Autenticación Node-RED con Azure AD

Questions and Answers

¿Cuál es el propósito principal de la función validateToken en el contexto de la autenticación de Node-RED?

• Modificar la estructura de los tokens JWT para añadir información adicional.
• Generar nuevos tokens JWT para los usuarios.
• Validar tokens JWT existentes para asegurar que sean legítimos y autorizados. (correct)
• Almacenar tokens JWT en una base de datos para su posterior uso.

El middleware validateSSOToken está diseñado para validar tokens utilizados por aplicaciones cliente para consumir la API.

False (B)

¿Qué componentes principales comprende la configuración adminAuth en Node-RED para la autenticación con Azure AD?

tipo de autenticación, estrategia de autenticación y manejo de usuarios

El encabezado HTTP que se espera que contenga el token para la autenticación de APIs es ______.

x-azure-token

Empareja los siguientes parámetros de configuración de Azure AD con su descripción:

JWKS_URI = URL donde se obtienen las claves públicas de Azure AD. AUDIENCE = ID de la aplicación en Azure AD. ISSUER = Quién emite los tokens (Azure AD).

¿Cuál es la consecuencia de configurar credentialsRequired: false en el middleware expressjwt?

Permite que las solicitudes sin token sean manejadas manualmente en lugar de ser rechazadas inmediatamente. (B)

La decodificación del token en la función validateToken siempre implica la validación del token contra una clave pública.

False (B)

¿Qué biblioteca de Node.js se utiliza para obtener las claves públicas de Azure AD de forma dinámica?

jwks-rsa

El parámetro ______ en la configuración de passport-azure-ad especifica la URL a los metadatos de identidad de Azure AD.

identityMetadata

Empareja cada componente de la función validateToken con su propósito:

jwt.decode = Decodifica el token sin validarlo para extraer información. jwksClient.getSigningKey = Obtiene la clave pública de Azure AD basada en el 'kid' del token. jwt.verify = Valida el token utilizando la clave pública obtenida.

¿Qué rol juega el parámetro NameSpace del nodo DLQ-Peek-Delete?

Define el espacio de nombres en Azure Service Bus. (C)

El nodo DLQ-Peek-Delete solo tiene una salida para los mensajes eliminados exitosamente.

False (B)

¿Qué tipo de solicitud HTTP realiza el nodo DLQ-Peek-Delete a la API de Azure Service Bus?

delete

El parámetro ______ define el tipo de autenticación utilizada por el nodo DLQ-Peek-Delete.

connectionType

Empareja las posibles salidas del nodo DLQ-Peek-Delete con su descripción:

Salida 1 = Mensaje de la DLQ eliminado con éxito. Salida 2 = Indicación de que la cola está vacía. Salida 3 = Mensaje de error por fallo en la solicitud.

¿Cuál es la función del parámetro SequenceNumber en el nodo Complete Message?

Identifica el número de secuencia del mensaje que se va a completar. (D)

El nodo Complete Message se usa para enviar mensajes a una cola de Azure Service Bus.

False (B)

¿Qué tipo de solicitud HTTP realiza el nodo Complete Message para eliminar el mensaje?

delete

El parámetro ______ en el nodo Complete Message contiene el identificador único del bloqueo del mensaje.

lockToken

Empareja los parámetros del nodo Complete Message con su propósito:

NameSpace = Espacio de nombres del Service Bus. NameQueue = Cola donde se encuentra el mensaje. SequenceNumber = Número de secuencia del mensaje. LockToken = Identificador único del bloqueo del mensaje.

¿Cuál es la función principal del nodo GenerateSaSKey?

Generar un token SAS para autenticación. (C)

El nodo GenerateSaSKey requiere la clave primaria de la cuenta de Azure para generar el token SAS.

True (A)

¿Qué algoritmo criptográfico se utiliza en el nodo GenerateSaSKey para generar la firma del token SAS?

hmac-sha256

El parámetro ______ en el nodo GenerateSaSKey especifica la clave secreta utilizada para firmar el token SAS.

saskey

Empareja los parámetros del nodo GenerateSaSKey con su propósito:

NameSpace = Espacio de nombres de Azure Service Bus. SasKeyName = Nombre de la clave SAS. SasKey = Clave secreta asociada a SasKeyName.

¿Cuál de los siguientes NO es un parámetro obligatorio para la autenticación con Azure AD en Node-RED?

API_SECRET (D)

El middleware express-jwt rechaza automáticamente las solicitudes sin un token si la opción credentialsRequired está configurada como false.

False (B)

¿Cuál es el rol de la función jwt.decode en el proceso de validación de tokens?

extrae información

En la configuración de adminAuth, el parámetro strategy se utiliza para especificar la estrategia de autenticación, como ___________ para la integración con Azure AD.

passport-azure-ad

Empareja el flujo de autenticación con el tipo de acceso que permite en Node-RED:

Autenticación SSO = Acceso a la interfaz de usuario (UI) de Node-RED. Autenticación client_credentials = Acceso programático o de servicio a las APIs de Node-RED.

¿Cuál es el principal beneficio de usar tokens JWT con Azure AD para la autenticación en Node-RED?

Permite la delegación segura de la autorización y autenticación a un proveedor de identidad confiable. (A)

Una vez que un token JWT ha sido emitido por Azure AD, no puede ser revocado bajo ninguna circunstancia.

False (B)

¿Qué rol cumple el JWKS (JSON Web Key Set) en la autenticación con tokens JWT?

claves públicas

Para habilitar el acceso a grupos específicos en Azure AD para el acceso a Node-RED, debes configurar el bloque __________ en la configuración adminAuth.

verify

Une cada término con su descripción, dentro del contexto de autenticación con Azure AD:

Audience = Identificador único de la aplicación a la que se dirige el token. Issuer = La autoridad que emite el token (en este caso, Azure AD). Scope = Los permisos específicos que se solicitan del usuario o servicio.

