La gestión de la autenticación de usuarios ha recorrido un largo camino desde los días en que todo lo que TI tenía que considerar era una contraseña local para cada usuario. El cambio despegó cuando los servicios en la nube se hicieron populares hace una década. Ahora que la pandemia ha creado tantos trabajadores ampliamente distribuidos y, al mismo tiempo, ha obligado a las empresas a depender de un tejido de servicios en la nube de terceros, la gestión segura de la identidad y la autenticación no solo es más importante que nunca; también es más complejo.
Con los trabajadores trabajando desde casa, muchas pequeñas y medianas empresas (PYMES) y empresas han comenzado a depender mucho más de los servicios en la nube de terceros para satisfacer sus necesidades de software. Eso es excelente para la implementación porque brinda a los usuarios acceso a herramientas en un modelo de software como servicio (SaaS) que no solo es más económico sino que no tiene problemas de administración local.
El problema es que esas aplicaciones requieren autenticación individual por usuario. Combine eso con los servicios de back-end previos a la pandemia, que podrían estar en la nube o en las instalaciones y también requieren la autenticación del usuario, y está viendo un escenario de identidad complejo y de crecimiento orgánico que estará plagado de agujeros de seguridad si se deja solo. Ahí es donde entra en juego la gestión de identidades (IDM).
IDM existe porque las empresas necesitan una forma de crear y administrar fácilmente usuarios (también conocidos como identidades) en toda su cartera de software. Los administradores de TI deben brindar a los usuarios la capacidad de inicio de sesión único (SSO) en toda la biblioteca de aplicaciones de la organización, pero eso es solo una parte del problema.
Controlar la profundidad de acceso en las aplicaciones SaaS es igual de crucial para las aplicaciones locales e incluso para los recursos de la red local. Entonces, no solo quién obtiene acceso a la aplicación, sino precisamente a qué pueden acceder una vez que la usan. Esto puede ser crítico en muchas aplicaciones comerciales, lo que significa que también es fundamental administrar esos roles en diferentes aplicaciones y combinar la autenticación básica con tecnología más avanzada, como la autenticación multifactor (MFA).
MFA se ha vuelto casi omnipresente para aquellos que usan software de servicio en la nube porque requiere más que un solo paso, como simplemente ingresar un nombre de usuario y una contraseña. MFA también requiere pasos adicionales, como un token físico de algún tipo (una tarjeta inteligente o una memoria USB, por ejemplo) o una medida biométrica (un escaneo de huellas dactilares, por ejemplo).
El gran obstáculo que abordan los sistemas IDM es administrar estas nuevas identidades de servicios en la nube junto con las medidas de autenticación existentes que la mayoría de las empresas ya tienen implementadas. Por lo general, se centran en proveedores de identidad (IDP), como Microsoft Active Directory (AD) o software de recursos humanos (HR). Los IDM deben incorporar datos de todos los repositorios de identidad y luego combinar esos registros para administrar la autenticación en cada punto de contacto del software.
En muchos casos, la información de identidad puede obtenerse de múltiples repositorios. Esto requiere una forma de administrar identidades en diferentes sistemas, sincronizar información entre estos sistemas y proporcionar una única fuente de verdad. Sin duda, la pandemia ha hecho de este un problema prioritario, pero era un problema incluso antes de COVID-19, ya que Internet de las cosas (IoT) tuvo un crecimiento tan repentino.
Una gama cada vez más amplia de dispositivos IoT significa más tráfico y más solicitudes de acceso autorizado en ambas direcciones. Ese es un problema complejo para resolver en segundo plano. También es la razón por la cual la identidad y la seguridad están impulsando el crecimiento de IoT, como se muestra en este gráfico de la firma de investigación de mercado Statista (Se abre en una ventana nueva) .
