrador para permisos openid y offline_access.

  5. Haga clic en Registrarse.

  6. Después del registro, anote el ID de aplicación (cliente) y el ID de directorio (inquilino). Los necesitará para configurar su aplicación.

3. Creación de flujos de usuarios

Los flujos de usuario son experiencias de identidad predefinidas y personalizables para registro, inicio de sesión, edición de perfil y restablecimiento de contraseña.

  1. En el panel de navegación izquierdo de su inquilino de Azure AD B2C, seleccione Flujos de usuario en "Políticas".

  2. Haga clic en +Nuevo flujo de usuario.

  3. Crear un flujo de usuario:

    • Tipo de flujo de usuario: Seleccione Registrarse e iniciar sesión.
    • Versión: Recomendada.
    • Nombre: proporcione un nombre (por ejemplo: B2C_1_signup_signin).
    • Proveedores de identidad: seleccione Correo electrónico de cuenta local (y otros como Google, Facebook si desea integrar proveedores sociales).
    • Atributos de usuario y reclamos de token: seleccione los atributos que desea recopilar durante el registro (por ejemplo, "Dirección de correo electrónico", "Nombre", "Apellido") y los reclamos que se incluirán en el token.
    • Autenticación multifactor (MFA): Deshabilitada (para este ejemplo, pero se puede habilitar para mayor seguridad).
    • Acceso condicional: Deshabilitado (para este ejemplo).

  4. Haga clic en Crear.

  5. Repita el proceso para crear otros flujos de usuario, como Restablecer contraseña (por ejemplo, B2C_1_password_reset) y Edición de perfil (por ejemplo, B2C_1_profile_edit).

    • Explicación: Los flujos de usuarios son la columna vertebral de la experiencia de identidad del cliente. Definen la secuencia de pantallas e interacciones que tendrá un usuario durante el proceso de autenticación. Puede personalizar la apariencia y el comportamiento de estos flujos.

4. Personalización de la interfaz de usuario (UI) de los flujos de usuario

Puede personalizar la apariencia de las páginas de inicio de sesión y registro para que coincidan con la marca de su aplicación.

  1. En el panel de navegación izquierdo de su inquilino de Azure AD B2C, seleccione Flujos de usuario.
  2. Haga clic en el flujo de usuario que creó (por ejemplo: B2C_1_signup_signin).
  3. En el panel de navegación izquierdo, seleccione Diseños de página.

  4. Puede personalizar el diseño de cada página (por ejemplo: "Página de inicio de sesión unificada", "Página de registro de cuenta local") utilizando CSS o HTML personalizado para que coincida con su marca.

    • Explicación: Para una personalización avanzada, puede alojar sus propios archivos HTML/CSS/JavaScript en un almacenamiento de blobs de Azure y hacer referencia a ellos.ellos aquí.

5. Integración de Azure AD B2C con una aplicación

La integración implica configurar su aplicación para usar Azure AD B2C para la autenticación. El proceso varía según la plataforma y el marco de su aplicación. Usaremos un ejemplo conceptual para una aplicación web.

  1. Configure la aplicación para usar OpenID Connect: su aplicación deberá usar un cliente OpenID Connect para comunicarse con Azure AD B2C.

  2. Parámetros de configuración: Necesitará los siguientes parámetros de su inquilino B2C y de su aplicación registrada:

    • ID de cliente (ID de aplicación): El ID de su aplicación registrada (por ejemplo, xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).
    • B2C Tenant ID (ID de inquilino): el nombre de su inquilino B2C (por ejemplo: mycompanyab2c.onmicrosoft.com).
    • Nombre del flujo de usuario (nombre de la política): el nombre del flujo de usuario que desea utilizar para iniciar sesión (por ejemplo: B2C_1_signup_signin).
    • URI de redireccionamiento: la URL que configuró en el registro de la aplicación (por ejemplo: https://localhost:5001/signin-oidc).

    • Punto final de metadatos de OpenID Connect: este punto final proporciona la información de configuración B2C. El formato suele ser https://<tenant_name_b2c>.b2clogin.com/<tenant_name_b2c>.onmicrosoft.com/<userflow_name>/v2.0/.well-known/openid-configuration.

    • Ejemplo de configuración (pseudocódigo para una aplicación web ASP.NET Core): csharp // Startup.cs o Programa.cs servicios.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme) .AddMicrosoftIdentityWebApp(opciones => { Configuration.Bind("AzureAdB2C", opciones); opciones.Instancia = "https://minhaempresab2c.b2clogin.com"; opciones.Dominio = "miempresaab2c.onmicrosoft.com"; opciones.ClientId = "<CLIENT_ID_DA_APLICACAO>"; opciones.SignUpSignInPolicyId = "B2C_1_signup_signin"; opciones.CallbackPath = "/signin-oidc"; opciones.SignedOutCallbackPath = "/signout-oidc"; opciones.ClientSecret = "<CLIENTE_SEGREDO_SE_USADO>"; // Solo para aplicaciones web que no sean SPA });

    • Explicación: La biblioteca Microsoft.Identity.Web simplifica la integración de Azure AD B2C con aplicaciones .NET. Para otras plataformas, existen bibliotecas y SDK equivalentes.

Validación y pruebas

Es fundamental probar el proceso de autenticación y la experiencia del usuario.

1. Prueba del flujo de registro e inicio de sesión del usuario

  1. Escenario: acceda a su aplicación web configurada para usar Azure AD B2C. Intente registrar un nuevo usuario y luego inicie sesión con la cuenta recién creada.
  2. Acción esperada: Debería ser redirigido a la página de registro/inicio de sesión de Azure AD B2C, poder crear una cuenta, iniciar sesión y ser redirigido nuevamente a su aplicación correctamente.
  3. Verificación:
    • En Azure Portal, en su inquilino B2C, navegue hasta Usuarios en "Administrar". El nuevo usuario debería aparecer en la lista.
    • Consulte los registros de auditoría de Azure AD B2C para confirmar los eventos de registro e inicio de sesión.

2. Prueba de restablecimiento de contraseña

  1. Escenario: Intente restablecer la contraseña de un usuario utilizando el flujo de usuario para restablecer contraseña.
  2. Acción esperada: el usuario debería poder restablecer su contraseña e iniciar sesión con la nueva contraseña.
  3. Verificación:
    • Consulte los registros de auditoría de Azure AD B2C para confirmar el evento de restablecimiento de contraseña.

3. Comprobación de registros de auditoría en Azure AD B2C

  1. En Azure Portal, en su inquilino B2C, navegue hasta Azure Active Directory > Monitoreo > Registros de auditoría.
  2. Filtre los registros por Categoría = Core Directory y Actividad = Iniciar sesión o Registrarse.
  3. Verifique los detalles del evento para confirmar el éxito de las operaciones de autenticación.

Consejos de seguridad y mejores prácticas

  • Habilitar MFA: habilite siempre la autenticación multifactor (MFA) para los flujos de usuarios que inician sesión, especialmente para cuentas con privilegios o acceso a datos confidenciales. MFA es una de las defensas más eficaces contra los ataques de compromiso de credenciales.
  • Usar acceso condicional: integre Azure AD B2C con acceso condicional para aplicar políticas de seguridad basadas en riesgos, como requerir MFA para inicios de sesión desde ubicaciones desconocidas o dispositivos no compatibles [3].
  • Protección de identidad:Utilice las características de Azure AD B2C Identity Protection para detectar y corregir riesgos de identidad, como credenciales filtradas o inicios de sesión anómalos.
  • Personalización segura de la interfaz de usuario: al personalizar las páginas de inicio de sesión/registro, asegúrese de que el HTML/CSS/JavaScript personalizado no introduzca vulnerabilidades de seguridad (por ejemplo, XSS). Utilice almacenamiento de blobs seguro con CORS configurado correctamente.
  • Restringir atributos de usuario: recopile solo aquellos atributos de usuario que sean estrictamente necesarios para su aplicación y negocio. Esto minimiza el riesgo de exposición de datos y ayuda con el cumplimiento.
  • Supervisión de registros: supervise continuamente los registros de auditoría y de inicio de sesión de Azure AD B2C para detectar actividades sospechosas o intentos de ataque.
  • Rotación del secreto del cliente: si su aplicación utiliza un secreto del cliente, asegúrese de rotarlo periódicamente y almacenarlo de forma segura (por ejemplo, Azure Key Vault).
  • Integración con Proveedores Sociales: Al integrar proveedores de identidad social como Google o Facebook, configúrelos correctamente y siga las pautas de seguridad de cada proveedor.

