Inicio
Topics
Orquestación de identidad
¿Qué es la orquestación de identidades?
Publicado: 26 de marzo de 2024
Colaboradores: Matthew Kosinski, Amber Forrest
La orquestación de identidades es una solución de software para coordinar sistemas dispares de gestión de identidad y acceso (IAM) de múltiples proveedores de identidad en flujos de trabajo sin fricciones.
En la era de la transformación digital, las organizaciones están adoptando más soluciones de software como servicio (SaaS), donde cambian a entornos multinube híbrida y adoptan el trabajo remoto. Los ecosistemas de TI corporativos de hoy en día contienen una combinación de múltiples proveedores de aplicaciones y activos basados en la nube y en las instalaciones que sirven a varios usuarios, desde empleados y contratistas hasta socios y clientes.
Según un informe, el departamento empresarial medio utiliza 87 aplicaciones SaaS diferentes.1 Estas aplicaciones suelen tener sus propios sistemas de identidad, que pueden no integrarse fácilmente entre sí. Como resultado, muchas organizaciones se enfrentan a panoramas de identidad fragmentados y experiencias de usuario incómodas.
Por ejemplo, un empleado puede tener cuentas separadas para el sistema de gestión de incidencias de la empresa y el portal de gestión de relaciones con los clientes (CRM). Esto puede dificultar una tarea sencilla, como resolver las incidencias del servicio de atención al cliente. El usuario debe hacer malabarismos con diferentes identidades digitales para obtener los detalles de las incidencias de un sistema y los registros pertinentes de los clientes de otro.
Mientras tanto, los equipos de TI y ciberseguridad se esfuerzan por rastrear la actividad de los usuarios y aplicar políticas de control de acceso coherentes en toda la red. En el ejemplo anterior, el empleado puede acabar teniendo más privilegios de los que necesita en el sistema de gestión de proyectos, mientras que sus permisos de CRM son demasiado bajos para acceder a los registros de los clientes a los que atiende.
El software de orquestación de identidades ayuda a optimizar la gestión de identidades y accesos al organizar los distintos servicios de identidad y autenticación en flujos de trabajo automatizados y cohesivos.
Todas las herramientas de identidad de una empresa se integran con el software de orquestación, que crea y gestiona las conexiones entre ellas. Esta capacidad permite a la organización crear una arquitectura IAM personalizada, como los sistemas de inicio de sesión único (SSO) independientes del proveedor, sin necesidad de sustituir o reequipar los sistemas existentes.
Volviendo al ejemplo anterior, la organización puede utilizar una plataforma de orquestación de identidades para conectar las cuentas de los empleados en los sistemas de gestión de incidencias y CRM a una plataforma SSO y vincularlo todo a un directorio central de usuarios. De este modo, los usuarios pueden conectarse al SSO una sola vez para acceder a ambas aplicaciones, y el directorio central verifica automáticamente sus identidades y aplica los permisos de acceso adecuados para cada servicio.
La identidad se ha convertido en uno de los principales vectores de ataque. Descubra cómo las organizaciones pueden combatir los ataques basados en identidades y agilizar la experiencia del usuario mediante la orquestación de identidades.
En la tecnología de la información, la orquestación es el proceso de conectar y coordinar herramientas dispares para automatizar flujos de trabajo complejos y de varios pasos. Por ejemplo, en el ámbito de la orquestación de seguridad, una organización podría encadenar una puerta de enlace de correo electrónico segura, una plataforma de inteligencia de amenazas y un software antimalware para crear un flujo de trabajo automatizado de detección y respuesta de phishing.
La orquestación de identidades conecta y coordina las capacidades de diferentes herramientas de identidad para crear flujos de trabajo de identidad unificados y optimizados.
Las herramientas de identidad son las herramientas que utiliza una organización para definir, gestionar y proteger las identidades de los usuarios, como los sistemas de verificación de identidad y las plataformas de gestión de identidades y accesos de los clientes.
Los flujos de trabajo de identidad son los procesos por los que los usuarios pasan por las herramientas de identidad. Algunos ejemplos de flujos de trabajo de identidad son los inicios de sesión de los usuarios, la incorporación y el aprovisionamiento de cuentas.
Las herramientas de identidad no siempre se integran con facilidad, sobre todo cuando las organizaciones trabajan con herramientas SaaS alojadas en nubes diferentes o intentan salvar las distancias entre los sistemas locales y los basados en la nube. Las plataformas de orquestación de identidades pueden conectar estas herramientas incluso cuando no están diseñadas para integrarse.
Las plataformas de orquestación de identidades actúan como planos de control centrales para todos los sistemas de identidad de una red. Cada herramienta de identidad se integra con la plataforma de orquestación, creando una arquitectura de identidad integral denominada tejido de identidad.
Las organizaciones no tienen que codificar ninguna de estas integraciones. En su lugar, las plataformas de orquestación utilizan una combinación de conectores prediseñados, interfaces de programación de aplicaciones (API) y estándares comunes como SAML y OAuth para administrar las conexiones entre herramientas.
