Identidad nativa de la nube
Sugerencia
Este contenido es un extracto del libro electrónico “Architecting Cloud Native .NET Applications for Azure” (Diseño de la arquitectura de aplicaciones .NET nativas en la nube para Azure), disponible en Documentos de .NET o como un PDF descargable y gratuito que se puede leer sin conexión.
La mayoría de las aplicaciones de software necesitan tener algo de información sobre el usuario o el proceso que los llama. El usuario o el proceso que interactúa con una aplicación se conoce como entidad de seguridad, y el proceso de autenticación y autorización de estas entidades de seguridad se conoce como administración de identidades o, simplemente, identidad. Cualquier aplicación básica puede incluir en ella toda su administración de identidades, pero este método no escala bien con muchas aplicaciones y muchos tipos de entidades de seguridad. Windows permite usar Active Directory para proporcionar una autenticación y autorización centralizadas.
Aunque esta solución es eficaz dentro de las redes corporativas, no está diseñada para su uso por parte de usuarios o aplicaciones que están fuera del dominio de AD. Con el auge de las aplicaciones basadas en Internet y el aumento de las aplicaciones nativas de nube, los modelos de seguridad han evolucionado.
En el modelo de identidad nativa de nube actual, se da por hecho que la arquitectura está distribuida. Las aplicaciones pueden implementarse en cualquier parte y pueden comunicarse con otras aplicaciones desde cualquier lugar. Los clientes pueden comunicarse con estas aplicaciones independientemente de dónde estén y, de hecho, los clientes pueden ser una combinación cualquiera de plataformas y dispositivos. Las soluciones de identidad nativas de nube usan estándares abiertos para acceder de forma segura a las aplicaciones de los clientes. Estos clientes van desde usuarios humanos en equipos o teléfonos hasta otras aplicaciones hospedadas en cualquier lugar en línea, como también descodificadores y dispositivos IoT que ejecutan cualquier plataforma de software desde cualquier rincón del mundo.
Las soluciones de identidad nativas de nube de hoy día suelen usar tokens de acceso emitidos por un servicio o servidor de token seguro (STS) a una entidad de seguridad, una vez determinada su identidad. El token de acceso, normalmente un JSON Web Token (JWT), incluye notificaciones sobre la entidad de seguridad. Estas notificaciones incluirán como mínimo la identidad del usuario, pero también otras notificaciones que las aplicaciones pueden usar para determinar el nivel de acceso que conceder a una entidad de seguridad.
Normalmente, el STS solo es responsable de autenticar a la entidad de seguridad. Determinar su nivel de acceso a los recursos corresponde a otras partes de la aplicación.
