A medida que las empresas adoptan las aplicaciones en la nube por su conveniencia y eficiencia, también asumen riesgos adicionales sin darse cuenta. Las aplicaciones y los datos confidenciales están, de forma predeterminada, protegidos por contraseñas débiles y estáticas. La visibilidad de quién accede a qué y cuándo, y cómo se verifica su identidad, se vuelve difícil de lograr, lo que dificulta el cumplimiento. Los administradores de TI requieren numerosas consolas diferentes para administrar las identidades en la nube. Y la persona más importante en el proceso, el usuario, tiene que mantener la carga de innumerables nombres de usuario y contraseñas.
Identity and access management key concepts, technologies and standards compiled for you in this Access Management ebook . You will learn: • Authentication and access management differences • How to leverage cloud single sign on (SSO) • Key concepts in Access...
La administración de identidad y acceso (IAM) es una subdisciplina de la seguridad de los datos que comprende dos conjuntos de funcionalidades: gobernanza y administración de identidad (IGA) y administración de acceso (AM).
La IAM proporciona un marco metódico para otorgar (y solicitar) acceso a aplicaciones (IGA), hacer cumplir los controles de acceso (AM) y garantizar la visibilidad de los eventos de acceso (AM).
Las soluciones de IGA ayudan a responder las siguientes preguntas: "¿Quién debería recibir acceso, o quién tiene 'acceso autorizado', a qué aplicación?" y "¿A quién, en la práctica, se le otorgó acceso a qué aplicación, por quién y cuándo?". Las soluciones de AM ayudan a responder las preguntas: "¿Quién accedió a qué, cuándo y cómo se verificó su identidad?".
Una solución de administración de identidad y acceso (IAM) se compone de la funcionalidad de gobernanza y administración de identidad (IGA) y la funcionalidad de administración de acceso (AM). Las soluciones IAM proporcionan un marco metódico para otorgar (y solicitar) acceso a aplicaciones (IGA), hacer cumplir los controles de acceso (AM) y garantizar la visibilidad de los eventos de acceso (AM). Dado que la mayoría de las organizaciones implementan los componentes IGA y AM por separado, estas disciplinas se evalúan cada vez más como familias de soluciones independientes y distintas, en lugar de evaluarse como funcionalidades compuestas de una sola suite IAM.
La administración de acceso es una funcionalidad que permite determinar si un usuario tiene permiso para acceder a un determinado recurso y permite la aplicación de la política de acceso que se ha configurado para ese recurso.
La administración de acceso se implementa en función de las políticas de acceso que definen los administradores de TI e incluyen información como qué grupos de usuarios (por ejemplo, Ventas, I+D, RR. HH.) tienen acceso a qué aplicaciones en la nube (por ejemplo, Salesforce, Office 365, Jira, Taleo), así como el conjunto de atributos del usuario necesarios para acceder a cada aplicación (por ejemplo, red de confianza, contraseña, OTP).
La política de acceso puede requerir que se evalúen más o menos atributos del usuario según la sensibilidad de una aplicación en la nube. Estos atributos se evalúan mediante la autenticación basada en riesgos o basada en el contexto, que es fundamental para hacer cumplir las diferentes políticas de acceso definidas para cada aplicación en la nube. (Para obtener más detalles, consulte la autenticación basada en contexto).
También es fundamental para la administración de acceso a la nube el inicio de sesión único, que permite el uso de un único conjunto de nombre de usuario y contraseña o "identidad" para iniciar sesión en todas las aplicaciones en la nube. (Para obtener más detalles, consulte el inicio de sesión único).
IDaaS es IAM-as-a-Service, y también se denomina identidad como servicio. IDaaS describe las soluciones de administración de identidad y acceso (IAM) que ofrecen un modelo de entrega como servicio basado en la nube para la administración de identidad y acceso. Si bien IDaaS se ha evaluado como un mercado separado en los últimos años, dadas las tendencias recientes del mercado, en el futuro se tratará como dos disciplinas separadas: la de administración de acceso e IGA, cuyos métodos de entrega incluyen plataformas con instalaciones locales, en software o basadas en la nube.
La gobernanza y administración de identidad (IGA) es un conjunto de funcionalidades que ayudan a responder las siguientes preguntas: "¿Quién debe recibir acceso o quién tiene 'acceso autorizado' y a qué aplicación?" y "¿A quién, en la práctica, se le otorgó acceso, a qué aplicación, por quién y cuándo?". Por ejemplo, una solución IGA puede ayudar a establecer que el personal de I+D tenga derecho a acceder a determinadas aplicaciones de desarrollo, como GitHub, Jira y Confluence. Una solución IGA puede proporcionar acceso automáticamente a estas aplicaciones, en función de la pertenencia a un grupo de I+D. El usuario de I+D también puede solicitar que se le proporcione acceso a otras aplicaciones, una solicitud que luego pasaría por un proceso de aprobación de la administración que es compatible con algunas soluciones IGA.
La federación de identidades es una arquitectura basada en un único proveedor de identidad de confianza (IdP) que gobierna la autenticación de los usuarios con aplicaciones que transmiten el proceso de autenticación al proveedor de identidad cada vez que un usuario intenta acceder. Las aplicaciones que transmiten el proceso de autenticación al proveedor de identidad de confianza se denominan proveedores de servicios (SP).
La federación de identidades resuelve los desafíos y frustraciones de administrar las credenciales para numerosas aplicaciones web por separado, ya sean internas o externas de una organización, y les permite a los administradores y usuarios mantener un único conjunto de nombre de usuario y contraseña (o 'identidad') para múltiples recursos y aplicaciones de TI. La federación de identidades elimina la fatiga de las contraseñas, mejora la seguridad y resuelve el problema de manejar innumerables restablecimientos de contraseñas.
La federación de identidades se basa en protocolos de federación como SAML y Open ID Connect, así como en protocolos propietarios como WS-Federation de Microsoft.
El inicio de sesión federado es una función de los protocolos de federación (por ejemplo, SAML, Open ID Connect, etc.) que les permite a los usuarios iniciar sesión en múltiples aplicaciones utilizando su identidad empresarial actual. Por ejemplo, en lugar de iniciar sesión en aplicaciones en la nube separadas utilizando diferentes conjuntos de nombre de usuario y contraseña, o "identidades", el inicio de sesión federado permite a los usuarios iniciar sesión en Office 365, Salesforce, AWS, etcétera, con la misma identidad que utilizan para iniciar sesión en la red corporativa por la mañana o la VPN por la noche.
Un proveedor de identidades es un sistema que autentica a los usuarios que intentan acceder a otros sitios web no afiliados (proveedores de servicios). Los proveedores de identidades, junto con los proveedores de servicios, constituyen una arquitectura de federación de identidades, en la que los usuarios que intentan acceder a un sitio web (o proveedor de servicios) son retransmitidos al proveedor de identidades para su autenticación. El proveedor de identidades verifica los datos de autenticación del usuario (por ejemplo, cookie del usuario, dispositivo, red, OTP) y produce una respuesta de "aceptar" o "rechazar", que luego se envía al proveedor de servicios. Los proveedores de identidad también pueden solicitar autorización para acceder a determinados datos en nombre de otro sitio web no afiliado. Los datos de autorización pueden incluir el permiso para acceder a información como direcciones de correo electrónico de una cuenta de correo web o nombres de amigos de una cuenta de red social.
Por ejemplo, SafeNet Authentication Service actúa como un proveedor de identidad cuando los usuarios acceden a aplicaciones en la nube como en el escenario descrito anteriormente.
Un servicio de token de seguridad es un sistema que autentica a los usuarios que intentan acceder a otros sitios web no afiliados o "usuarios de confianza". Los servicios de token de seguridad junto con los usuarios de confianza constituyen una arquitectura de servicio de token de seguridad, en la que los usuarios que intentan acceder a un sitio web (usuario de confianza), son retransmitidos al servicio de token de seguridad para su autenticación.
Los servicios de token de seguridad también se denominan modelos de proveedor de identidad o autenticación basada en token. Un servicio de token de seguridad (STS) es equivalente a un proveedor de identidades, y un usuario de confianza (RP) es equivalente a un proveedor de servicios. Y en lugar de intercambiar aserciones de SAML, estas se denominan tokens de seguridad. Diferentes nombres, mismo concepto.
El Security Assertion Markup Language o SAML (pronunciado "sammel") es un estándar abierto basado en XML para intercambiar datos de autenticación entre sitios web no afiliados, una capacidad que también se denomina federación de identidades o autenticación federada.
La federación de identidades implica la capacidad de ampliar las identidades empresariales actuales de los usuarios a la nube, lo que les permite iniciar sesión en sus aplicaciones en la nube con su identidad empresarial actual. La autenticación federada para aplicaciones en la nube con SAML permite a los usuarios iniciar sesión en todas sus aplicaciones en la nube con su identidad empresarial actual, de modo que, en lugar de mantener 5 o 25 conjuntos de nombre de usuario y contraseña, puedan mantener solo uno.