Solución de problemas comunes

  • Error al crear un inquilino B2C: *Comprueba que tienes los permisos necesarios en tu suscripción de Azure.
    • Asegúrese de que el nombre de dominio inicial sea único y no esté en uso.
  • Error de redirección después de iniciar sesión/registrarse:
    • Verifique que el Redirect URI configurado en el registro de la aplicación en Azure AD B2C coincida exactamente con la URL de retorno de su aplicación.
    • Asegúrese de que el protocolo (HTTP/HTTPS) y el puerto sean correctos.
  • El flujo de usuarios no funciona o muestra un error:
    • Verificar que el flujo de usuarios se haya creado correctamente y que los proveedores de identidad y los atributos de usuario estén seleccionados.
    • Pruebe el flujo de usuarios directamente desde Azure Portal (en la página de flujo de usuarios, haga clic en "Ejecutar flujo de usuarios") para aislar el problema.
    • Verifique los registros de auditoría para detectar mensajes de error.
  • La personalización de la interfaz de usuario no se aplica:
    • Compruebe que las URL de los archivos CSS/HTML personalizados sean correctas y accesibles públicamente (si están alojadas en un almacenamiento de blobs).
    • Asegúrese de que CORS esté configurado correctamente en su almacenamiento de blobs para permitir el acceso desde el dominio b2clogin.com.
    • Borre la memoria caché de su navegador para asegurarse de que se carguen los últimos cambios.
  • Problemas de integración de aplicaciones:
    • Verifique que el ID de cliente, el ID de inquilino B2C y el Nombre de flujo de usuario estén configurados correctamente en su aplicación.
    • Asegúrese de que las bibliotecas de autenticación de su aplicación estén actualizadas.
    • Verifique los registros de su aplicación para ver si hay mensajes de error de autenticación.

Conclusión

Azure AD B2C es una solución potente y flexible para administrar y proteger las identidades de sus clientes, ofreciendo una experiencia de usuario mejorada y una seguridad sólida. Al delegar la complejidad de la gestión de identidades a Microsoft, las organizaciones pueden centrarse en su negocio principal, garantizando que los datos de sus clientes estén seguros y cumplan con las normas. La implementación cuidadosa de los flujos de usuarios, la integración con las mejores prácticas de seguridad y la supervisión continua son fundamentales para maximizar los beneficios de Azure AD B2C. Con esta guía práctica, los profesionales de seguridad y administradores de TI estarán bien equipados para configurar, validar y administrar Azure AD B2C, protegiendo las identidades de sus clientes y fortaleciendo la postura de seguridad general de sus aplicaciones.

Referencias:

[1] Microsoft aprende. Documentación de Azure Active Directory B2C. Disponible en: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/ [2] Microsoft aprende. Prácticas recomendadas para Azure AD B2C. Disponible en: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/best-practices [3] Microsoft aprende. Protección de Identidad y Acceso Condicional en Azure AD B2C. Disponible en: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/conditional-access-identity-protection-overview [4] Microsoft aprende. Registrar una aplicación web en Azure Active Directory B2C. Disponible en: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/tutorial-register-applications [5] Microsoft aprende. Crear flujos de usuarios y políticas personalizadas - Azure Active Directory B2C. Disponible en: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/tutorial-create-user-flows [6] Microsoft aprende. Configurar la autenticación en una aplicación web de muestra usando Azure AD B2C. Disponible en: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/configure-authentication-sample-web-app [7] Microsoft aprende. Investigar riesgos con Identity Protection en Azure AD B2C. Disponible en: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/identity-protection-investigate-risk