Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: 
Inquilinos externos (más información)
Microsoft Entra External ID admite la integración con proveedores de protección contra fraudes de terceros, como Arkose Labs y HUMAN, para ayudar a evitar registros de cuentas falsas y ataques de bot. Estos proveedores ofrecen soluciones completas de protección contra fraudes que permiten a las organizaciones detectar y bloquear ataques automatizados, como registros controlados por bots, durante el proceso de registro del usuario.
Al integrar Arkose Labs, HUMAN o ambos con microsoft Entra External ID, puede aprovechar sus funcionalidades avanzadas de evaluación de riesgos para garantizar que solo los usuarios legítimos creen cuentas.
En este artículo se explica cómo integrar proveedores de protección contra fraudes con el identificador externo de Microsoft Entra.
Acerca de las integraciones destacadas
Arkose Labs y HUMAN Security están disponibles como integraciones nativas para la protección de registro a través del Almacén de seguridad. Microsoft desarrolló e implementó estas integraciones en asociación con cada proveedor para admitir la detección de bots y la prevención de cuentas falsas durante el registro de usuarios.
Las integraciones nativas de Security Store se desarrollan por caso a través de una asociación directa con el equipo de ingeniería de productos de Microsoft. Si es un proveedor interesado en las oportunidades de integración con el identificador externo de Microsoft Entra, póngase en contacto con su representante de desarrollo de partners de Microsoft.
Funcionamiento de Arkose Labs
Cuando un usuario intenta registrarse, el servicio Arkose Labs evalúa la solicitud y determina si es probable que sea fraudulento. Si la solicitud se marca como sospechosa, el usuario se presenta un desafío (como un CAPTCHA) para comprobar que es humano. Si el usuario completa correctamente el desafío, puede continuar con el proceso de registro. Una vez habilitada esta característica, podrá ver las métricas de desafío de Arkose en el panel de Arkose Labs. Además, puede ajustar las directivas de riesgo coordinando con el soporte técnico de Arkose Labs.
Puede completar la integración tanto en el Centro de administración de Microsoft Entra como en Microsoft Graph API. En este artículo se proporcionan instrucciones para el Centro de administración de Microsoft Entra.
Prerrequisitos
- Un inquilino externo.
- Una aplicación registrada en el entorno de arrendatario.
- Una cuenta con al menos un rol Administrador de Extensibilidad de Autenticación o Administrador de Aplicaciones en el inquilino externo.
- Una cuenta de Arkose Labs. Si no tiene una, vaya a La Tienda de seguridad para crear y comprar su cuenta.
- Los siguientes valores de configuración de Arkose:
- Clave pública (formato GUID).
- Clave privada (formato GUID).
- Subdominio de cliente: use solo el prefijo de subdominio (por ejemplo, "client-api"), no el dominio completo.
- Comprobar subdominio: use solo el prefijo de subdominio (por ejemplo, "verify-api"), no el dominio completo.
Configuración de Arkose Labs en el Centro de administración de Microsoft Entra
Para integrar Arkose Labs con Microsoft Entra External ID, puede usar el asistente de Security Store en el Centro de administración de Microsoft Entra para crear una política de protección contra el fraude del proveedor.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de extensibilidad de autenticación o administrador de aplicaciones.
Si tiene acceso a varios inquilinos, use el icono
Configuración del menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.Vaya a Inicio>Security Store>Protección de registro para iniciar el asistente.
Escriba un nombre para la directiva, como ArkosePolicy.
Seleccione los escenarios para aplicar la directiva de protección contra fraudes a y seleccione Siguiente.
En el paso Elegir un proveedor de protección contra fraudes para el registro , seleccione Arkose Labs como proveedor y seleccione Siguiente.
Cree una cuenta de Arkose. Si aún no tiene una cuenta, cree y compre una en el Almacén de seguridad. A continuación, vuelva aquí para completar la configuración.
En el paso Configurar Arkose Labs para la protección de registro , seleccione una configuración existente o seleccione la opción Crear nueva y escriba los valores de configuración que recibió de Arkose Labs:
- Clave pública: escriba la clave pública (formato GUID).
- Clave privada: escriba la clave privada (formato GUID).
- Subdominio de cliente: escriba solo el prefijo de subdominio (por ejemplo, "client-api"), no el dominio completo.
- Comprobar subdominio: escriba solo el prefijo de subdominio (por ejemplo, "verify-api"), no el dominio completo.
Seleccione Siguiente para ir al paso siguiente.
Seleccione la aplicación que desea proteger con la protección contra fraudes de Arkose Labs. Puede seleccionar una o varias aplicaciones que haya registrado en su tenant externo.
