Introducción 👋

Para implementar Single Sign-On (SSO) en sus aplicaciones utilizando Entra ID de Microsoft. Este enfoque no solo mejora la experiencia del usuario, sino que también fortalece la seguridad.

¿Qué es este servicio? 🔍

Entra ID es una solución de identidad y acceso de Microsoft que permite a los usuarios iniciar sesión una sola vez y acceder a múltiples aplicaciones. Utiliza protocolos estándar como OAuth y OpenID Connect, lo que lo hace compatible con una amplia gama de aplicaciones, incluyendo las desarrolladas en Azure.

¿Qué cubrirá este post? 📖

En este post, detallaré los pasos para integrar SSO en su aplicación utilizando Entra ID. Cubriré desde la configuración inicial en Azure hasta la integración en su aplicación, asegurando un proceso fluido y seguro.

¿Por qué es importante para los arquitectos de soluciones? 🌍

Entender y aplicar SSO no solo simplifica la gestión de identidades, sino que también reduce la superficie de ataque, un aspecto vital en la arquitectura de cualquier solución en la nube.

¿Qué problemas puede resolver? 🔓

SSO resuelve varios problemas: elimina la necesidad de múltiples contraseñas, reduciendo el riesgo de ataques de fuerza bruta. También mejora la experiencia del usuario, ya que no necesitan recordar varias credenciales. Además, facilita la gestión de accesos y cumplimiento de normativas de seguridad.

Pasos para Registrar la aplicacion y usar el SSO

1. Puedes usar estos enlaces para mayor informacion

   • https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad

   • https://www.youtube.com/watch?v=r7gEKqSlb40

2. En el portal de Microsoft Entra ID, vamos a la opción Applications -> App registrations, y hacemos clic en el botón "new registration".

3. Luego llenaremos en el siguiente formulario el nombre para el registro de la aplicación, luego escogemos la opción “Solo cuentas de este directorio organizativo” Segun la documentacion de microsoft esta opcion "solo se permiten usuarios e invitados desde el inquilino en el que el desarrollador ha registrado su aplicación. Esta opción es la más común para las aplicaciones de línea de negocio (LOB)."
   para mas información visite: https://learn.microsoft.com/es-es/security/zero-trust/develop/identity-supported-account-types

   Luego en la URI de redirección coloca tu URL de localhost + el texto “signin-oidc-swagger”

4. Ahora una vez creado el registro, vamos a la opción “autentication” y seleccionamos la opción “Tokens de id”, las demás opciones las dejamos igual.

5. Ahora vamos a la opción “Owners”, vamos al botón “add owners” y seleccionamos nuestro usuario”.

6. Vamos a la opción “Expose an API” y copiamos el valor de “Application ID URI”.

7. En la sección “scopes” tenemos nuestra información de Cliente id y Scopes de la aplicacion, debemos copiarla.

8. Nuestro archivo appsettings.json debe estar configurado de la siguiente manera, los valores que copiamos deben ir en esta sección.

   1. Application (client) ID 420912e9-xxxx-xxxx-xxxx-5407239c2468

   2. Directory (tenant) ID 56c57214-xxxx-xxxx-xxxx-a90d31207c9b

   3. Application ID URI api://420912e9-xxxx-xxxx-xxxx-5407239c2468

   4. AzureAD:ClientSecret Oa.8Q~YdWCx8LxxxxagsRp8dA14vsdwT

9. En nuestro archivo program.cs debemos configurar el swagger de esta manera.

10. En nuestra api debemos agregar esta DataAnnotation

11. Al ejecutar la aplicación, nos mostrara lo siguiente, hacemos clic en el botón "Authorize"

12. Nos mostrará el siguiente cuadro de dialogo, seleccionamos la casilla y hacemos click en "Authorize"

13. En el navegador se mostrará lo siguiente, y elegirimeos la cuenta con el cual iniciaremos sesión.

14. Despues de iniciar session satisfactoriamente, nos mostrará el siguiente cuadro de dialogo. si queremos cerrar sesión hacemos clic en el boton "Logout".

15. Luego ejecutamos El API y vemos que obtenemos los valores correctamente.

16. Ahora eliminaremos el usuario para demostrar que el api nos negara el acceso.

17. Al eliminar el usuario, ya no tendrá acceso a la aplicación, por ende se negará el acceso al API.

Consideraciones finales 🤔

Al implementar SSO con Entra ID y Microsoft, es importante considerar la compatibilidad de su aplicación con los protocolos de autenticación, así como las políticas de seguridad de su organización.