Flashcards

Nodo DLQ-Peek-Delete

Permite visualizar y eliminar mensajes de la Dead Letter Queue (DLQ) en Azure Service Bus, ayudando a depurar y gestionar errores en la mensajería.

NameSpace (DLQ-Peek-Delete)

Espacio de nombres del Service Bus.

NameQueue (DLQ-Peek-Delete)

Cola a procesar.

ConnectionType (DLQ-Peek-Delete)

BearerToken o SharedToken.

Token (DLQ-Peek-Delete)

Credenciales de autenticación.

Nodo Complete Message

Confirmar la recepción y procesamiento de un mensaje en una cola de Azure Service Bus, eliminándolo de la cola para evitar que sea reintentado.

NameSpace (Complete Message)

Espacio de nombres del Service Bus.

NameQueue (Complete Message)

Cola donde se encuentra el mensaje.

SequenceNumber (Complete Message)

Número de secuencia del mensaje.

LockToken (Complete Message)

Identificador único del bloqueo del mensaje.

ConnectionType (Complete Message)

BearerToken o SharedToken.

Token (Complete Message)

Credenciales de autenticación.

Nodo GenerateSaSKey

Genera un token Shared Access Signature (SAS) para autenticar solicitudes a Azure Service Bus, permitiendo acceso seguro a recursos sin necesidad de credenciales expuestas.

NameSpace (GenerarteSaSKey)

Espacio de nombres del Service Bus.

SasKeyName (GenerarteSaSKey)

Nombre de la clave SAS.

SasKey (GenerarteSaSKey)

Clave secreta asociada a SasKeyName.

Study Notes

Autenticación en Node-RED con Azure AD

• En este apartado, se explorará el mecanismo de autenticación de Node-RED utilizando Azure Active Directory (Azure AD) y tokens JWT (JSON Web Tokens).
• Se implementan dos tipos de autenticación: autenticación de usuarios a través de Single Sign-On (SSO) para acceder a la interfaz de Node-RED y autenticación de clientes API mediante client credentials para acceder a los servicios expuestos por Node-RED.

Configuración de Azure AD

• Para validar los tokens emitidos por Azure AD, se requieren los siguientes parámetros de configuración: JWKS URI, Audience (aud), Issuer (iss).

Implementación de la Validación de Tokens

• Node-RED utiliza middlewares de Express.js para validar los tokens JWT.
• La verificación se realiza mediante la biblioteca express-jwt en combinación con jwks-rsa, lo que permite obtener las claves públicas desde Azure AD de manera dinámica.

Validación de Tokens SSO (Usuarios de la UI)

• El middleware valida los tokens emitidos por Azure AD para el inicio de sesión en la interfaz de Node-RED.

Validación de Tokens para API (client_credentials)

• El middleware se encarga de validar tokens usados por aplicaciones cliente para consumir la API.

Validación Manual de Tokens

• Además del middleware automático, se implementa una función para validar manualmente los tokens.
• Esto es útil para validar tokens dentro de funciones personalizadas en Node-RED.

Integración con Node-RED (adminAuth)

• Para integrar la autenticación en la interfaz de administración de Node-RED, se utiliza passport-azure-ad con el protocolo OpenID Connect.

Conclusión

• Esta implementación de autenticación en Node-RED proporciona un mecanismo robusto y seguro basado en Azure AD.
• Tokens se validan tanto para la interfaz de usuario como para clientes API, asegurando que solo usuarios y servicios autorizados puedan acceder.

Nodo DLQ-Peek-Delete (Azure Service Bus)

Función:

• Permite visualizar y eliminar mensajes de la Dead Letter Queue (DLQ) en Azure Service Bus, ayudando a depurar y gestionar errores en la mensajería.

Parámetros clave:

• NameSpace (Espacio de nombres del Service Bus).
• NameQueue (Cola a procesar).
• ConnectionType (BearerToken o SharedToken).
• Token (Credenciales de autenticación).

Flujo de ejecución:

• Recupera los parámetros y construye la URL de la API de DLQ.
• Autenticación con el token proporcionado.
• Elimina el primer mensaje en la DLQ y lo devuelve si existe.

Manejo de respuestas:

• Mensaje eliminado → Salida 1.
• Cola vacía → Salida 2.
• Error en la solicitud → Salida 3.

Casos de uso:

• Automatización del mantenimiento de la DLQ.
• Eliminación y análisis de mensajes con errores en Azure Service Bus.
• Prevención de acumulación de mensajes no procesables.

Nodo Complete Message (Azure Service Bus)

Función:

• Este nodo permite confirmar la recepción y procesamiento de un mensaje en una cola de Azure Service Bus, eliminándolo de la cola para evitar que sea reintentado.

Parámetros clave:

• NameSpace (Espacio de nombres del Service Bus).
• NameQueue (Cola donde se encuentra el mensaje).
• SequenceNumber (Número de secuencia del mensaje).
• LockToken (Identificador único del bloqueo del mensaje).
• ConnectionType (BearerToken o SharedToken).
• Token (Credenciales de autenticación).

Flujo de ejecución:

• Recupera los parámetros y genera la URL de la API para completar el mensaje.
• Autenticación con el token proporcionado.
• Envía una solicitud DELETE para eliminar el mensaje de la cola de Azure Service Bus.

Manejo de respuestas:

• Mensaje completado con éxito → Salida 1.
• Error en la solicitud → Salida 2.

Casos de uso:

• Confirmación de que un mensaje ha sido procesado correctamente.
• Prevención de reentrega de mensajes en sistemas de mensajería asíncronos.
• Integración con flujos que requieren garantía de procesamiento en Azure Service Bus.