¿Qué es la administración de identidad y acceso (IAM)?
En este artículo, aprenderá algunos de los conceptos básicos de Administración de identidad y acceso (IAM), por qué es importante y cómo funciona.
La administración de identidad y acceso garantiza que las personas, máquinas y componentes de software adecuados obtengan acceso a los recursos correctos en el momento idóneo. En primer lugar, la persona, la máquina o el componente de software demuestra que efectivamente es quien dice ser. Luego, a la persona, máquina o componente de software se le permite o deniega el acceso o uso de determinados recursos.
Para obtener información sobre los términos y conceptos básicos, consulte Aspectos básicos de la identidad.
¿Para qué sirve la IAM?
Por lo general, los sistemas IAM proporcionan la siguiente funcionalidad básica:
Administración de identidades: proceso de creación, almacenamiento y administración de información de identidad. Los proveedores de identidades (IdP) son soluciones de software que se usan para realizar un seguimiento de las identidades de usuario y administrarlas. También realizan seguimiento y administran los permisos y los niveles de acceso asociados a dichas identidades.
Federación de identidades: puede permitir que los usuarios que ya tengan contraseñas en otro lugar (por ejemplo, en la red empresarial o con un proveedor de identidades sociales o proveedor de Internet) obtengan acceso al sistema.
Aprovisionamiento y desaprovisionamiento de usuarios: el proceso de creación y administración de cuentas de usuario, que incluye especificar qué usuarios tienen acceso a qué recursos y asignar permisos y niveles de acceso.
Autenticación de usuarios: autentica un usuario, máquina o componente de software al confirmar que efectivamente son quién o lo que dicen ser. Puede agregar autenticación multifactor (MFA) para usuarios individuales para mayor seguridad o inicio de sesión único (SSO) para permitir a los usuarios autenticar su identidad con un portal en lugar de muchos recursos diferentes.
Autorización de usuarios: la autorización garantiza que se concede a un usuario el nivel exacto y el tipo de acceso a una herramienta a la que tiene derecho de acceso. Los usuarios también se pueden dividir en grupos o roles, por lo que se pueden conceder los mismos privilegios a las cohortes grandes de usuarios.
Control de acceso: el proceso para determinar quién o qué tiene acceso a los recursos. Esto incluye la definición de roles y permisos de usuario, así como la configuración de mecanismos de autenticación y autorización. Los controles de acceso regulan el acceso a sistemas y datos.
Informes y supervisión: genere informes después de las acciones realizadas en la plataforma (como el tiempo de inicio de sesión, los sistemas a los que se accede y el tipo de autenticación) para garantizar el cumplimiento y evaluar los riesgos de seguridad. Obtenga información acerca de los patrones de seguridad y de uso del entorno.
Funcionamiento de IAM
En esta sección, se proporciona información general sobre el proceso de autenticación y autorización y los estándares comunes.
Autenticación, autorización y acceso a recursos
Supongamos que tiene una aplicación que admite el inicio de sesión de un usuario y, luego, accede a un recurso protegido.
El usuario (propietario del recurso) inicia una solicitud de autenticación con el proveedor de identidades o el servidor de autorización de la aplicación cliente.
Si las credenciales son válidas, el proveedor de identidades o el servidor de autorización envía primero un token de identificador que contiene información sobre el usuario a la aplicación cliente.
El proveedor de identidades o el servidor de autorización también obtiene el consentimiento del usuario final y concede la autorización de la aplicación cliente para acceder al recurso protegido. La autorización se proporciona en un token de acceso, que también se devuelve a la aplicación cliente.
El token de acceso se adjunta a las solicitudes posteriores realizadas al servidor de recursos protegido de la aplicación cliente.
El proveedor de identidades o el servidor de autorización valida el token de acceso. Si el proceso se realiza correctamente, se concede la solicitud de acceso a los recursos protegidos y se devuelve una respuesta a la aplicación cliente.
Para más información, lea Autenticación y autorización.
Estándares de autenticación y autorización
Estos son los estándares de autenticación y autorización más conocidos y usados habitualmente:
OAuth 2.0
OAuth es un protocolo de administración de identidades de estándares abiertos que proporciona acceso seguro a sitios web, aplicaciones móviles e Internet de las cosas y otros dispositivos. Usa tókenes cifrados en tránsito y elimina la necesidad de compartir credenciales. OAuth 2.0, la última versión de OAuth, es un marco popular utilizado por las principales plataformas de redes sociales y servicios de consumidor, desde Facebook y LinkedIn hasta Google, PayPal y Netflix. Para más información, lea el artículo sobre el protocolo OAuth 2.0.
OpenID Connect (OIDC)
Con el lanzamiento de OpenID Connect (que usa el cifrado de clave pública), OpenID se ha convertido en una capa de autenticación ampliamente adoptada para OAuth. Al igual que SAML, OpenID Connect (OIDC) se usa ampliamente para el inicio de sesión único (SSO), pero OIDC usa REST/JSON en lugar de XML. OIDC se ha diseñado para trabajar con aplicaciones nativas y móviles mediante protocolos REST/JSON. Sin embargo, el caso de uso principal de SAML corresponde a las aplicaciones basadas en web. Para más información, lea el artículo sobre el protocolo OpenID Connect.
JSON web tokens (JWTs)
Los JWT son un estándar abierto que define una manera compacta y autónoma para transmitir información de forma segura entre partes como un objeto JSON. Los JWT se pueden comprobar y son de confianza porque están firmados digitalmente. Se pueden usar para pasar la identidad de los usuarios autenticados entre el proveedor de identidades y el servicio que solicita la autenticación. También se pueden autenticar y cifrar. Para más información, consulte JSON Web Tokens.
Lenguaje de marcado de aserción de seguridad (SAML)
SAML es un estándar abierto utilizado para intercambiar información de autenticación y autorización entre, en este caso, una solución IAM y otra aplicación. Este método usa XML para transmitir datos y suele ser el método utilizado por las plataformas de administración de identidades y acceso para conceder a los usuarios la capacidad de iniciar sesión en las aplicaciones que se han integrado con las soluciones de IAM. Para más información, consulte Protocolo SAML.
System for Cross-Domain Identity Management (SCIM)
Creado para simplificar el proceso de administración de identidades de usuario, el aprovisionamiento de SCIM permite a las organizaciones operar de forma eficaz en la nube y agregar o quitar fácilmente usuarios, mejorar los presupuestos, reducir el riesgo y simplificar los flujos de trabajo. SCIM también facilita la comunicación entre aplicaciones basadas en la nube. Para más información, lea el artículo sobre Desarrollo y planeación del aprovisionamiento de un punto de conexión de SCIM.
Web Services Federation (WS-Fed)
WS-Fed fue desarrollado por Microsoft. Asimismo, Microsoft lo usa ampliamente en sus aplicaciones; este estándar define la forma en que los tókenes de seguridad se pueden transportar entre diferentes entidades para intercambiar información de identidad y autorización. Para obtener más información, lea el artículo sobre Protocolo Web Services Federation.
Pasos siguientes
Para obtener más información, consulte: