Definición de la administración de identidades
La administración de identidades es cómo se administran los objetos de identidad durante la vigencia de la existencia de la identidad. Esta administración puede ser manual o automatizada. Pero tiene que hacerse. Este es un ejemplo sencillo de lo que sucede sin la gobernanza y la administración de las identidades.
Historia: La vida de una identidad
Tiene un usuario llamado Juan. A Juan se le asigna una cuenta en la empresa y trabaja durante varios años. Durante ese tiempo, el usuario tiene acceso de administrador para implementar una aplicación. Más tarde, Juan abandona la empresa; pero la cuenta nunca se quita del sistema. A un administrador se le ha olvidado enviar el papeleo para cerrar la cuenta. No hay ningún sistema de gobernanza en vigor para observar que la cuenta no se usa y que Juan ya no aparece en los sistemas de RR. HH. Un año después, Juan es víctima de un correo electrónico de suplantación de identidad (phishing) y le roban su nombre de usuario y su contraseña personales. Como muchas personas, Juan usaba una contraseña similar para sus cuentas personales y profesionales. Y ahora tiene un escenario en el que se podría acceder a los sistemas. ¡Y el ataque proviene de lo que parece ser una cuenta válida!
La administración de identidades proporciona
- Un sistema que es altamente configurable en torno a los procesos empresariales
- La agilidad para escalar los recursos según la demanda
- Ahorro de costos mediante la distribución y automatización de la administración
- Flexibilidad en torno a la sincronización, la proliferación y el control de cambios
Tareas comunes de administración de identidades
Hay muchas tareas comunes que se realizan durante la administración de identidades.
Proliferación de identidades: trata del almacenamiento de objetos de identidad dentro del entorno. A menudo, las organizaciones tienen identidades en lugares como Active Directory, otros servicios de directorio y almacenes de identidades específicos de la aplicación.
Aprovisionamiento y desaprovisionamiento: son realmente dos funcionalidades independientes. El aprovisionamiento trata sobre cómo se crean los objetos de identidad dentro de un sistema. El desaprovisionamiento se centra en la eliminación del acceso (eliminación, deshabilitación del principio de seguridad o eliminación del acceso) para una identidad.
Actualizaciones de identidad: se relaciona con la forma en que se actualiza la información de identidad en todo el entorno. La idea es alejarse de un esfuerzo manual hacia un enfoque más automatizado y simplificado.
Sincronización: garantiza que los sistemas de identidad de un entorno estén actualizados con la información de identidad más reciente. Esta información suele ser fundamental para determinar el acceso. Los aspectos clave que influyen en esta funcionalidad son la forma en que se realiza la sincronización, ya sea manual, basada en tiempo o controlada por eventos.
Administración de contraseñas: se centra en dónde y cómo se establecen las contraseñas en toda la infraestructura de identidad. En la mayoría de las organizaciones, Consola de servicio sigue siendo el punto focal de las contraseñas olvidadas.
Administración de grupos: se centra en cómo una organización administra los grupos (por ejemplo, Active Directory o LDAP) dentro de su entorno. Los grupos son una de las formas más comunes para determinar los permisos de acceso a los recursos y son costosos de administrar y operar.
Administración de derechos de aplicación: define cómo se concede acceso a las aplicaciones a las identidades. Se centra en proporcionar derechos generales de aplicación que se aplican como una funcionalidad contenida en el pilar de autorización. Por otro lado, los derechos específicos se administran como atributos relacionados con una identidad.
Interfaz de usuario: es cómo puede el usuario final solicitar o realizar actualizaciones de su información de identidad. En muchos entornos, los usuarios continúan contactando con Consola de servicio para ver las actualizaciones de su información de identidad.
Control de cambios: la funcionalidad se centra en cómo fluyen los cambios por el entorno si los completa manualmente un profesional de Consola de servicio. Puede haber automatización con o sin flujo de trabajo, lo que impulsa el proceso de cambio. Algunas organizaciones todavía envían correos electrónicos para completar solicitudes, mientras que otras tienen procesos enriquecidos y maduros para ejecutar el cambio.
Automatización de la administración de identidades
| PowerShell | CLI (interfaz de la línea de comandos) |
|---|---|
| La instancia multiplataforma de PowerShell se ejecuta en Windows, macOS y Linux | Interfaz de la línea de comandos multiplataforma que se puede instalar en Windows, macOS y Linux |
| Requiere Windows PowerShell o PowerShell | Se ejecuta en Windows PowerShell, el símbolo del sistema, Bash y otros shells de Unix |
| Lenguaje de scripting | Acción | Get-Help |
|---|---|---|
| CLI de Azure | Crear usuario | az ad user create --display-name "New User" --password "Password" --user-principal-name NewUser@contoso.com |
| Microsoft Graph | Crear usuario | New-MgUser -DisplayName "New User" -PasswordProfile Password -UserPrincipalName "NewUser@contoso.com" -AccountEnabled $true -MailNickName "Newuser“ |
Al seleccionar la herramienta adecuada, tenga en cuenta su experiencia anterior y el entorno de trabajo actual. La sintaxis de la CLI de Azure es similar a la del scripting de Bash. Si trabaja principalmente con sistemas Linux, la CLI de Azure parece más natural. PowerShell es el motor de scripting de Microsoft. Si trabaja principalmente con sistemas Windows, PowerShell es la solución ideal. Los comandos siguen un esquema de nomenclatura verbo-sustantivo y los datos se devuelven como objetos.
Microsoft Graph
Microsoft Graph expone API de REST y bibliotecas cliente para acceder a los datos de los siguientes servicios en la nube de Microsoft, como Microsoft Entra ID, Microsoft 365, dispositivos y muchos otros.
Microsoft Graph API ofrece un único punto de conexión,
https://graph.microsoft.com, para proporcionar acceso a información y datos enriquecidos centrados en personas en la nube de Microsoft, incluidos Microsoft 365, Windows 10 y Enterprise Mobility + Security. Puede usar API REST o SDK para acceder al punto de conexión y compilar aplicaciones que admitan escenarios de Microsoft 365. El acceso puede abarcar desde la productividad a la colaboración y la educación. Microsoft Graph también incluye un eficaz conjunto de servicios que administran la identidad de usuarios y dispositivos. Puede determinar y configurar el acceso, el cumplimiento, la seguridad y ayudar a proteger a las organizaciones frente a la pérdida de datos.Los conectores de Microsoft Graph funcionan en la dirección de entrada y entregan datos externos en la nube de Microsoft en aplicaciones y servicios de Microsoft Graph, con el fin de mejorar las experiencias de Microsoft 365, como Búsqueda de Microsoft. Existen conectores para muchos orígenes de datos de uso frecuente, como Box, Google Drive, Jira y Salesforce.
Microsoft Graph Data Connect proporciona un conjunto de herramientas para simplificar la entrega de datos de Microsoft Graph en almacenes de datos de Azure conocidos de forma segura y escalable. Los datos almacenados en caché funcionan como orígenes de datos para las herramientas de desarrollo de Azure, que puede usar para compilar aplicaciones inteligentes.
De forma conjunta, los conectores de Microsoft Graph API, y Data Connect impulsan la plataforma de servicios en la nube de Microsoft. Con la capacidad de acceder a los datos de Microsoft Graph y otros conjuntos de datos, puede obtener conclusiones y análisis, y ampliar Azure y Microsoft 365 mediante la creación de aplicaciones únicas e inteligentes.