Revise la configuración y seleccione Crear directiva para crear la directiva de protección contra fraudes.
Una vez que reciba la confirmación de que la directiva se creó correctamente, seleccione Listo para finalizar el asistente.
Una vez creada la directiva, se aplica a las aplicaciones seleccionadas. Cuando un usuario intenta registrarse, el servicio Arkose Labs evalúa la solicitud y determina si es probable que sea fraudulento. Si la solicitud se marca como sospechosa, el usuario se presenta un desafío (como un CAPTCHA) para comprobar que es humano. Si el usuario completa correctamente el desafío, puede continuar con el proceso de registro.
Editar la configuración de Arkose Labs en el Centro de administración de Microsoft Entra
- Vaya a Inicio>Security Store>Protección de registro para ver la lista de configuraciones.
- Seleccione la opción Editar configuraciones del proveedor para editar la directiva de Arkose Labs. Si desea editar la directiva de protección contra fraudes, seleccione el icono de lápiz.
- En el paso Configurar Arkose Labs para la protección de registro , seleccione la configuración que desea editar y seleccione Siguiente.
- Seleccione la aplicación que desea proteger con la protección contra fraudes de Arkose Labs o quite las existentes. Puede seleccionar una o varias aplicaciones que haya registrado en su tenant externo. Una vez seleccionada la aplicación, seleccione Siguiente.
- Seleccione Listo para finalizar el asistente.
Configuración de Arkose Labs mediante Microsoft Graph API
Configure la protección contra fraudes de Arkose Labs mediante Microsoft Graph API. Este enfoque es útil si desea automatizar la configuración o si prefiere usar las API en el Centro de administración de Microsoft Entra.
Paso 1: Iniciar sesión en el inquilino
Para configurar la protección contra fraudes de Arkose Labs, debe iniciar sesión en el inquilino externo y dar su consentimiento a los permisos necesarios.
Inicie la herramienta Explorador de Microsoft Graph.
Inicie sesión en su entidad externa:
https://developer.microsoft.com/en-us/graph/graph-explorer?tenant=<your-tenant-name.onmicrosoft.com>.Seleccione su perfil y, después, dé su consentimiento a los permisos.
Otorgue su consentimiento para la siguiente autorización necesaria.
RiskPreventionProviders.ReadWrite.All
Paso 2: Registrar Arkose Labs como proveedor de protección contra fraudes
Para registrar a Arkose Labs como proveedor de protección contra el fraude, cree una política de proveedor de protección contra fraude en su arrendatario externo. Esta política contiene los valores de configuración de Arkose que recibió de Arkose Labs.
En el Explorador de Microsoft Graph, seleccione el método POST y escriba la siguiente dirección URL:
https://graph.microsoft.com/beta/identity/riskPrevention/fraudProtectionProvidersEn la sección Cuerpo de la solicitud , escriba la siguiente carga JSON y reemplace los marcadores de posición por los valores de configuración de Arkose:
{ "@odata.type": "#microsoft.graph.arkoseFraudProtectionProvider", "displayName": "<your-arkose-configuration-name>", "publicKey": "<your-arkose-public-key>", "privateKey": "<your-arkose-private-key>", "clientSubDomain": "<your-client-api>", "verifySubDomain": "<your-verify-api>" }Seleccione Ejecutar consulta para crear el proveedor de protección contra fraudes.
Si la solicitud se realiza correctamente, se devuelve una respuesta 201 Created . Copie el
idvalor de la respuesta para el paso siguiente.
Paso 3: Vincular la protección de Arkose a la aplicación
En este paso, vinculará el proveedor de protección contra fraudes de Arkose a la aplicación mediante la creación de un nuevo authenticationEventListener que desencadene el desafío Arkose durante el flujo de registro. Asegúrese de que tiene el appId de la aplicación donde desea habilitar la protección contra fraudes. Reemplace <your-app-id> por el identificador de la aplicación y reemplace <id-from-previous-step> por el identificador de proveedor de Arkose del paso anterior.
En el Explorador de Microsoft Graph, seleccione el método POST y escriba la siguiente dirección URL:
https://graph.microsoft.com/beta/identity/authenticationEventListenersEn la sección Cuerpo de la solicitud , escriba la siguiente carga JSON:
{ "@odata.type": "#microsoft.graph.onFraudProtectionLoadStartListener", "conditions": { "applications": { "includeApplications": [ { "appId": "<your-app-id>" } ] } }, "handler": { "@odata.type": "#microsoft.graph.onFraudProtectionLoadStartExternalUsersAuthHandler", "signUp": { "@odata.type": "#microsoft.graph.fraudProtectionProviderConfiguration", "fraudProtectionProvider": { "@odata.type": "#microsoft.graph.arkoseFraudProtectionProvider", "id": "<id-from-previous-step>" } } } }Seleccione Ejecutar consulta.
