La identidad federada es una solución que simplifica el acceso seguro de los usuarios mediante la combinación de varios componentes, incluidos la autenticación, la autorización, el control de accesos, los sistemas de prevención y de detección de intrusiones (IDPS), y los proveedores de servicio. Con la identidad federada, los usuarios autorizados pueden acceder a múltiples dominios, aplicaciones y diversos sistemas de gestión de identidades con un solo conjunto de credenciales de inicio de sesión. Esto elimina la necesidad de iniciar sesión por separado, lo que aumenta la productividad, disminuye la frustración de los usuarios y optimiza la gestión de contraseñas para los usuarios y los equipos de TI. La función de identidad federada se administra mediante servicios externos que dan fe de la identidad de los usuarios. Estos servicios externos de identidad federada se posicionan entre los usuarios y los recursos, por lo que actúan como middleware. Se utilizan herramientas de seguridad, como la autenticación multifactor (MFA) y el inicio de sesión único (SSO) para gestionar el acceso de los usuarios y validar sus identidades.
Identidad federada e inicio de sesión único (SSO)
A menudo, se cree de manera errónea que “identidad federada” e “inicio de sesión único” (SSO) son sinónimos. Aunque tengan funciones parecidas y formen parte de la gestión de identidades, ambas llevan a cabo funciones diferentes. Tanto la identidad federada como el SSO autentican a los usuarios con un protocolo seguro y reducen el acceso del usuario a un solo inicio de sesión, que por lo general incluye la autenticación multifactor. Una vez que hayan iniciado sesión, los usuarios pueden conectarse a los diferentes servicios sin necesidad de iniciar sesiones adicionales. No obstante, el SSO les permite a los usuarios acceder a diversos sistemas dentro de una organización mientras que la identidad federada les otorga a los usuarios el acceso a múltiples sistemas en diferentes organizaciones.
La identidad federada optimiza el SSO y permite a los usuarios acceder a los sistemas sin necesidad de pasar barreras de autenticación.
También agrega múltiples grupos que pueden estar aislados dentro de un entorno empresarial único o repartidos en empresas dispares con autenticación centralizada.
Identidad federada y autenticación
La identidad federada se autentica mediante el uso de protocolos seguros basados en estándares, que permiten la autenticación y el acceso en todos los dominios federados. Los protocolos protegidos de autenticación más comunes son:
- JWT (JSON Web Token)
- Kerberos
- LDAP (protocolo ligero de acceso a directorios)
- OAuth (autorización abierta)
- OIDC (OpenID Connect)
- RADIUS (Servicio de autenticación remota de usuarios telefónicos)
- SAML (Lenguaje de marcado para confirmaciones de seguridad)
- SCIM (Sistema para la gestión de identidades entre dominios)
Otros protocolos seguros de autenticación incluyen:
- CHAP (Protocolo de autenticación por desafío mutuo)
- Diameter
- EAP (Protocolo de autenticación extensible)
- PAP (Protocolo de autenticación de contraseñas)
- TACACS (Sistema de control de acceso de controladores de acceso a terminales)
Cómo funciona la identidad federada
La identidad federada se basa en las relaciones de confianza que existen entre dos tipos de entidades.
- Los proveedores de servicios son cualquier sitio web, software o aplicación externa que utiliza un proveedor de identidad para identificar y autenticar un usuario.
- Los proveedores de identidad (IdP) son sistemas que crean, mantienen y gestionan la información de las identidades (por ejemplo, nombre, dirección de correo electrónico, ubicación, dispositivo, tipo de navegador, información biométrica, etc.).
A continuación, resumimos cómo funciona la identidad federada. Tenga en cuenta que cada paso es instantáneo e invisible, por lo que el proceso funciona sin fricciones y sin necesidad de intervenciones de los usuarios.
- El usuario trata de iniciar sesión en un proveedor de servicio que utiliza identidad federada.
- El proveedor de servicios le solicita la autenticación federada al proveedor de identidad del usuario para asegurarse de que el usuario es quien dice ser.
- El proveedor de identidad verifica la información de identidad del usuario y revisa sus derechos de acceso y permiso.
- El proveedor de identidad autoriza al usuario ante el proveedor de servicio mediante un protocolo seguro (por ejemplo, oAuth, OIDC, SAML, etc.).
