Exploración de por qué tenemos identidad
Se ha descrito la Confianza cero y la identidad como plano de control para acceder a los recursos. Pero, ¿por qué usar la identidad?
La identidad ofrece la capacidad de:
- Para demostrar quién o qué somos: autenticación
- Obtener permisos para hacer algo: autorización
- Notificar lo que se ha hecho: auditoría
- Administrar y autoadministrar una identidad de TI: administración
| Authentication | Authorization | Administración | Auditoría |
|---|---|---|---|
|
|
|
|
| Experiencia de inicio de sesión del usuario | Experiencia de inicio de sesión del usuario | Administración de vistas únicas | Seguimiento de quién hace qué, cuándo, dónde y cómo |
| Orígenes de confianza | ¿Puede un usuario acceder al recurso? | Aplicación de reglas de negocios | Alertas centradas |
| Protocolos federativos | ¿Qué pueden hacer cuando acceden a él? | Solicitudes automatizadas, aprobaciones y asignación de acceso | Informes intercalados detallados |
| Nivel de garantía | Administración de derechos | Gobernanza y cumplimiento |
¿Qué es un proveedor de identidades (IdP)
Un proveedor de identidades (IdP) es un sistema que crea, administra y almacena identidades digitales. Microsoft Entra ID es un ejemplo. Las funcionalidades y características de los proveedores de identidades pueden variar. Los componentes más comunes son los siguientes:
- Un repositorio de identidades de usuario
- Un sistema de autenticación
- Protocolos de seguridad que protegen contra intrusiones
- Alguien en el se que confía
Un proveedor de identidades comprueba las identidades de usuario mediante uno o varios factores de autenticación, como una contraseña o un examen de huellas digitales. Un proveedor de identidades suele ser un proveedor de confianza que se usa con el inicio de sesión único (SSO) para acceder a otros recursos. El inicio de sesión único mejora la facilidad de uso al reducir la fatiga de las contraseñas. También proporciona una mayor seguridad al disminuir la superficie de ataque potencial. Los proveedores de identidades pueden facilitar las conexiones entre los recursos de informática en la nube y los usuarios, lo que reduce la necesidad de que los usuarios vuelvan a autenticarse al usar aplicaciones para dispositivos móviles e itinerantes.
Protocolos de identidad comunes
Proveedor OpenID: OpenID Connect (OIDC) es un protocolo de autenticación basado en el protocolo OAuth2 (que se usa para la autorización). OIDC usa los flujos de mensajes estandarizados desde OAuth2 para proporcionar servicios de identidad. En concreto, una entidad del sistema (denominada OpenID-Provider) emite tokens de identidad con formato JSON a los usuarios de confianza de OIDC mediante una API HTTP RESTful.
Proveedor de identidades SAML: el Lenguaje de marcado de aserción de seguridad (SAML) es un estándar abierto para intercambiar datos de autenticación y autorización entre un proveedor de identidades y un proveedor de servicios. SAML es un lenguaje de marcado basado en XML para las aserciones de seguridad, que son instrucciones que los proveedores de servicios usan para tomar decisiones relativas al control de acceso.