Cómo funciona SAML
Cuando un usuario intenta iniciar sesión en una aplicación basada en la nube, es redirigido a un proveedor de identidad de confianza para su autenticación. El proveedor de identidades recopila las credenciales del usuario, por ejemplo, su nombre de usuario y contraseña de un solo uso, y devuelve una respuesta a la aplicación en la nube a la que se accede. Esta respuesta se denomina aserción SAML, y esta contiene una respuesta de aceptación o de rechazo.
Según esta respuesta, el proveedor de servicios, como Salesforce, Office 365 o DropBox, bloquea o concede acceso a la aplicación.
WS-Federation Services, o WS-Fed, es el protocolo de federación de identidades propietarias de Microsoft. WS-Fed trabaja con los servicios de federación de Active Directory de Microsoft, o AD FS, para ampliar las identidades almacenadas en Active Directory a aplicaciones en la nube de Microsoft como Office 365 y Azure. Al igual que SAML, los usuarios de WS-Fed tienen un modelo de proveedor de identidades. Al acceder a una aplicación en la nube de Microsoft, el usuario es redirigido para la autenticación a AD FS, según cuya respuesta la aplicación en la nube concede o deniega el acceso del usuario.
OAuth (pronunciado "oh-auth"), abreviatura de Open Authorization, es un estándar abierto para la autenticación y autorización federada o "basada en token" entre sitios web no afiliados. Al igual que con otros protocolos de federación de identidad, como SAML, Open ID Connect y WS-Fed, OAuth permite iniciar sesión en una aplicación con una identidad verificada por un proveedor de identidad de confianza. OAuth va más allá de la autenticación federada para permitir que los usuarios autoricen a los sitios web de las partes en que confían a acceder a cierta información de la cuenta, como los nombres de los contactos y las direcciones de correo electrónico. Por ejemplo, OAuth es el protocolo utilizado por los sitios web de redes sociales para acceder a sus contactos de correo web y preguntarle si desea invitar a sus contactos de correo web a sus redes sociales.
OpenID Connect, como SAML, es un protocolo de federación de identidades de estándar abierto que utiliza un modelo de proveedor de identidades. Sin embargo, a diferencia de SAML, que funciona con una cookie y, por lo tanto, solo funciona con aplicaciones que se abren en un navegador ('aplicaciones basadas en navegador'), OpenID Connect proporciona un marco de inicio de sesión único que permite la implementación del inicio de sesión único en todas las aplicaciones basadas en navegadores, aplicaciones móviles nativas y clientes de escritorio (como clientes mejorados y algunas VPN). Entonces, aunque la mayoría de las implementaciones de inicio de sesión único en la actualidad solo admiten aplicaciones en la nube y basadas en navegadores, a medida que más proveedores de identidad adopten OpenID Connect, podremos autenticarnos solo una vez para obtener acceso a todos nuestros recursos al mismo tiempo, ya sean clientes de escritorio, aplicaciones basadas en navegador o aplicaciones móviles nativas.
Traiga su propia identidad, o BYOI, es un término que se utiliza para describir la capacidad de una empresa u otra organización para respaldar una identidad emitida en otro lugar y permitir el acceso seguro a los recursos que utilizan esa identidad.
En el ámbito de la administración de identidad, los proveedores y las organizaciones buscan permitir que los empleados y socios utilicen su propia identidad para acceder a los recursos corporativos. Teóricamente, esta identidad podría ser cualquier identidad que proporcione un nivel suficiente de seguridad de identidad, por ejemplo, tarjetas de identidad emitidas por el gobierno, tarjetas inteligentes de atención médica, así como identidades en línea, como identidades sociales, identidades de redes profesionales e identidades disponibles comercialmente como FIDO. Los mundos de las empresas y de los consumidores se están fusionando cada vez más, con los equipos de seguridad empresarial bajo una presión cada vez mayor para implementar el mismo tipo de métodos de autenticación que normalmente se ven en los servicios al consumidor.
Un agente de identidad es un sistema que puede admitir esquemas BYOI y que toma la identidad existente de un usuario (o cualquier número de identidades existentes) y le permite autenticarse en sitios web no afiliados utilizando esa identidad. Por ejemplo, un agente de identidad puede respaldar la identidad social de un usuario o la identidad de correo web y permitir que ese usuario acceda a una multitud de sitios web no afiliados. Los agentes de identidad permiten a las organizaciones admitir varios proveedores de identidad.