- El usuario recibe el acceso al proveedor de servicios.
La identidad federada y el gobierno de EE. UU.
En 2004, se promulgó la Directiva presidencial de seguridad nacional nro. 12, en la cual se establecía como requisito el hecho de tener credenciales seguras para acceder a activos gubernamentales. Esto produjo una serie de acuerdos, protocolos y programas para la identidad federada. El Centro Nacional de Excelencia en Ciberseguridad y la Oficina Nacional de Programas de la Estrategia Nacional para Identidades de Confianza en Ciberespacio trabajaron de manera conjunta en un proyecto de Federación de Identidad con Protección de Privacidad para establecer un conjunto de estándares que se deben utilizar para la identidad federada.
El marco de Gestión Global de Identidad Federada y Privilegios (GFIPM) ofrece un enfoque basado en estándares para implementar la identidad federada. El marco respalda las tres áreas clave de interoperabilidad de la seguridad en la federación.
- Identificación/autenticación ¿Quién es el usuario y cómo fue autenticado?
- Gestión de privilegios ¿Qué certificaciones, autorizaciones, cargos, privilegios locales y afiliaciones organizativas asociadas con el usuario pueden servir como base para las decisiones de autorizaciones?
- Auditoría ¿Qué información se necesita o se requiere para auditar los sistemas individuales, el uso y acceso a los sistemas, y el cumplimiento normativo de las prácticas relacionadas con los datos?
Beneficios de la identidad federada
Ahorro de costos El uso de la identidad federada libera a las organizaciones del tiempo y costos invertidos en la configuración y mantenimiento del SSO para la gestión de diversas identidades.
Gestión sencilla de datos La identidad federada facilita el almacenamiento, el acceso y la gestión de la información en todos los sistemas mediante la optimización de las operaciones de gestión de datos.
Mejora de la experiencia de usuario Los usuarios solo deben proporcionar sus credenciales una vez en la sesión para acceder a múltiples sistemas en los dominios federados, lo que mejora la experiencia de usuario al eliminar los obstáculos de acceso.
Mejora de la seguridad Se disminuye la cantidad de veces que un usuario debe iniciar sesión en sistemas individuales, lo que mejora la seguridad y ofrece una mejor protección de los datos, puesto que cada inicio de sesión genera un punto de vulnerabilidad y aumenta el riesgo de accesos no autorizados.
Mejora de la productividad La identidad federada libera a los usuarios de la carga de tener que iniciar sesión varias veces para acceder a los recursos, volver a introducir las contraseñas y enviar solicitudes al servicio de asistencia técnica para restablecerlas. Al ahorrar tiempo y eliminar las frustraciones, se produce una mejora en la productividad general de la organización y del usuario final.
Intercambio seguro de recursos Las organizaciones pueden facilitar el intercambio de recursos y de datos de manera eficiente sin comprometer las credenciales ni la seguridad.
Aprovisionamiento de punto único La identidad federada permite el aprovisionamiento de punto único, que facilita a los equipo de TI la concesión de acceso a usuarios y sistemas fuera del perímetro empresarial único.
Confusiones sobre la identidad federada
A menudo, la identidad federada no se comprende bien y se la asocia con creencias erróneas. Las dos ideas equivocadas principales son:
- Como los sistemas de gestión de identidad federada siguen políticas y normas específicas, hay menos control sobre su configuración. Esto es falso. Aunque estos sistemas cuentan con una estructura rígida, existen opciones para realizar configuraciones personalizadas con el fin de satisfacer los requisitos único de las organizaciones.
- Los posibles riesgos de seguridad vinculados con la identidad federada carecen de fundamentos en gran medida. Casi todos los enfoques de seguridad tienen fallas, pero muchos consideran que la identidad federada es una solución de seguridad superior.
Disminución de la fatiga de contraseña con la identidad federada
Aunque existan mandatos de contraseñas robustas, las contraseñas plantean problemas persistentes de seguridad porque los usuarios toman atajos peligrosos para simplificar la gestión de diversas contraseñas. La identidad federada reduce esta fatiga de contraseña, lo que optimiza el acceso de los usuarios y simplifica la gestión de contraseñas para los equipos de TI.
Quizás también le interese:
Tome el control de su plataforma en la nube.
Obtenga más información sobre SailPoint y la identidad federada.