Semion Vasilevitzky y Jonathan Elkabas

Nota del editor: Bienvenido al segundo tutorial práctico de «Comprender y prevenir los ataques a la identidad del agente Entra ID: una guía completa». Esta guía técnica, dividida en varias partes, te ayuda a comprender el enfoque de Microsoft respecto a las identidades de los agentes y cómo puedes protegerlas frente a los autores de amenazas. Para repasar los capítulos anteriores y las lecciones prácticas, empieza aquí.


En nuestro primer «Practice Checkpoint», has aprendido a configurar el ID de agente y a crear tu primer usuario de agente.

Ahora que ya existen los objetos principales, vamos a configurar el modelo de permisos tal y como aparece en las implementaciones reales: permisos directos exclusivos de la aplicación en la identidad del agente y permisos delegados concedidos a nivel de plantilla y marcados como heredables.

Este punto de control establece los datos exactos que posteriormente validaremos en los tokens a lo largo de los flujos de autenticación.

Asignar permisos a la identidad del agente

Para demostrar los permisos «directos» exclusivos de la aplicación a nivel de identidad del agente, asigna un rol de aplicación a <agent-identity-id> utilizando el mismo appRoleAssignments siguiendo el mismo patrón que antes.

En esta demostración, el appRoleId representa User.Read.All. Lo utilizaremos más adelante para autenticarnos con la identidad del agente y para mostrar la lista de usuarios.

Figura 1. Asignación de un rol de aplicación a la identidad del agente

Configurar permisos heredables

Configura los permisos heredables para que el agente pueda heredar los ámbitos delegados en los flujos delegados.


Paso 1: Conceder el permiso delegado

Crear un oauth2PermissionGrants registro que concede Group.Read.All al modelo de identidad del agente (flujo estándar de consentimiento delegado).

Figura 2. Concesión del permiso «Group.Read.All» a la identidad del agente

Paso 2: Márcalo como heredable

Llama al /applications/microsoft.graph.agentIdentityBlueprint /<agent identity blueprint id>/inheritablePermissions punto final e incluye el ID de la aplicación de Graph. Utiliza un ámbito enumerado para que la identidad del agente herede únicamente el Group.Read.All permisos.

Figura 3. Limitación de los permisos de lectura heredados de la identidad del agente mediante un ámbito enumerado

En un escenario de autenticación delegada, veremos y utilizaremos esos permisos para mostrar los grupos de inquilinos. Si quieres que se hereden todos los permisos, solo tienes que configurar tipo a allAllowed en lugar de enumerated y elimina la propiedad «scopes».

Aunque no está documentado, es posible heredar permisos enumerados exclusivos de la aplicación. En lugar de ámbitos, utilizaremos appRoleIds, que requieren el GUID del rol de la aplicación. Por lo tanto, la solicitud tendrá este aspecto:

Figura 4. Activación de la herencia de los permisos enumerados exclusivos de las aplicaciones

También puedes configurarlos ambos a la vez. Para actualizar los permisos heredables existentes, envía una solicitud «Patch» al recurso correspondiente que desees actualizar.

Parche: /applications/microsoft.graph.agentIdentityBlueprint//inheritablePermissions/

A continuación: Descubriremos cómo se autentifica y funciona tu identidad de agente en Entra ID.


Explora la guía