Tutorial: Integración de la protección de bots de terceros con flujos de registro de API nativa

Se aplica a: Inquilinos externos (más información)

Este tutorial le guía a través de la integración de proveedores de protección de bots de terceros con flujos de registro de la API nativa en Id. externa de Microsoft Entra. Mediante el uso de un firewall de aplicaciones web (WAF) para interceptar las solicitudes de registro, puede implementar mecanismos de desafío basados en riesgos durante el registro de usuarios para protegerse frente a ataques automatizados de bots y creación de cuentas falsas.

Prerrequisitos

• Un inquilino externo. Si no tiene uno, cree un inquilino externo.
• Una aplicación registrada en el Centro de administración de Microsoft Entra con la siguiente configuración:
  • El ID de aplicación (cliente) y el ID de directorio (tenant) han sido registrados.
  • Consentimiento del administrador concedido.
  • El cliente público y los flujos de autenticación nativos están habilitados.
• Flujo de usuario creado en el Centro de administración de Microsoft Entra y asociado a la aplicación.
• Un dominio personalizado asociado al inquilino externo.
• Una cuenta de proveedor de protección de bots de terceros (en este tutorial se usa HUMAN Security como ejemplo) con los siguientes valores de configuración:
  • Credenciales de API de Enforcer
  • Detalles de integración del SDK
• Una cuenta de plataforma WAF (en este tutorial se usa Cloudflare) con privilegios de administrador de dominio.

Funcionamiento de la protección de bots

Cuando un usuario intenta registrarse mediante la autenticación nativa, la solicitud de registro fluye a través de un firewall de aplicaciones web (WAF) que intercepta el punto de conexión /start. Waf evalúa la solicitud con el proveedor de protección de bots de terceros mediante sus API de detección. Si la solicitud se marca como sospechosa en función de la huella digital del dispositivo, el análisis de comportamiento o las firmas de bot, el WAF puede bloquear la solicitud o presentar un desafío para comprobar que el usuario es humano.

Este enfoque le permite aplicar la protección contra bots durante el flujo de registro nativo sin necesidad de redirecciones basadas en explorador, manteniendo la experiencia de usuario de la aplicación nativa al tiempo que protege contra ataques automatizados de creación de cuentas y bots.

Componentes de arquitectura

Esta integración implica varios componentes clave que funcionan conjuntamente para proporcionar protección contra bots:

• Inquilino externo: Una instancia dedicada de Microsoft Entra ID para administrar identidades externas y acceso al cliente.
• Aplicación nativa: Una aplicación móvil o de escritorio que usa el identificador externo de Microsoft Entra (autenticación nativa) para registrar a los usuarios e iniciar sesión.
• API nativas: Los puntos de conexión de servicio que permiten a las aplicaciones móviles y de escritorio realizar flujos de registro, inicio de sesión y autoservicio de restablecimiento de contraseña (SSPR) en la aplicación, sin una redirección del explorador.
• Firewall de aplicaciones web (WAF): Firewall que inspecciona el tráfico HTTP entrante y saliente, intercepta las solicitudes de registro y se coordina con el proveedor de terceros para la detección de bots.
• Proveedor de protección de bots de terceros: Un proveedor de terceros que ofrece servicios de detección de bots, huellas digitales de dispositivos y evaluación de riesgos para identificar ataques automatizados.

Pasos de configuración

1. Cree un flujo de registro para el inquilino externo.
2. Cree una configuración de WAF.
3. Actualice la capa de WAF para interceptar solicitudes de API específicas durante el flujo de registro.
4. Actualice el flujo de llamadas de la API de registro en la aplicación nativa.

Creación de un flujo de registro para el inquilino externo

Antes de integrar la protección del bot, asegúrese de que tiene configurado un flujo de registro en funcionamiento. Si ya ha completado esta configuración como parte de los requisitos previos, puede ir directamente a la sección siguiente.

1. Inicie sesión en el Centro de administración de Microsoft Entra.
2. Si aún no lo ha hecho, registre una aplicación en el Centro de administración de Microsoft Entra. Asegúrese de:
   • Registre el identificador de aplicación (cliente) y el identificador de directorio (inquilino) para su uso posterior.
   • Conceda el consentimiento del administrador a la aplicación.
   • Habilite el cliente público y los flujos de autenticación nativos.
3. Si aún no lo ha hecho, cree un flujo de usuario en el Centro de administración de Microsoft Entra. Al crear el flujo de usuario, tome nota de los atributos de usuario que configure según sea necesario. Estos atributos son los que Microsoft Entra espera que la aplicación envíe.
4. Asocie el registro de su aplicación con el flujo de usuarios.
5. Pruebe el flujo de registro registrando un usuario de cliente. Como alternativa, puede probar después de completar la integración.