Tamaño del mercado de aplicaciones IoT, 2020 (miles de millones de euros)
Para que todo esto suceda, los administradores necesitan la capacidad de administrar usuarios en un entorno que cambia rápidamente, preferiblemente sin tener que realizar acciones manualmente en las propiedades de membresía del grupo de un usuario en Microsoft AD. Ajustar manualmente los permisos, el acceso y las propiedades de control entre docenas, cientos o incluso miles de usuarios cada vez que aparece un nuevo servicio SaaS es engorroso. Las secuencias de comandos automatizadas pueden ayudar, pero no lo suficiente.
Los sistemas Cloud IDM se han convertido en la solución estándar para este dolor de cabeza y los ha convertido en un componente central de muchos conjuntos de herramientas profesionales de TI. Como línea de base, un buen sistema IDM organiza claramente sus datos de usuario. También debe manejar SSO híbrido y adaptarse a capas de seguridad adicionales, especialmente token o MFA biométrico. Otros criterios que debe considerar incluyen: capacidades de personalización, el tamaño y el método de la biblioteca de integración de terceros del sistema, si cumplirá con sus necesidades de cumplimiento y varios otros factores que describiremos a continuación.
La mayoría de los proveedores de IDaaS usan un método común para manejar la autenticación mediante el uso de identidades contenidas en el directorio de red existente de su organización. La opción más frecuente es tener un software instalado en su red local, conocido como agente, que permite que el proveedor de IDaaS se comunique con su directorio. De esa forma, los administradores pueden seguir usando las mismas herramientas de directorio que siempre han tenido, pero acceder sin problemas a aplicaciones y recursos fuera de la red de la empresa.
Esta comunicación suele ser una combinación de sincronización (en la que los usuarios y grupos del directorio se activan en el servicio) y la comunicación bajo demanda (conocida como "federación") para realizar solicitudes de autenticación en el directorio. La mayoría de las soluciones IDaaS ofrecen la capacidad de personalizar el proceso de sincronización, en particular, qué atributos de usuario se pueden sincronizar. Un par de razones por las que personalizaría la sincronización de atributos están relacionadas con la seguridad o la privacidad (p. ej., en caso de que tenga atributos que puedan contener datos confidenciales) o debido a la funcionalidad (p. ej., si necesita que los atributos personalizados estén disponibles para IDaaS). proveedor para utilizarlos dentro del servicio).
Otra forma común de conectar su directorio local con una solución IDaaS es exponer un protocolo de directorio estándar o un proveedor de autenticación a IDaaS. Algunos ejemplos de esto son el Protocolo ligero de acceso a directorios (LDAP), un estándar abierto, o los Servicios de federación de Active Directory (ADFS), una tecnología popular pero patentada disponible de Microsoft y popular debido a su fácil integración con el muy popular Active Directory de Microsoft.
LDAP es un método basado en estándares para comunicarse con un directorio (ya sea AD o una de varias alternativas), mientras que ADFS es una función en Windows Server que permite que las aplicaciones web obtengan información específica de AD. No todos los proveedores de IDaaS admiten estas capacidades y, en la mayoría de los casos, requerirán mucha configuración, incluidas las reglas de firewall, pero a menudo son su mejor opción. Por ejemplo, las organizaciones con mayores requisitos de seguridad o regulaciones de privacidad pueden necesitar limitar el software instalado en los controladores de dominio o tener un mayor control sobre qué datos están disponibles para una solución IDaaS externa que se ejecuta esencialmente en los servidores de otra persona.
Un negocio no vale mucho sin relaciones con socios y, lo que es más importante, sin clientes. En esta era de tecnología y gratificación instantánea, la capacidad de colaborar con socios o proporcionar a los clientes acceso a su información y, al mismo tiempo, respetar su privacidad y seguridad es fundamental. Muchas de las soluciones de IDaaS que hemos revisado ofrecen la posibilidad de ofrecer a los socios comerciales acceso SSO a las aplicaciones a través de un portal funcionalmente idéntico al que está disponible para los usuarios corporativos normales. Esto permite que su empresa fomente las relaciones comerciales sin proporcionar automáticamente a los socios acceso directo a su red corporativa o incluso establecer una nueva aplicación específicamente para el acceso de socios.
