Autenticación en Node-RED con Azure AD

Questions and Answers

¿Cuál es el propósito principal de utilizar Single Sign-On (SSO) en la autenticación de Node-RED con Azure AD?

• Validar tokens JWT utilizando claves públicas de otros proveedores de identidad.
• Permitir a los usuarios autenticarse en la interfaz gráfica de Node-RED mediante Azure AD. (correct)
• Configurar los metadatos de identidad en Azure AD.
• Permitir que las aplicaciones cliente se autentiquen en las APIs de Node-RED.

¿Qué tipo de credenciales permite autenticar a clientes y servicios en las APIs de Node-RED?

• Tokens OIDC.
• Credenciales de usuario.
• Client Credentials. (correct)
• Certificados SSL.

¿Cuál de los siguientes parámetros de configuración es necesario para validar los tokens emitidos por Azure AD en Node-RED?

• USER_ID: Identificador único del usuario.
• JWKS URI: Endpoint que proporciona las claves públicas para verificar la firma del token. (correct)
• REDIRECT_URI: URL de redirección después del login.
• SCOPE: Alcance de los permisos solicitados.

¿Qué rol cumplen jsonwebtoken y jwks-rsa en el mecanismo de validación de tokens JWT en Node-RED?

Permiten recuperar dinámicamente las claves de firma de Azure AD y validar los tokens. (A)

En el proceso de validación manual de un token JWT, ¿cuál es el propósito de decodificar el token antes de verificar su validez?

Para extraer el contenido del token y examinar los datos (claims). (A)

¿Por qué es importante verificar los parámetros 'aud' (audience) e 'iss' (issuer) durante la validación de un token JWT?

Para garantizar que el token esté destinado a la aplicación correcta y haya sido emitido por una fuente confiable (Azure AD). (D)

¿Cuál es el propósito principal de la función validateToken en el contexto de la validación de tokens JWT?

Realizar una validación lógica y detallada de los tokens JWT recibidos. (D)

¿Qué protocolo se integra con passport-azure-ad para permitir la autenticación de usuarios en la interfaz de administración de Node-RED?

OpenID Connect (C)

¿Cuál es la función de identityMetadata en la configuración de la autenticación con Azure AD?

Definir la URL del endpoint de metadatos OpenID Connect de Azure AD, que permite obtener la configuración necesaria. (B)

¿Qué representa el clientID en el contexto de la autenticación de Node-RED con Azure AD?

El identificador único (App ID) de la aplicación registrada en Azure AD. (A)

¿Por qué es importante configurar correctamente la redirectUrl en la autenticación con Azure AD?

Para asegurar que el usuario sea redirigido a la URL correcta después de autenticarse. (C)

En el esquema de autenticación basado en Azure AD y JWT para Node-RED, ¿cómo se determinan los permisos de un usuario autenticado?

Se asignan permisos según el grupo al que pertenece el usuario en Azure AD. (B)

¿Cuál es el beneficio de validar los tokens en tiempo real utilizando las claves públicas de Azure AD?

Asegura que solo los tokens legítimos y no manipulados sean aceptados. (A)

¿Qué tipo de autenticación permite a las aplicaciones cliente autenticarse en las APIs de Node-RED sin la intervención directa de un usuario?

Client Credentials. (C)

¿Cuál es el objetivo de integrar OpenID Connect en la autenticación de Node-RED con Azure AD?

Facilitar una autenticación segura basada en estándares para los usuarios. (B)

Flashcards

¿Qué es Single Sign-On (SSO)?

Permite a los usuarios autenticarse en la interfaz gráfica de Node-RED mediante Azure AD.

¿Qué son Client Credentials?

Permite a clientes y servicios autenticarse en las APIs de Node-RED con credenciales de aplicación.

¿Qué es JWKS URI?

Endpoint que proporciona las claves públicas para verificar la firma del token.

¿Qué es AUDIENCE?

Identificador del recurso al que está destinado el token.

¿Qué es ISSUER?

Identificador del emisor del token (Azure AD).

¿Qué es validateToken?

