fbpx

Cómo funciona la autenticación de administración de identidades

Autenticación de administración de identidades

¿Qué es la administración de identidades y accesos?

Una organización puede tener varios sistemas como Active Directory, SharePoint, Oracle, Outlook, Teams o simplemente aplicaciones web y pueden tener cientos o miles de empleados o usuarios externos de la organización que pueden tener acceso a estos sistemas. La gestión de cuentas de cada usuario y el acceso adecuado a su sistema respectivo se denomina Administración de identidad y acceso (IAM).

Ahora imagine mantener los detalles del usuario, las credenciales de inicio de sesión y la información de acceso para cada usuario en cada sistema diferente que usa la organización. Este proceso es sombrío y tedioso para la organización, ya que tendrán que mantener las credenciales y la información de acceso de los usuarios por separado a cada sistema. Este enfoque es tradicional y todavía utilizado por algunas organizaciones.

Pero cuando los usuarios crecen día a día, manejarlos y administrarlos se convierte en una tarea difícil y no se puede pasar por alto. El principal problema en este enfoque tradicional es una enorme inversión y mucho tiempo para establecerse inicialmente, luego para acelerar.

 

Cómo la administración de identidades resuelve este problema

Ahora imagine todas las credenciales de usuario y la administración de acceso en un lugar central para todas las aplicaciones que usan los usuarios de la organización. Ahora podemos gestionar los usuarios de forma centralizada en una base de datos que nuestro sistema de gestión de identidades utilizará para obtener la información sobre cada usuario.

Ahora, debido a que ya se han verificado con el sistema de identidad, todo lo que el usuario tiene que hacer es simplemente decirle al sistema de identidad quiénes son. Y una vez que se autentican, pueden acceder a todas las aplicaciones. Una gran ventaja de este enfoque es que las diversas aplicaciones no tienen que preocuparse por la funcionalidad de autenticación y autorización del usuario porque el sistema de administración de identidades se encarga de todo esto. Algunos de los principales sistemas de administración de identidades de uso común incluyen Microsoft Azure Active Directory, Microsoft Identity Managery Oracle Identity Management.

 

¿Cuáles son los principales beneficios para que las organizaciones utilicen los sistemas de administración de acceso e identidad (IAM)?

  • Seguridad mejorada. Las soluciones de IAM ayudan a identificar y mitigar los riesgos de seguridad. No hay duda, dar a los empleados o clientes un acceso seguro dentro de una organización puede ser una tarea desalentadora. El uso de software de gestión de identidades protege a las organizaciones contra todo tipo de robo de identidad, como el fraude de crédito.
  • Facilidad de uso. Las características principales de IAM pueden venir en forma de inicio de sesión único, autenticación multifactor y administración de acceso, o como un directorio para el almacenamiento de datos de identidad y perfil. IAM simplifica los procesos de registro, inicio de sesión y administración de usuarios para propietarios de aplicaciones, usuarios finales y administradores de sistemas.
  • Productividad. IAM centraliza y automatiza el ciclo de vida de administración de identidades y accesos, creando flujos de trabajo automatizados para escenarios, como la nueva transición de roles. Esto puede mejorar el tiempo de procesamiento para los cambios de acceso e identidad y reducir los errores.
  • Reducción de los costes de TI. Los servicios de IAM pueden reducir los costos operativos. El uso de servicios de identidad federados significa que ya no necesita identidades locales para usos externos; esto facilita la administración de aplicaciones. Los servicios de IAM basados en la nube pueden reducir la necesidad de comprar y mantener la infraestructura local.

Uno de los sistemas de administración de identidades en auge hoy en día es Microsoft Azure Active Directory. Azure Active Directory proporciona acceso seguro y sin problemas a aplicaciones locales y en la nube. Además, no es necesario que las organizaciones administren contraseñas. Sus usuarios finales pueden iniciar sesión una vez para acceder a Office 365 y miles de otras aplicaciones. Echemos un vistazo a cómo funciona la administración de identidades.

 

Protocolos de uso común por los sistemas de gestión de identidades

Generalmente conocidos como
Autenticación, Autorización, Contabilidad o AAA,
estos protocolos de administración de identidades proporcionan estándares de seguridad para simplificar la administración de acceso, ayudar en cumplimiento y crear un sistema uniforme para manejar las interacciones entre usuarios y sistemas.

 

Protocolos

SAML. El protocolo de lenguaje de marcado de aserción de seguridad (SAML) se utiliza con mayor frecuencia en sistemas que emplean el método de control de acceso de inicio de sesión único (SSO). En SSO, un conjunto de credenciales permite a los usuarios acceder a varias aplicaciones. Este método es más beneficioso cuando los usuarios deben moverse entre aplicaciones durante las sesiones. En lugar de requerir inicios de sesión individuales para cada aplicación, SSO hace uso de los datos ya autenticados para la sesión para simplificar el cambio entre aplicaciones. El aumento resultante en la eficiencia ayuda a prevenir cuellos de botella en el proceso de autorización. La plataforma Dotcom-Monitor admite SSO mediante SAML 2.0

OpenID. Al igual que SAML, OpenID se utiliza para aplicaciones web y se puede ver en la práctica cuando se interactúa con productos de Google y Yahoo! Implementación de este protocolo es menos complicado que la implementación de SAML, por lo que es más accesible para una variedad de aplicaciones.

