Migración de aplicaciones a Azure Active Directory B2C mediante la autenticación basada en encabezados con el proxy de aplicación de Grit

En este tutorial de ejemplo, aprenderá a migrar una aplicación heredada a Azure Active Directory B2C (Azure AD B2C) mediante la autenticación basada en encabezados con el proxy de aplicación de Grit.

Las ventajas de usar el proxy de aplicación de Grit son las siguientes:

• No es necesario ningún cambio en el código de la aplicación y la implementación es sencilla, lo que resulta en un ROI más rápido.

• Permite a los usuarios usar experiencias de autenticación modernas, como la autenticación multifactor, mediante biometría y sin contraseña, aumentando así la seguridad.

• Reduce significativamente el costo de las licencias de las soluciones de autenticación heredadas.

Requisitos previos

Para empezar, necesitará lo siguiente:

• Una licencia para el proxy de aplicación de Grit. Póngase en contacto con el soporte técnico de Grit para obtener más información sobre las licencias. No necesita ninguna licencia para completar este tutorial.

• Suscripción a Azure. Si no tiene una, obtenga una cuenta gratuita.

• Un inquilino de Azure AD B2C vinculado a la suscripción de Azure.

Descripción del escenario

La integración de Grit incluye los siguientes componentes:

• Azure AD B2C: el servidor de autorización para comprobar las credenciales de usuario. Los usuarios autenticados acceden a las aplicaciones del entorno local con una cuenta local almacenada en el directorio de Azure AD B2C.

• Proxy de aplicación de Grit: el servicio que pasa la identidad a las aplicaciones mediante encabezados HTTP.

• Aplicación web: la aplicación heredada a la que el usuario solicita acceso.

En el siguiente diagrama de arquitectura se muestra la implementación.

1. El usuario solicita acceso a una aplicación del entorno local.

2. El proxy de aplicación de Grit recibe la solicitud a través de Azure Web Application Firewall (WAF) y la envía a la aplicación.

3. El proxy de aplicación de Grit comprueba el estado de autenticación del usuario. Sin token de sesión ni un token válido, el usuario va a Azure AD B2C para autenticarse.

4. Azure AD B2C envía la solicitud del usuario al punto de conexión especificado durante el registro del proxy de aplicación de Grit en el inquilino de Azure AD B2C.

5. El proxy de aplicación de Grit evalúa las directivas de acceso y calcula los valores de atributo de los encabezados HTTP reenviados a la aplicación. El proxy de aplicación de Grit establece los valores de encabezado y envía la solicitud a la aplicación.

6. El usuario se autentica con el acceso concedido o denegado a la aplicación.

Incorporación con el proxy de aplicación de Grit

Póngase en contacto con el soporte técnico de Grit para obtener más información para incorporarse.

Configuración de la solución de proxy de aplicación de Grit con Azure AD B2C

Para este tutorial, Grit ya tiene una aplicación de back-end y una directiva de Azure AD B2C. En este tutorial se explica cómo configurar el proxy para acceder a la aplicación de back-end.

Puede usar la experiencia de usuario para configurar las opciones de seguridad de cada página de la aplicación de back-end. Puede configurar el tipo de autenticación requerido por cada página y los valores de encabezado necesarios.

Si es necesario denegar permiso a los usuarios para acceder a determinadas páginas en función de la pertenencia a grupos u otros criterios, esto se hace a través del recorrido del usuario de autenticación.

1. Vaya a https://proxyeditor.z13.web.core.windows.net/.

2. Una vez que aparezca la lista desplegable, selecciónela y elija Create new (Crear nuevo).

3. Escriba un nombre para la página que contenga solo letras y números.

4. Escriba B2C_1A_SIGNUP_SIGNIN en el cuadro de la directiva B2C.

5. Seleccione GET como el método HTTP.

6. Escriba "https://anj-grit-legacy-backend.azurewebsites.net/Home/Page" en el campo del punto de conexión; este es el punto de conexión de la aplicación heredada.

   Nota

   Esta demo está disponible públicamente, por lo que los valores que especifique serán visibles para el público. No configure una aplicación segura con esta demo.

   

7. Haga clic en ADD HEADER (Agregar encabezado).

8. Escriba x-iss en el campo del encabezado de destino para configurar el encabezado HTTP válido que se debe enviar a la aplicación.

9. Escriba given_name en el campo Value (Valor), que es el nombre de una notificación en la directiva B2C. El valor de la notificación se pasará al encabezado.

10. Seleccione Token como origen.

11. Haga clic en SAVE SETTINGS (Guardar configuración).

12. Haga clic en el vínculo de la ventana emergente. Esto le llevará a una página de inicio de sesión. Seleccione el vínculo de registro y proporcione la información necesaria. Una vez completado el proceso de registro, se le redirigirá a la aplicación heredada. La aplicación mostrará el nombre que proporcionó en el campo Given name (Nombre de pila) durante el registro.

Prueba del flujo

1. Vaya a la dirección URL de la aplicación local.

2. El proxy de aplicación de Grit redirige a la página que configuró en el flujo de usuario. Seleccione el IdP en la lista.

3. Cuando el sistema se lo pida, escriba sus credenciales. Si es necesario, incluya un token de autenticación multifactor Microsoft Entra.

4. Se le redirige a Azure AD B2C, que reenvía la solicitud de la aplicación al URI de redirección del proxy de aplicación de Grit.

5. El proxy de aplicación de Grit evalúa las directivas, calcula los encabezados y envía el usuario a la aplicación de nivel superior.

6. Aparece la aplicación solicitada.

Recursos adicionales

• Documentación del proxy de aplicación de Grit

• Configuración de la solución B2B2C de IAM de Grit con Azure AD B2C

• Edición del XML de Identity Experience Framework (IEF) de Azure AD B2C con Visual IEF Editor de Grit

• Configuración de la autenticación biométrica de Grit con Azure AD B2C