This is the Trace Id: 1befa48fab34b5d92492527fbb4159f4
Saltar al contenido principal Por qué Seguridad de Microsoft Ciberseguridad con tecnología de IA Seguridad en la nube Seguridad y gobernanza de datos Identidad y acceso a la red Administración de riesgo y privacidad Seguridad para IA SecOps unificadas Confianza cero Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Id. de Microsoft Entra (Azure Active Directory) Agente de Microsoft Entra ID Id. externa de Microsoft Entra Gobierno de Microsoft Entra ID Protección de Microsoft Entra ID Acceso a Internet de Microsoft Entra Acceso privado de Microsoft Entra Administración de permisos de Microsoft Entra Id. verificada por Microsoft Entra Id. de carga de trabajo de Microsoft Entra Microsoft Entra Domain Services Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender para punto de conexión Microsoft Defender para Office 365 Microsoft Defender for Identity Microsoft Defender for Cloud Apps Administración de exposición de seguridad de Microsoft Administración de vulnerabilidades de Microsoft Defender Inteligencia contra amenazas de Microsoft Defender Conjunto de aplicaciones de Microsoft Defender para empresas Premium Microsoft Defender for Cloud Administración de la posición de seguridad en la nube de Microsoft Defender Administración de superficie expuesta a ataques externos de Microsoft Defender Seguridad avanzada de GitHub Microsoft Defender para punto de conexión Microsoft Defender XDR Microsoft Defender para Empresas Capacidades básicas de Microsoft Intune Microsoft Defender para IoT Administración de vulnerabilidades de Microsoft Defender Análisis avanzado de Microsoft Intune Administración con privilegios para puntos de conexión de Microsoft Intune Administración de aplicaciones de Microsoft Intune para empresas Ayuda remota de Microsoft Intune PKI en la nube de Microsoft Cumplimiento de comunicaciones de Microsoft Purview Administrador de cumplimiento de Microsoft Purview Administración del ciclo de vida de Microsoft Purview Microsoft Purview eDiscovery Auditoría de Microsoft Purview Administración de riesgos de Microsoft Priva Solicitudes de datos personales Microsoft Priva Gobierno de datos de Microsoft Purview Conjunto de aplicaciones de Microsoft Purview para empresas Premium Funciones de seguridad de datos de Microsoft Purview Precios Servicios Partners Concienciación sobre la ciberseguridad Casos de clientes Fundamentos de seguridad Pruebas de producto Reconocimiento del sector Microsoft Security Insider Informe de defensa digital de Microsoft Centro de respuestas de seguridad Blog de Seguridad de Microsoft Eventos de Seguridad de Microsoft Microsoft Tech Community Documentación Biblioteca de contenido técnico Capacitación y certificaciones Programa de cumplimiento de Microsoft Cloud Centro de confianza de Microsoft Portal de confianza de servicios Microsoft Iniciativa para un futuro seguro Business Solutions Hub Contacto con ventas Inicia la prueba gratuita Seguridad de Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Realidad mixta Microsoft HoloLens Microsoft Viva Computación cuántica Sostenibilidad Educación Automotriz Servicios financieros Administraciones públicas Sanidad Fabricación Comercios minoristas Encuentra un asociado Conviértete en asociado Red de asociados Microsoft Marketplace Marketplace Rewards Empresas de desarrollo de software Blog Microsoft Advertising Centro de desarrolladores Documentación Eventos Licenciamiento Microsoft Learn Microsoft Research Ver mapa del sitio

¿Qué es OAuth?

Descubre qué es OAuth y cómo se usa para autorizar el acceso entre aplicaciones y servicios sin poner en peligro la información confidencial.

Explicación de OAuth

OAuth es un estándar tecnológico que permite autorizar a una aplicación o servicio a iniciar sesión en otra sin divulgar información privada, como contraseñas. Si alguna vez has recibido un mensaje como, "¿Iniciar sesión con Facebook?" o "¿Permitir que esta aplicación acceda a tu cuenta?" entonces ya has visto OAuth en acción.

OAuth es una abreviatura de Open Authorization (no de Open Authentication, como se supone a veces). La autenticación es un proceso que comprueba tu identidad. Aunque OAuth necesita tu identidad, su propósito es conceder permiso para conectarte sin problemas con diferentes aplicaciones y servicios sin tener que crear una nueva cuenta. OAuth proporciona un uso sencillo, ya que puedes autorizar a dos aplicaciones a compartir algunos de tus datos sin revelar tus credenciales. Logra un equilibrio entre comodidad y seguridad.

OAuth está diseñado para funcionar con el Protocolo de transferencia de hipertexto (HTTP). Usa tokens de acceso para demostrar tu identidad y permitirte interactuar con otro servicio en tu nombre. En caso de que este segundo servicio sufra una vulneración de datos, tus credenciales en el primer servicio permanecerán seguras. OAuth es un protocolo de estándar abierto ampliamente adoptado y la mayoría de los desarrolladores de sitios web y aplicaciones lo usan.