OAuth. Las grandes plataformas orientadas al cliente como Facebook, Google y Twitter dependen de OAuth para conectar aplicaciones de terceros con el permiso de los usuarios. OAuth funciona al permitir que las aplicaciones aprobadas usen credenciales de inicio de sesión desde un servicio o plataforma para proporcionar acceso a aplicaciones adicionales sin necesidad de inicios de sesión independientes. La autorización puede ser otorgada o revocada por el usuario en cualquier momento.

Veamos cómo funcionan algunos de estos protocolos en el sistema de administración de identidades más comúnmente utilizado en estos días Microsoft Azure Active Directory.

 

Administración de identidades con Azure Active Directory

Azure Active Directory (Azure AD) simplifica la forma de administrar las aplicaciones al proporcionar un único sistema de identidad para las aplicaciones locales y en la nube. Puede agregar las aplicaciones de software como servicio (SaaS), las aplicaciones locales y las aplicaciones de línea de negocio (LOB) a Azure AD. A continuación, los usuarios inician sesión una vez para tener acceso de forma segura y sin problemas a estas aplicaciones, junto con Office 365 y otras aplicaciones empresariales. La plataforma
Dotcom-Monitor
admite la integración con
Azure ADFS
para configurar la autenticación y el acceso de usuarios.

 

Protocolo SAML 2.0

Azure Active Directory (Azure AD) proporciona el protocolo SAML 2.0 que permite a las aplicaciones proporcionar una experiencia de inicio de sesión único a sus usuarios. El protocolo SAML requiere que el proveedor de identidades (Azure AD) y la aplicación intercambien información sobre sí mismos.

La aplicación usa un enlace de redirección HTTP para pasar un elemento de solicitud de autenticación a Azure AD (el proveedor de identidades). A continuación, Azure AD usa un enlace de publicación HTTP para publicar un elemento de respuesta en el servicio en la nube.

 

Azure AD SAML

Flujo de autenticación en la autenticación SAML:

  • El usuario intenta acceder a la aplicación introduciendo la dirección URL de la aplicación en el explorador.
  • A continuación, la aplicación busca el proveedor de identidades configurado con él, que es SAML en este caso.
  • La aplicación genera una solicitud de autenticación SAML y el explorador del usuario se redirige a la dirección URL de inicio de sesión único SAML de Azure AD, donde el usuario inicia sesión con credenciales.
  • Azure AD comprueba las credenciales válidas, autentica al usuario y genera un token SAML.
  • Azure AD publica la respuesta SAML que contiene el token y firma digitalmente la respuesta, que se devuelve a la aplicación a través del explorador.
  • La aplicación comprueba la respuesta mediante el certificado que se le ha proporcionado y confirma el origen.
  • La aplicación entiende que el usuario es válido y completa la autenticación que permite al usuario dentro de la aplicación.

 

Protocolos OAuth 2.0 y OpenID Connect en Microsoft Identity Platform

En casi todos los flujos de OAuth 2.0 y OpenID Connect, hay cuatro partes involucradas en el intercambio:

 

OAuth OpenID

 

  • Servidor de autorización. Es el sistema de identidades de Microsoft y administra la identidad de cada usuario, concediendo y revocando el acceso a los recursos y emitiendo tokens. El servidor de autorización también conocido como proveedor de identidades. Maneja de forma segura cualquier cosa que tenga que ver con la información del usuario, su acceso y las relaciones de confianza entre las partes en un flujo.
  • Propietario de recursos. Es el usuario final. Es la parte propietaria de los datos y tiene el poder de permitir que terceros accedan a esos datos o recursos.
  • Cliente de OAuth. Es su aplicación, identificada por su identificador de aplicación único. El cliente de OAuth suele ser la entidad con la que interactúa el usuario final y solicita tokens del servidor de autorización. El propietario del recurso debe conceder al cliente permiso para acceder al recurso.
  • Servidor de recursos. Donde reside el recurso o los datos. Confía en el servidor de autorización para autenticar y autorizar de forma segura el cliente de OAuth y utiliza tokens de acceso de portador para garantizar que se puede conceder acceso a un recurso.

 

Flujo de autenticación en OpenID:

 

Microsoft Identity Platform

 

  • El usuario introduce la dirección URL de la aplicación en el explorador.
  • La aplicación está registrada con Azure AD y tiene un identificador de aplicación único. La aplicación redirige al usuario a Azure AD con el identificador de la aplicación para que EL AD pueda identificar la aplicación y proporcione al usuario la pantalla de inicio de sesión.
  • El usuario escribe las credenciales para autenticar y da su consentimiento a los permisos. OAuth valida el usuario y devuelve un token al explorador del usuario.
  • El explorador del usuario redirige el token de proporcionar a URI de redirección registrado en Azure AD para su aplicación respectiva.
  • La aplicación valida el token y establece la sesión, completando así la autenticación para el usuario.
  • El usuario ha iniciado sesión de forma segura y se le permite acceder a la aplicación.

 

En Resumen: Administración de Identidad y Acceso

El objetivo de IAM es garantizar que los usuarios autorizados tengan acceso seguro a los recursos necesarios, como bases de datos, aplicaciones y sistemas. IAM simplifica los procesos para los propietarios de aplicaciones, los usuarios finales y los administradores de sistemas, lo que garantiza que pueden llevar a cabo sus tareas esenciales de forma rápida y eficaz. Obtenga más información sobre cómo Dotcom-Monitor admite IAM con
integraciones
de servicios de terceros y
SSO configurado
en la plataforma Dotcom-Monitor.

 

 

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email
Share on print
Impresión