Si la solicitud se realiza correctamente, se devuelve una respuesta 201 Created . Pruebe el flujo de registro en la aplicación para comprobar que el desafío arkose aparece cuando se detecta un registro sospechoso.
Sugerencias de solución de problemas
| Cuestión | Causa posible | Resolución |
|---|---|---|
| El desafío no aparece. | Listener de eventos no vinculado a la aplicación. | Compruebe la configuración del identificador de aplicación y del agente de escucha. |
| Usuarios bloqueados por un desafío. | Umbrales de Arkose estrictos. | Trabaje con Arkose para ajustar el comportamiento del desafío. |
Funcionamiento de la seguridad humana
Cuando un usuario inicia el proceso de registro, es fundamental evitar que los bots automatizados y los actores malintencionados creen cuentas fraudulentas. Para solucionar esto, Entra External ID admite la integración con proveedores de detección de fraudes de terceros, como HUMAN Security. Esta integración permite el análisis en tiempo real de los intentos de registro, aprovechando los algoritmos de detección avanzados de HUMAN Security para identificar y bloquear la actividad sospechosa antes de que se complete la creación de la cuenta. La solución se integra de forma nativa con la infraestructura de identidad de Microsoft, lo que permite una implementación y administración simplificadas. Al implementar este enfoque, las organizaciones pueden acceder a datos detallados y información procesable para supervisar los flujos de registro, ajustar los umbrales de detección y responder proactivamente a las amenazas emergentes, manteniendo así la integridad de su base de usuarios.
Prerrequisitos
- Un inquilino externo.
- Una aplicación registrada en el entorno de arrendatario.
- Una cuenta con al menos un rol Administrador de Extensibilidad de Autenticación o Administrador de Aplicaciones en el inquilino externo.
- Una cuenta de HUMAN Security. Si no tiene una, vaya a La Tienda de seguridad para crear y comprar su cuenta.
- Los siguientes valores de configuración de HUMAN Security:
- Id. de solicitud
- Token de servidor
Puede encontrar estos valores en la consola de administración de HUMAN Security en la página de configuración de la aplicación. Si no está seguro acerca de cualquier valor, póngase en contacto con HUMAN Security para obtener ayuda.
Configuración de HUMAN Security en el Centro de administración de Microsoft Entra
Para integrar HUMAN Security con el identificador externo de Microsoft Entra, puede usar el asistente del Almacén de seguridad en el Centro de administración de Microsoft Entra para crear una directiva de proveedor de protección contra fraudes.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de extensibilidad de autenticación o administrador de aplicaciones.
Si tiene acceso a varios inquilinos, use el icono
Configuración del menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.Vaya a Inicio>Security Store>Protección de registro para iniciar el asistente.
Escriba un nombre para la directiva, como HUMANPolicy.
Seleccione los escenarios para aplicar la directiva de protección contra fraudes a y seleccione Siguiente.
En el paso Elegir un proveedor de protección contra fraudes para el registro , seleccione SEGURIDAD HUMANA como proveedor y seleccione Siguiente.
Cree una cuenta de HUMAN Security. Si aún no tiene una cuenta, cree y compre una en el Almacén de seguridad. A continuación, vuelva aquí para completar la configuración.
En el paso Configurar HUMAN Security para la protección de registro , seleccione la opción Crear nueva configuración y escriba los valores de configuración que recibió de HUMAN Security:
- Id. de aplicación: escriba el identificador de aplicación de HUMAN Security.
- Token de servidor: escriba el token de servidor de HUMAN Security que puede encontrar en la consola de administración de HUMAN Security.
O bien, seleccione una configuración existente si ya ha configurado una y seleccione Siguiente.
Seleccione la aplicación que desea proteger con la protección contra fraudes de HUMAN Security. Puede seleccionar una o varias aplicaciones que haya registrado en su tenant externo.
Revise la configuración y seleccione Crear directiva para crear la directiva de protección contra fraudes.
Una vez que reciba la confirmación de que la directiva se creó correctamente, seleccione Listo para finalizar el asistente.
Una vez creada la directiva, se aplica a las aplicaciones seleccionadas. Cuando un usuario intenta registrarse, HUMAN Security evalúa la solicitud en tiempo real para determinar si es probable que sea fraudulenta. Si la solicitud se marca como sospechosa, se toman medidas adecuadas para bloquear el intento de registro, lo que impide registros de cuentas falsas.
Edición de la configuración de HUMAN Security en el Centro de administración de Microsoft Entra
- Vaya a Inicio>Security Store>Protección de registro para ver la lista de configuraciones.