Configuración de WAF para interceptar solicitudes de registro

Configure un WAF para interceptar las solicitudes de registro para la detección de bots. En este tutorial se usa Cloudflare como ejemplo, pero puede usar cualquier WAF que admita la interceptación de solicitudes y la ejecución lógica personalizada.

Para obtener instrucciones detalladas sobre la configuración de WAF de Cloudflare, consulte Configuración de WAF de Cloudflare con el identificador externo de Microsoft Entra.

Configuración del operario de WAF para la detección de bots

En esta sección se configura el WAF para interceptar las solicitudes de registro /start y realizar la detección de bots con su proveedor de terceros.

Actualización de la capa de WAF para interceptar solicitudes de API específicas durante el flujo de registro

Use el WAF de Cloudflare que creó en la sección anterior.

1. Inicie sesión en la cuenta de Cloudflare para el dominio externo (mencionado en el paso Crear una configuración de WAF) asociado al inquilino externo con al menos privilegios de administrador de dominio .

2. Vaya a Rutas de trabajo y seleccione Crear aplicación.

   

   

3. Seleccione Iniciar con Hola mundo.

   

4. Asigne al trabajador el nombre y seleccione Implementar.

   

5. Una vez desplegado el trabajador, seleccione la pestaña Configuración. Seleccione +Agregar en Dominios y rutas.

   

6. Seleccione Ruta.

   

7. Seleccione el dominio en Zona. Agregue lo siguiente en el campo Ruta :

   *<custom_domain>/<external_tenant_id(guid)>/*signup/v1.0/start*

   Seleccione Fail Closed para el modo de fallo.

   

8. Seleccione Agregar ruta.

Si la configuración del WAF se realizó correctamente, el trabajador intercepta todas las solicitudes al end-point /start del inquilino externo.

Configuración de la lógica de trabajo para la detección de bots

La lógica de trabajo debe configurarse para:

• Extraiga información relevante de la solicitud de registro (huella digital del dispositivo, dirección IP, agente de usuario, datos de comportamiento).
• Envíe estos datos a la API de detección del proveedor de protección de bots de terceros.
• Evalúe la puntuación de detección del bot devuelta por el proveedor.
• Si la solicitud se identifica como un bot basándose en su umbral, bloquee la solicitud o presente un desafío.
• Si la solicitud aparece legítima, reenvíela al punto de conexión de Microsoft Entra /start.

Integración de proveedores de terceros

En este tutorial se usa HUMAN Security como proveedor de protección de bots de terceros. La API enforcer proporcionada por HUMAN Security se usa para la detección de bots. Consulte la siguiente documentación de HUMAN Security:

• Forzar una solicitud HTTP | Documentación de HUMAN
• Documentación del SDK: Información general | Documentación de HUMAN

Actualización del flujo de llamadas de la API de alta de aplicaciones nativas

El flujo de registro estándar mediante puntos de conexión de API nativas se describe en la documentación de referencia de la API de autenticación nativa. Con la protección contra bots habilitada, el flujo de registro de la aplicación nativa interactúa con la capa de WAF de forma transparente.

Flujo de registro con protección de bots

Cuando el WAF intercepta una /start solicitud y determina que procede de un bot, puede bloquear la solicitud por completo o mostrar un desafío. El flujo funciona de la siguiente manera:

1. La aplicación inicia el registro: La aplicación nativa llama al /start punto de conexión para comenzar el flujo de registro.
2. Solicitud de interceptaciones de WAF: El WAF recibe la solicitud y extrae las señales de comportamiento y del dispositivo.
3. Evaluación de detección de bots: Waf envía las señales al proveedor de protección del bot para su análisis.
4. Punto de decisión:
   • Si es legítimo: la solicitud se reenvía al punto de conexión de Microsoft Entra /start .
   • Si es sospechoso: la solicitud se bloquea o se desafía en función de la configuración.
5. El registro continúa: Si se permite, el flujo de registro estándar continúa con /challenge, /continuey otros puntos de conexión.

Pasos siguientes

Ahora que ha integrado la protección contra bots con el registro de autenticación nativa, explore estos recursos relacionados:

• Referencia de API de autenticación nativa
• Tutorial: Preparación de la aplicación móvil Android para la autenticación nativa
• Tutorial: Preparación de la aplicación móvil iOS/macOS para la autenticación nativa
• Habilitación de dominios de dirección URL personalizados para aplicaciones en inquilinos externos
• Configuración de WAF de Cloudflare con el identificador externo de Microsoft Entra
• Documentación de HUMAN Security Enforcer API
• Aplicación de ejemplo de protección de bots de HUMAN Security