Lo importante es que OAuth no concede a una aplicación o servicio de terceros acceso ilimitado a los datos. Parte del protocolo se centra en especificar a qué datos puede acceder el tercero y qué puede hacer con esos datos. Establecer estas limitaciones y la protección general de las identidades es especialmente importante en escenarios empresariales en los que muchas personas tienen acceso a una gran cantidad de información confidencial y de su propiedad.


 

¿Cómo funciona OAuth?

Los tokens de acceso son lo que hace que OAuth sea seguro de usar. Un token de acceso es un fragmento de datos que contiene información sobre el usuario y el recurso para el que está pensado el token. Un token también incluirá reglas específicas para el uso compartido de datos.

Por ejemplo, es posible que quieras compartir fotos de tu perfil de redes sociales con una aplicación de edición de fotos, pero solo quieres que tenga acceso a algunas de tus fotos. Tampoco es necesario que tenga acceso a tus mensajes directos ni a tu lista de amigos. En este caso, el token solo autorizará el acceso a los datos que apruebes. También puede haber reglas que rigen cuándo puede la aplicación usar ese token—para un solo uso o para usos periódicos— y una fecha de expiración.

El proceso de OAuth es principalmente una interacción de máquina a máquina con solo algunos puntos de contacto con el usuario. En algunos escenarios, es posible que no tengas que proporcionar tu aprobación porque el software la procesa de forma silenciosa en segundo plano. Dos ejemplos de OAuth de este tipo se encontrarían en un escenario de trabajo empresarial, donde una plataforma de identidad controla las conexiones entre los recursos para reducir la fricción de TI para un gran número de usuarios o en las interacciones entre algunos dispositivos inteligentes.


 

Ejemplos de tecnología de OAuth

Al igual que muchas tecnologías que simplifican algo tedioso —en este caso, crear cuentas manualmente para varias aplicaciones— los creadores de aplicaciones han adoptado casi universalmente OAuth. Tiene una amplia variedad de casos de uso para personas y empresas.

Para dar un ejemplo de OAuth, supongamos que estás usando Microsoft Teams como herramienta de colaboración y deseas obtener más información sobre las personas con las que trabajas, tanto dentro como fuera de tu organización. Decides habilitar la integración de LinkedIn para obtener más información sobre las personas a medida que interactúas con ellas, sin salir de Teams. Microsoft y LinkedIn usarían OAuth para autorizar la vinculación de tus cuentas con tu identidad de Microsoft.

Otro escenario que usaría OAuth sería descargar una aplicación de presupuestos para seguir los gastos con alertas y ayudas visuales, como gráficos. Para realizar su trabajo, la aplicación necesitaría acceso a algunos de los datos bancarios. Puedes iniciar una solicitud para vincular tu cuenta bancaria con la aplicación, autorizando solo el acceso al saldo y las transacciones de tu cuenta. La aplicación y el banco usarían OAuth para realizar este intercambio de información en tu nombre sin revelar tus credenciales de inicio de sesión bancario a la aplicación.

Otro ejemplo de OAuth: eres un desarrollador que usa GitHub y descubres que hay una aplicación de terceros disponible que se puede integrar con tu cuenta para realizar revisiones de código automatizadas. Vas a GitHub Marketplace y descargas la aplicación. A continuación, te pide que autorices una conexión con la aplicación mediante la identidad de GitHub, un proceso que se controlaría mediante OAuth. La aplicación de revisión podría acceder a tu código sin tener que iniciar sesión en ambos servicios cada vez.

¿Qué diferencias existen entre Office 1.0 y Office 2.0?

La versión original de OAuth 1.0 se desarrolló solo para sitios web. Su uso se ha reducido en la actualidad, ya que OAuth 2.0 funciona también con aplicaciones y es más rápida y fácil de implementar. Además, OAuth 1.0 no se escala como OAuth 2.0 y solo tiene tres flujos de autorización posibles, en comparación con los seis de OAuth 2.0.

Si tienes pensado usar OAuth, es mejor que elijas la versión 2.0 desde el principio. Lamentablemente, OAuth 1.0 no se puede actualizar a OAuth 2.0. OAuth 2.0 se concibió como un rediseño radical de OAuth 1.0 y varias empresas tecnológicas importantes aportaron comentarios sobre su diseño. Un sitio web puede admitir OAuth 1.0 y OAuth 2.0, pero los creadores pretendían que 2.0 reemplazara completamente a 1.0.

OAuth comparado con OIDC

OAuth y Open ID Connect (OIDC) son protocolos estrechamente relacionados. Ambos desempeñan un papel en la concesión de acceso de una aplicación a los recursos de otra aplicación en nombre de un usuario. La diferencia es que OAuth se usa para conceder una autorización de acceso a los recursos, mientras que OIDC se usa para la autenticación de la identidad de una persona. Ambos desempeñan un papel al permitir que dos aplicaciones no relacionadas compartan información sin poner en peligro los datos de usuario.

Los proveedores de identidades suelen usar OAuth 2.0 y OIDC juntos. OIDC se desarrolló específicamente para mejorar las funcionalidades de OAuth 2.0 al agregarle una capa de identidad. Dado que se basa en OAuth 2.0, OIDC no es compatible con OAuth 1.0.