- Seleccione la opción Editar configuraciones del proveedor para editar la directiva de seguridad HUMANA. Si desea editar la directiva de protección contra fraudes, seleccione el icono de lápiz.
- En el paso Configurar HUMAN Security para la protección de registro , seleccione la configuración que desea editar y seleccione Siguiente.
- Seleccione la aplicación que desea proteger con la protección contra fraudes de SEGURIDAD HUMANA o quite las existentes. Puede seleccionar una o varias aplicaciones que haya registrado en su tenant externo. Una vez seleccionada la aplicación, seleccione Siguiente.
- Seleccione Listo para finalizar el asistente.
Configuración de HUMAN Security mediante Microsoft Graph API
Configure la protección contra fraudes de HUMAN Security mediante Microsoft Graph API. Este enfoque es útil si desea automatizar la configuración o si prefiere usar las API en el Centro de administración de Microsoft Entra.
Paso 1: Iniciar sesión en el inquilino
Para configurar la protección contra fraudes de HUMAN Security, debe iniciar sesión en el inquilino externo y dar su consentimiento a los permisos necesarios.
Inicie la herramienta Explorador de Microsoft Graph.
Inicie sesión en su entidad externa:
https://developer.microsoft.com/en-us/graph/graph-explorer?tenant=<your-tenant-name.onmicrosoft.com>.Seleccione su perfil y, después, dé su consentimiento a los permisos.
Otorgue su consentimiento para la siguiente autorización necesaria.
RiskPreventionProviders.ReadWrite.All
Paso 2: Registrar la seguridad humana como proveedor de protección contra fraudes
Para registrar HUMAN Security como proveedor de protección contra fraude, cree una directiva fraudProtectionProvider en el cliente externo. Esta directiva contiene los valores de configuración de HUMAN Security que ha recibido al configurar la cuenta de HUMAN Security.
En el Explorador de Microsoft Graph, seleccione el método POST y escriba la siguiente dirección URL:
https://graph.microsoft.com/beta/identity/riskPrevention/fraudProtectionProvidersEn la sección Cuerpo de la solicitud , escriba la siguiente carga JSON y reemplace los marcadores de posición por los valores de configuración de HUMAN:
{ "@odata.type": "#microsoft.graph.HUMANFraudProtectionProvider", "displayName": "<your-human-configuration-name>", "appId": "<your-human-appid>", "serverToken": "<your-human-server-token>", }
displayName es un nombre para mostrar para esta configuración específica de HUMAN Security, por ejemplo, "HUMAN Config 1".
appId es el identificador de aplicación de HUMAN Security y serverToken es el token de servidor de HUMAN Security que puede encontrar en la consola de administración de HUMAN Security. Si no está seguro acerca de cualquier valor, póngase en contacto con HUMAN Security para obtener ayuda.
- Seleccione Ejecutar consulta para crear el proveedor de protección contra fraudes.
- Si la solicitud se realiza correctamente, se devuelve una respuesta 201 Created . Copie el
idvalor de la respuesta para el paso siguiente.
Paso 3: Vinculación de la protección de seguridad humana a la aplicación
En este paso, vinculará el proveedor de protección contra fraudes de SEGURIDAD HUMANA a la aplicación mediante la creación de un nuevo authenticationEventListener para usar la protección contra fraudes de SEGURIDAD HUMANA durante el flujo de registro. Asegúrese de que tiene el appId de la aplicación donde desea habilitar la protección contra fraudes. Reemplace por <your-app-id> el identificador de la aplicación y reemplace por <id-from-previous-step> el identificador del proveedor de seguridad HUMANA del paso anterior.
En el Explorador de Microsoft Graph, seleccione el método POST y escriba la siguiente dirección URL:
https://graph.microsoft.com/beta/identity/authenticationEventListenersEn la sección Cuerpo de la solicitud , escriba la siguiente carga JSON:
{ "@odata.type": "#microsoft.graph.onFraudProtectionLoadStartListener", "conditions": { "applications": { "includeApplications": [ { "appId": "<your-app-id>" } ] } }, "handler": { "@odata.type": "#microsoft.graph.onFraudProtectionLoadStartExternalUsersAuthHandler", "signUp": { "@odata.type": "#microsoft.graph.fraudProtectionProviderConfiguration", "fraudProtectionProvider": { "@odata.type": "#microsoft.graph.HUMANFraudProtectionProvider", "id": "<id-from-previous-step>" } } } }Seleccione Ejecutar consulta.
Si la solicitud se realiza correctamente, se devuelve una respuesta 201 Created . Pruebe el flujo de registro en la aplicación para comprobar que el desafío HUMANO aparece cuando se detecta un registro sospechoso.