Función para validar tokens JWT, verificando su validez con jsonwebtoken y jwks-rsa.

¿Qué ocurre en la decodificación del token?

Se extrae el contenido del token para examinar los datos.

¿Qué se verifica con aud e iss?

Se comprueba que el token sea para la aplicación correcta y emitido por Azure AD.

¿Cómo se obtiene la clave pública?

Se consulta Azure AD para obtener la clave pública para validar el token.

¿Qué se hace en la validación de la firma?

Se utiliza la clave pública para verificar la autenticidad del token.

¿Qué es OpenID Connect?

Protocolo utilizado para autenticar usuarios en Azure AD en la interfaz de Node-RED.

¿Qué es identityMetadata?

URL del endpoint de metadatos OpenID Connect de Azure AD.

¿Qué es clientID?

Identificador (App ID) de la aplicación registrada en Azure AD.

¿Qué es clientSecret?

Secreto asignado a la aplicación en Azure AD para autenticarla de manera segura.

¿Qué es redirectUrl?

URL a la que se redirige al usuario después de autenticarse.

Study Notes

Autenticación en App Service de Node-RED

• El objetivo es conocer la autenticación de Node-RED utilizando Azure Active Directory (Azure AD) y tokens JWT (JSON Web Tokens).

Configuración de Azure AD

• Dos tipos de autenticación:
  • Single Sign-On (SSO): Autenticación de usuarios en la interfaz gráfica de Node-RED vía Azure AD.
  • Client Credentials: Autenticación de clientes y servicios en las APIs de Node-RED con credenciales de aplicación.
• Parámetros para validar tokens de Azure AD:
  • JWKS URI: Endpoint que proporciona claves públicas para verificar la firma del token.
  • AUDIENCE: Identificador del recurso al que está destinado el token.
  • ISSUER: Identificador del emisor del token (Azure AD).

Implementación de la Validación de Tokens

• Se implementa un mecanismo de validación para tokens de usuarios y servicios, utilizando jsonwebtoken y jwks-rsa.
• Esto permite recuperar dinámicamente las claves de firma de Azure AD.

Validación Manual del Token

• Función validateToken para una validación detallada de los tokens JWT recibidos.
  • Decodificación del token: Se extrae el contenido del token sin verificar su validez.
  • Verificación de aud y iss: Se comprueba que el token esté destinado a la aplicación correcta y haya sido emitido por Azure AD.
  • Obtención de la clave pública: Se consulta Azure AD para obtener la clave pública utilizada para firmar el token.
  • Validación de la firma: Se utiliza la clave pública para verificar la autenticidad del token.

Autenticación en la Interfaz de Administración de Node-RED

• Se integra passport-azure-ad con el protocolo OpenID Connect para autenticar usuarios en la interfaz de Node-RED.
  • Se utiliza OpenID Connect para autenticar usuarios en Azure AD.
  • Se configuran los metadatos de identidad con la URL de configuración de OpenID de Azure AD.
  • Se obtiene el perfil del usuario y se le asignan permisos según su grupo en Azure AD.

Variables clave:

• identityMetadata: URL del endpoint de metadatos OpenID Connect de Azure AD.
• clientID: Identificador (App ID) de la aplicación registrada en Azure AD.
• clientSecret: Secreto asignado a la aplicación en Azure AD para autenticarla de manera segura.
• redirectUrl: URL a la que se redirige al usuario tras autenticarse.
• adminGroup: Identificador del grupo de usuarios con acceso total.
• readOnlyGroup: Identificador del grupo de usuarios con permisos de solo lectura.
• permissions: Variable asignada según el grupo del usuario ("*" para acceso total o "read" para solo lectura).

Conclusión

• El esquema de autenticación basado en Azure AD y JWT proporciona un sistema de control de acceso robusto y seguro para Node-RED.
  • Autenticación de usuarios vía SSO en la interfaz de administración.
  • Autenticación de aplicaciones cliente en las APIs mediante tokens de client_credentials.
  • Validación de tokens en tiempo real utilizando las claves públicas de Azure AD.
  • Integración de OpenID Connect para una autenticación segura basada en estándares.