La gestión de clientes es otra área en la que las soluciones IDaaS pueden ofrecer valor. La mayoría de los clientes ya tienen una o más identidades establecidas en las redes sociales u otros sitios web populares. Muchas de las soluciones que hemos revisado ofrecen un aspecto de IDaaS para el consumidor, normalmente con licencia por separado del producto principal de IDaaS debido al potencial de un gran volumen de autenticaciones. Normalmente, una IDaaS de consumidor permitirá que un usuario se registre utilizando una cuenta que ya posee, como una cuenta de Facebook o Google, que luego le proporcionará acceso a los recursos que autorice. Dependiendo de su caso de uso corporativo, este proceso de autenticación podría permitir a los usuarios acceder a una aplicación web personalizada diseñada para proporcionar información específica para ellos, o los usuarios podrían ser redirigidos al área de clientes de una solución de administración de relaciones con clientes (CRM). En la mayoría de los casos, la plataforma IDaaS le brinda opciones sobre cómo se procesa la solicitud de autenticación, lo que le permite usar un protocolo estándar o proporcionar una interfaz de programación de aplicaciones (API) para que los desarrolladores accedan a través de un código personalizado.
En muchos casos, una solución IDaaS puede beneficiar significativamente su infraestructura existente más allá de los beneficios inherentes del uso de aplicaciones en la nube. Un beneficio significativo es obvio: administrar identidades. Cuanto más grande es una empresa, más identidades hay para administrar y, a menudo, estas identidades comienzan a residir en varios lugares. Con frecuencia, existen aplicaciones de software que administran a los empleados, su salario y su estructura organizativa. Asimismo, uno o más directorios corporativos suelen contener información similar. Las empresas con múltiples intereses comerciales o sucursales generalmente pueden requerir almacenes de identidad separados; De manera similar, las empresas (como hospitales o complejos industriales) a menudo pueden requerir la segregación de los recursos de la red por razones de cumplimiento o seguridad.
Una solución IDaaS puede facilitar la gestión de estas identidades en múltiples ubicaciones de origen, incluida la provisión de capacidades de autoservicio, delegación, flujos de trabajo de aprobación y automatización. Estas funciones también pueden proporcionar un elemento de registro para fines de auditoría de cumplimiento e informes. En muchos casos, la aplicación IDaaS también puede proporcionar capacidades de sincronización o traducción con automatización, lo que le permite administrar una identidad una vez y hacer que esos cambios fluyan a otros sistemas cuando corresponda.
Otra forma en que las soluciones IDaaS pueden ayudarlo con su infraestructura existente es con aplicaciones alojadas dentro de la red local. En muchos casos, estas aplicaciones son fundamentales para el negocio de la empresa. Brindar acceso a usuarios fuera del sitio requiere exponer la aplicación a Internet con una regla de firewall o requerir primero que el usuario se conecte a un túnel de red privada virtual (VPN). Si bien cualquiera de estos escenarios tiene su lugar y es perfectamente adecuado para muchas situaciones, algunas herramientas de IDaaS ofrecen otra opción. Usando un agente basado en software instalado dentro de la red corporativa, se puede acceder a una aplicación a través de un portal IDaaS SSO de la misma manera que lo haría con una aplicación SaaS alojada en la nube. La mayor parte del trabajo pesado en este escenario es manejado por un túnel encriptado entre el proveedor de IDaaS y el agente de software instalado en su red.
Existen varios problemas de seguridad para los departamentos de TI que buscan usar aplicaciones SaaS y soluciones IDaaS. En algunas situaciones, evitar las aplicaciones SaaS es casi imposible, por lo que es imperativo encontrar el mejor método para administrar y proteger las cuentas necesarias para usar estas aplicaciones. Es posible que otras organizaciones no estén considerando las aplicaciones SaaS por necesidad, por lo que las preocupaciones de seguridad deben sopesarse frente a la conveniencia y la eficiencia.
En general, hay cuatro áreas principales de seguridad que se deben tener en cuenta al evaluar los proveedores de IDaaS. El método de conexión utilizado para integrar un directorio corporativo existente es la primera área a considerar. Los agentes de sincronización basados en software admiten una conexión segura entre su directorio y el proveedor de IDaaS, pero muchas tiendas de TI dudarán (con razón) sobre la instalación de un agente en sus controladores de dominio. Considerar una solución IDaaS que admita un estándar de autenticación como LDAP o ADFS podría ser una mejor opción, ya que ofrecen un mayor control sobre la autenticación y la seguridad.
La segunda área de preocupación para las corporaciones que buscan cualquier servicio en la nube son los datos almacenados dentro del servicio, que serán usuarios y grupos corporativos en el caso de una solución IDaaS. En general, las soluciones IDaaS no sincronizan ni almacenan hashes de contraseñas de sus usuarios; sin embargo, varios proveedores de IDaaS ofrecen esto como una opción para mantener las mismas contraseñas entre varias cuentas (directorio local, IDaaS e incluso aplicaciones SaaS). Estas opciones deben evaluarse cuidadosamente desde el punto de vista legal y de seguridad. Además, cada uno de los proveedores de IDaaS tiene que almacenar contraseñas relacionadas con las aplicaciones SaaS para realizar la funcionalidad SSO.
En tercer lugar, considere la comunicación entre su proveedor de IDaaS y toda su cartera de aplicaciones SaaS. Sin excepción, las opciones de IDaaS probadas aquí utilizan una combinación de lenguaje de marcado de aserción de seguridad (SAML) y almacenamiento de contraseñas. SAML es un estándar de autenticación basado en lenguaje de marcado extensible (XML). El proveedor de identidad y la aplicación SaaS pueden manejar la autenticación sin requerir la interacción de un usuario o el llenado de un formulario web. La capacidad de un proveedor de IDaaS para autenticar a sus usuarios en sus aplicaciones SaaS depende de que la aplicación SaaS admita el estándar SAML para la autenticación. En los casos en que una aplicación SaaS no admita SAML, la mayoría de los proveedores de IDaaS volverán a la bóveda de contraseñas, que esencialmente maneja el proceso de completar y enviar un formulario de inicio de sesión en una página web.
En términos de seguridad, SAML puede ofrecer mayor seguridad en la forma de una conexión autenticada mutuamente a través de certificados SSL que unen los dos servicios. Al igual que con el propio SAML, estas características de seguridad adicionales dependen del soporte de los proveedores de SaaS e IDaaS. Por mi parte, etiqueto SAML como el método de autenticación preferido para SSO de un proveedor de IDaaS; de hecho, diría que probablemente ni siquiera debería considerar una solución que no aproveche ese estándar.
El último aspecto crítico de la imagen de seguridad de IDaaS es bloquear el proceso de inicio de sesión para los usuarios. Una característica común entre todos los reproductores de IDaaS es la compatibilidad con MFA, que ayuda a evitar violaciones de seguridad debido a una contraseña comprometida al requerir una segunda forma (múltiples factores) de autenticación, como una contraseña generada aleatoriamente o una clave de hardware.
Otro escenario común es requerir diferentes niveles de seguridad basados en la ubicación de la red del usuario (generalmente manejado en base a la dirección IP), como permitir un inicio de sesión básico de nombre de usuario o contraseña cuando se conecta a través de la red corporativa pero requiere MFA cuando se usa otra conexión. En general, las restricciones de direcciones IP y MFA se manejan mediante el uso de políticas de seguridad, que es otra característica imprescindible para un proveedor de IDaaS. De hecho, probablemente desee buscar una opción que le permita configurar múltiples políticas, ya que no todas las aplicaciones o usuarios tienen las mismas necesidades de seguridad.
Desde la perspectiva del usuario, el propósito principal de tener una solución IDaaS es facilitar el inicio de sesión en las aplicaciones web. Un portal de usuario que brinda acceso SSO rápido a las aplicaciones SaaS es una función en la mayoría de las opciones de IDaaS. La mayoría de las soluciones también ofrecen complementos para los principales navegadores web y aplicaciones móviles que reflejan la funcionalidad del portal SSO.
En la mayoría de los casos, el portal de usuario se presenta como una cuadrícula o lista de iconos que indican las aplicaciones disponibles para un usuario. Esta lista se completa en función de las aplicaciones SaaS asignadas al usuario por los administradores de IDaaS, ya sea manualmente o por medios automatizados, como la membresía en un grupo de AD. El método de aprovisionamiento ideal para la eficiencia se basa en el Sistema para la gestión de identidades entre dominios (SCIM), un conjunto de interfaces basadas en estándares que permiten el aprovisionamiento de usuarios dentro de las aplicaciones SaaS. Sin embargo, muchos proveedores de IDaaS utilizarán interfaces de programación de aplicaciones (API) específicas de la aplicación para manejar el aprovisionamiento. Si es compatible con los proveedores de IDaaS y SaaS, los usuarios se pueden aprovisionar automáticamente en la aplicación SaaS según las condiciones que defina en la solución IDaaS. A menudo, esta condición es simplemente la pertenencia a un grupo de AD o se basa en un atributo de su elección.
Seamos realistas: la mayoría de las empresas no invierten en herramientas solo porque facilitan la vida de los usuarios. Si hay un beneficio de seguridad o la solución cumple con los requisitos de cumplimiento, esa es una historia diferente.
Considere un escenario en el que un equipo de administración de TI tiene que administrar usuarios en varias aplicaciones SaaS y proporcionar informes detallados que contengan información de uso, historial de inicio de sesión de usuario, cambios de seguridad y otros posibles factores de auditoría. Tratar de recopilar este tipo de información de múltiples ubicaciones diferentes será una tarea importante. La solución ideal para recopilar y proporcionar estos artefactos de auditoría es usar IDM para rastrear cada factor en múltiples aplicaciones automáticamente. Muchas de las ofertas que hemos revisado ofrecen soluciones integrales de generación de informes que detallan los eventos de autenticación, incluso la ubicación geográfica del usuario y el tipo de dispositivo que utilizó. A menudo, estos informes se pueden exportar a Microsoft Excel o alguna otra herramienta de informes o inteligencia comercial (BI) donde puede realizar más análisis u organizar los números correctamente para una auditoría.
Algunas de las soluciones que revisamos incluso monitorearán de manera proactiva su exposición a violaciones de seguridad recientes, como credenciales para la venta en Internet, o monitorearán cosas como inicios de sesión simultáneos desde extremos opuestos del mundo. Estas soluciones pueden usar este tipo de análisis avanzado y aprendizaje automático para impactar el puntaje de seguridad de sus identidades. Esto le permite exigir una mayor seguridad de autenticación, como MFA o el uso de un dispositivo registrado.
Las aplicaciones SaaS ofrecen demasiados beneficios en ahorro de costos y facilidad de uso para que cualquier empresa ignore la tendencia. Pero, sin las organizaciones adecuadas de usuarios y recursos, una cartera de SaaS puede expandirse rápidamente y degenerar en un caos. Comprender las soluciones IDaaS y lo que pueden ofrecer es un gran primer paso para obtener todos los beneficios de mover cargas de trabajo clave a SaaS, en lugar de asumir la carga de administrar identidades separadas para cada usuario en la web. Si SaaS está en su horizonte (o ya está en los escritorios de sus usuarios en números que crecen rápidamente como lo está en la mayoría de las organizaciones), entonces hágase un favor y conozca los pros y los contras de las identidades basadas en la nube.
No Comments