 

Introducción a OAuth

El uso de OAuth 2.0 con tus sitios web y aplicaciones puede mejorar considerablemente las experiencias de los usuarios o empleados al simplificar el proceso de autenticación de identidad. Para empezar, invierte en una solución de proveedor de identidades, como Microsoft Entra, que protege a los usuarios y los datos con seguridad integrada

Microsoft Entra ID (anteriormente conocida como Azure Active Directory) es compatible con todos los flujos de OAuth 2.0. Los desarrolladores de aplicaciones pueden usar ID como proveedor de autenticación basado en estándares para ayudarles a integrar funcionalidades de identidad modernas y de escala empresarial en las aplicaciones. Los administradores de TI pueden usarlo para controlar el acceso.

Más información sobre Seguridad de Microsoft

  • Explorar Microsoft Entra

    Protege las identidades y el acceso seguro entre nubes con una familia holística de soluciones.

    Más información

  • Microsoft Entra ID (anteriormente, Azure Active Directory)

    Protege el acceso a los recursos y los datos mediante una autenticación sólida y un acceso adaptable basado en riesgos.

    Más información

  • Transmitir confianza hacia tus aplicaciones

    Implementa SSO para que los empleados puedan acceder a todos los recursos que necesitan con una credencial.

    Más información

  • Simplificar las experiencias de inicio de sesión

    Implementa SSO para que los empleados puedan acceder a todos los recursos que necesitan con una credencial.

    Más información

  • Protegerse contra ataques

    Usa la autenticación multifactor para mejorar la protección de los recursos de tu organización.

    Más información

  • Usar OAuth para simplificar el acceso a los datos de correo electrónico

    Obtén información sobre cómo autenticar conexiones a aplicaciones mediante protocolos heredados.

    Más información

 

 

Preguntas más frecuentes

  • OAuth es una abreviatura de Open Authorization, un estándar tecnológico que permite autorizar a una aplicación o servicio a iniciar sesión en otra sin divulgar información privada, como contraseñas. Cuando una aplicación te pide autorización para ver la información de tu perfil, lo hace a través de OAuth.

  • OAuth intercambia tokens de acceso, que son fragmentos de datos con información sobre el usuario y el recurso para el que está pensado el token. Una aplicación o sitio web intercambia información cifrada con otra sobre un usuario e incluye reglas específicas para el uso compartido de datos. También puede haber reglas que rigen cuándo puede la aplicación usar ese token, así como una fecha de expiración. El proceso de OAuth es principalmente una interacción de máquina a máquina con solo algunos puntos de contacto para el usuario (de haberlos).

  • Muchas empresas usan OAuth para simplificar el acceso a sitios web y aplicaciones de terceros sin divulgar las contraseñas de los usuarios ni los datos confidenciales. Google, Amazon, Microsoft, Facebook y Twitter lo usan para compartir información sobre sus cuentas con una amplia variedad de propósitos, incluida la simplificación de las compras. La Plataforma de identidad de Microsoft usa OAuth para autorizar permisos para cuentas profesionales y educativas, cuentas personales, cuentas sociales y cuentas de juegos.

  • OAuth y Open ID Connect (OIDC) son protocolos estrechamente relacionados. Ambos desempeñan un papel en la concesión de acceso de una aplicación a los recursos de otra aplicación en nombre de un usuario. La diferencia es que OAuth se usa para conceder una autorización de acceso a los recursos, mientras que OIDC se usa para la autenticación de la identidad de una persona. Ambos desempeñan un papel al permitir que dos aplicaciones no relacionadas compartan información sin poner en peligro los datos de usuario.

  • Hay muchas diferencias entre OAuth 1.0 y OAuth 2.0, ya que OAuth 2.0 se diseñó para ser un rediseño radical de OAuth 1.0, dejando a este último obsoleto. OAuth 1.0 se desarrolló solo para sitios web, mientras que OAuth 2.0 se ha diseñado para aplicaciones y sitios web. OAuth 2.0 es más rápida y fácil de implementar, se puede escalar y tiene seis flujos de autorización posibles en comparación con los tres que tiene OAuth 1.0.

Sigue a Microsoft 365.

Copilot para organizaciones Copilot para uso personal Microsoft 365 Explora los productos de Microsoft Aplicaciones de Windows 11 Perfil de la cuenta Centro de descargas Devoluciones Seguimiento de pedidos Microsoft Educación Dispositivos para el sector educativo Microsoft Teams para Educación Microsoft 365 Educación Office Educación Entrenamiento y desarrollo para educadores Ofertas para estudiantes y padres Azure para estudiantes
Microsoft AI Seguridad de Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Desarrollador de Microsoft Microsoft Learn Admite aplicaciones del Marketplace de IA Comunidad de Microsoft Tech Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Trabajos Acerca de Microsoft Privacidad en Microsoft Inversionistas Sustentabilidad
Español (Colombia)
Icono de exclusión de opciones de privacidad Tus opciones de privacidad
Privacidad de la salud del consumidor Ponte en contacto con Microsoft Privacidad Administrar cookies Aviso legal Marcas Registradas Sobre nuestra publicidad