El inicio de sesión único (SSO) proporciona la capacidad de autenticarse una vez y de autenticarse de forma automática y posterior al acceder a distintos recursos. Elimina la necesidad de iniciar sesión por separado y autenticarse en aplicaciones y sistemas individuales, y sirve esencialmente como intermediario entre el usuario y aplicaciones específicas. Detrás de escena, las aplicaciones y los sistemas específicos aún mantienen sus propios almacenes de credenciales y presentan avisos de inicio de sesión en el sistema del usuario. El SSO responde a esas indicaciones y asigna las credenciales a un solo par de inicio de sesión/contraseña. (Fuente: Gartner)
El SSO, ya sea en una solución independiente o en una solución de administración de acceso más amplia, se puede lograr a través de una variedad de protocolos de federación de identidades. Estos incluyen protocolos de código abierto como SAML 2.0 y Open ID Connect, protocolos propietarios como WS-Federation de Microsoft y otras tecnologías como almacenamiento de contraseñas y proxies inversos.
Una bóveda de contraseñas, también llamada administrador de contraseñas, es una forma sencilla de crear una experiencia de inicio de sesión único (SSO) cuando una aplicación específica no admite protocolos de federación de identidades, por ejemplo, una aplicación heredada o personalizada. Las bóvedas de contraseñas son sistemas que funcionan almacenando y cifrando las contraseñas de diferentes sitios web. En lugar de iniciar sesión en cada aplicación con una contraseña dedicada, el usuario puede simplemente autenticarse con una contraseña maestra (que, a su vez, descifra la bóveda de contraseñas), eliminando la necesidad de mantener contraseñas distintas.
La autorización es un proceso que garantiza que los usuarios debidamente autenticados puedan acceder solo a los recursos a los que se les permite acceder, según lo definido por el propietario o administrador de ese recurso. En el mundo del consumidor, la autorización también puede referirse al proceso mediante el cual un usuario se asegura de que una aplicación basada en la nube (por ejemplo, una red social) acceda solo a cierta información de un sitio web no afiliado (por ejemplo, la cuenta de correo web del usuario).
La autenticación es un proceso en el que la identidad de un usuario se valida o verifica en función de las credenciales que proporciona el usuario al iniciar sesión en una aplicación, servicio, computadora o entorno digital. La mayoría de las credenciales de autenticación consisten en algo que el usuario tiene, por ejemplo, un nombre de usuario, y algo que el usuario sabe, por ejemplo, una contraseña. Si las credenciales proporcionadas por el usuario coinciden con las almacenadas por la aplicación subyacente o el proveedor de identidades, el usuario se autentica con éxito y se le concede el acceso.
La autenticación basada en contexto es un método de autenticación basado en una variedad de información complementaria evaluada en el momento en que una persona inicia sesión en una aplicación. El tipo más común de información contextual incluye la ubicación de un usuario, la hora del día, la dirección IP, el tipo de dispositivo, la URL y la reputación de la aplicación. La autenticación basada en contexto, también llamada autenticación basada en riesgos o adaptativa, es fundamental para el mundo del SSO y la administración de acceso, donde el objetivo es hacer que el proceso de autenticación sea lo más transparente y sencillo posible.
Al evaluar los atributos de inicio de sesión de un usuario, ya sean contextuales (dispositivo, función, ubicación) o basados en el comportamiento (por ejemplo, velocidad de escritura, secuencia de vista de página), las soluciones de inicio de sesión único y administración de acceso pueden igualar continuamente el nivel de autenticación requerido del usuario con la política de acceso definida para cada aplicación. De esta manera, la autenticación se aplica de manera granular, de la manera más fluida posible, según la política de acceso de una aplicación, en lugar de como una regla general y uniforme para todos los recursos de la empresa.
La autenticación continua es una forma de autenticación que se lleva a cabo continuamente, cada vez que un usuario accede a una nueva aplicación o recurso, en contraste con la autenticación única o binaria, que proporciona una decisión única de sí/no que solo es válida para iniciar sesión en una sola aplicación.
Con un token, una contraseña o una huella digital, la autenticación es básicamente una decisión de sí/no: el sistema valida la identidad de un usuario y le permite o deniega el acceso a una aplicación.
Pero gracias a las tecnologías más nuevas, como la autenticación basada en contexto o la biometría del comportamiento (por ejemplo, patrón de navegación, patrón de tipeo y otros rasgos físicos), la autenticación puede convertirse en un proceso más continuo. Al evaluar una variedad de atributos como la dirección IP, los parámetros móviles, el dispositivo conocido, el sistema operativo, etcétera, la autenticación contextual o basada en riesgos puede verificar continuamente la identidad de una persona cada vez que inicia sesión en una aplicación. De hecho, puede hacerlo sin que el usuario lo sepa.
La autenticación contextual ofrece muchas formas sencillas de verificar la identidad de una persona. Y esto es lo que permite equilibrar la conveniencia del usuario con la capacidad de aplicar controles de acceso granulares a numerosas aplicaciones en la nube. Y esta es la razón por la que el concepto de autenticación continua, que se basa en la autenticación basada en contexto, es la base de la administración de acceso en la nube.