Una vez que los sistemas de identidad están tejidos en un tejido de identidad, la organización puede utilizar la plataforma de orquestación para coordinar sus actividades y controlar cómo se mueven los usuarios entre las herramientas durante los flujos de trabajo de identidad. Y lo que es más importante, la plataforma de orquestación desacopla la autenticación y la autorización de las aplicaciones individuales, lo que hace posible flujos de trabajo de identidad complejos.
Como ya se ha mencionado, es posible que los distintos sistemas de identidad no se comuniquen entre sí en ausencia de una solución de orquestación. Si, por ejemplo, una organización utiliza una herramienta de gestión de relaciones con los clientes (CRM) y un sistema de gestión de documentos (DMS) de proveedores independientes, es posible que cada aplicación tenga su propio sistema de IAM.
Los usuarios deben mantener cuentas separadas en cada aplicación. Para acceder a cualquiera de las aplicaciones, los usuarios iniciarían sesión directamente en ese servicio. La autenticación y la autorización se realizarían dentro del sistema IAM de cada aplicación y no se transferirían entre aplicaciones.
Con una solución de orquestación, las cosas son diferentes. Cuando un usuario accede a cualquiera de las dos aplicaciones, la solicitud pasa primero por la solución de orquestación. La solución dirige la solicitud al servicio adecuado de comprobación de identidad y control de acceso, que puede ser un directorio central fuera de cualquiera de las dos aplicaciones.
Una vez que el directorio central autentica y autoriza al usuario, la plataforma de orquestación activa la aplicación para permitir al usuario entrar con los permisos correctos.
Flujos de trabajo de identidad
Para aplicar la orquestación de identidades en la práctica, las organizaciones utilizan plataformas de orquestación de identidades para crear flujos de trabajo de identidades. También llamados "recorridos del usuario", los flujos de trabajo de identidad son procesos que dictan cómo se mueve un usuario a través de las herramientas de identidad, y cómo interactúan esas herramientas, en situaciones definidas, como al iniciar sesión en una aplicación.
Los flujos de trabajo pueden ser sencillos o relativamente complejos, con lógica condicional y rutas de ramificación. Pueden afectar a muchos sistemas diferentes, incluidos algunos que no se consideran estrictamente herramientas de identidad, como los servicios de correo electrónico y las redes sociales.
Las soluciones de orquestación de identidades permiten a las organizaciones crear recorridos de usuario sin escribir ningún código nuevo. Estas soluciones tienen interfaces visuales, sin código, de arrastrar y soltar que pueden definir eventos, conectar herramientas de identidad y construir rutas de usuario.
Para comprender qué son los flujos de trabajo de identidad, puede resultar útil ver un ejemplo. A continuación se muestra un flujo de trabajo hipotético de incorporación e inicio de sesión de nuevos empleados que una organización puede construir a través de una plataforma de orquestación.
- En primer lugar, el nuevo empleado crea una cuenta en un portal de recursos humanos de autoservicio. De este modo se inicia el flujo de trabajo de incorporación.
- La plataforma de orquestación de identidades activa la creación de una identidad de usuario única para el nuevo empleado en el servicio de directorio central de la organización. Al nuevo empleado también se le asigna automáticamente un conjunto de privilegios de acceso basados en roles.
- A continuación, la plataforma de orquestación proporciona cuentas para el nuevo empleado en todos los servicios pertinentes, incluidas las aplicaciones que utilizará en el trabajo y los sistemas administrativos, como el software de nóminas. Estas cuentas se asocian a la identidad de usuario principal del nuevo contratado en el directorio central.
- Ahora que el empleado está en el sistema, puede iniciar sesión en su aplicación de correo electrónico corporativo. En lugar de ir directamente a la aplicación de correo electrónico, la solicitud de inicio de sesión va a la plataforma de orquestación.
- La plataforma de orquestación dirige la solicitud a través de un sistema de detección de fraudes, en busca de indicios de comportamiento sospechoso. Como este nuevo empleado está accediendo a su cuenta de correo electrónico por primera vez, se le considera de alto riesgo.
- A continuación, la solicitud de inicio de sesión se envía a la plataforma SSO de la organización. Dado que el nuevo empleado ha sido marcado como de alto riesgo, se activa la autenticación adaptativa. El nuevo empleado debe utilizar la autenticación multifactor (MFA) para acceder a su cuenta.
- El nuevo empleado completa las pruebas de autenticación y el directorio central lo autentica y autoriza. La plataforma de orquestación transmite esta información a la plataforma SSO, que permite al nuevo empleado acceder a su cuenta de correo electrónico, y a todas las demás aplicaciones detrás de la SSO, con los privilegios adecuados.
Aunque hay bastantes pasos que seguir, cabe señalar que todo esto ocurre automáticamente en segundo plano sin que el usuario se dé cuenta. La plataforma de orquestación supervisa el proceso de principio a fin. Además, los inicios de sesión futuros son aún más ágiles. El usuario inicia sesión en el SSO, que ahora lo reconoce y le otorga acceso a todo lo que necesita.
Las plataformas de orquestación de identidades no sustituyen a los sistemas de identidad existentes. