En el papel, las empresas eligen entre "identidad on-premise" y "identidad en la nube". En la vida real, casi ninguna elige: tienen las dos. Tienen Active Directory sosteniendo la red local que ya funcionaba, y Entra ID porque adoptaron Microsoft 365. La pregunta deja de ser "¿cuál?" y pasa a ser "¿cómo hago que estas dos convivan sin que el usuario tenga dos contraseñas ni yo dos infiernos que administrar?". Eso es la identidad híbrida, y es el escenario por defecto de casi todos.
El puente: sincronización
La pieza que une los dos mundos es una herramienta de sincronización —Entra Connect (antes Azure AD Connect)— que corre junto a tu AD y copia sus objetos (usuarios, grupos) hacia Entra ID de forma continua. El objetivo es una identidad única: el mismo usuario, la misma contraseña, sirve para iniciar sesión en la laptop de la oficina y para entrar a M365. Sin ese puente, tendrías dos directorios divorciados y a cada empleado gestionado por partida doble.
Entra Connect es el puente: sincroniza el AD local hacia Entra ID. La contraseña se valida con PHS, PTA o federación, y el servidor de sync es un activo Tier 0.
Las tres formas de validar la contraseña (y en qué se diferencian)
Aquí está la decisión técnica que define una identidad híbrida, y conviene entenderla sin misticismo. Cuando el usuario entra a la nube, ¿quién verifica su contraseña?
- Password Hash Sync (PHS): se sincroniza a la nube un hash (una huella irreversible) de la contraseña, y Entra ID valida por su cuenta. Es lo más simple y resiliente: si tu enlace o tu AD se caen, la gente sigue entrando a la nube. Para la mayoría, es la opción recomendable.
- Pass-Through Authentication (PTA): la contraseña se valida en tu AD on-premise en tiempo real, mediante un agente. La credencial no vive en la nube, pero dependes de que tu infraestructura local esté arriba para poder entrar.
- Federación (AD FS): delegas la autenticación a un servidor propio. Da el máximo control, a cambio de la mayor complejidad y otra pieza crítica que mantener y proteger. Hoy se reserva para casos que de verdad lo justifican.
El riesgo que nadie te cuenta: el puente cruza en ambos sentidos
Aquí la advertencia honesta. Conectar tu AD a la nube tiene una consecuencia de seguridad que se subestima: si un atacante compromete tu Active Directory on-premise, ese compromiso puede escalar hacia tu nube, porque la identidad es el puente y la confianza fluye por él. El servidor donde corre Entra Connect, y las cuentas que hacen la sincronización, se vuelven activos Tier 0 —tan críticos como los controladores de dominio— y hay que protegerlos como tales. La comodidad de "una sola identidad" trae atada la responsabilidad de que un solo compromiso ya no se queda de un lado.
Lo que hay que cuidar al diseñarla
Más allá del método de autenticación, una híbrida sana cuida el alcance de la sincronización (no subir a la nube cuentas de servicio o administrativas que no deberían estar ahí), define con claridad cuál es la fuente de autoridad de cada atributo, y trata al servidor de sincronización con el mismo celo que a un DC. Son decisiones que se toman una vez y se arrastran por años.
Un detalle que la gente agradece: el password writeback
Una de las funciones que más suaviza la vida en un entorno híbrido es el password writeback: cuando lo habilitas, un usuario puede restablecer su propia contraseña desde la nube —el autoservicio de Entra ID— y ese cambio se escribe de vuelta a tu Active Directory local, manteniendo los dos mundos sincronizados. Sin esto, el autoservicio en la nube y la contraseña de la red local se desfasarían, que es justo lo que la identidad híbrida busca evitar. Es un buen ejemplo del principio de fondo: en híbrido, cada cambio debe fluir con claridad entre los dos directorios, y decidir en qué dirección viaja cada dato es media arquitectura.
La idea que se queda
La identidad híbrida no es un estado de transición hacia "la nube pura": para la mayoría es el destino, y está bien. Su corazón es el puente de sincronización y cómo eliges validar la contraseña, y su letra chica es que ese puente hay que protegerlo de los dos lados. Es la pieza que hace realista todo lo demás de la identidad como perímetro.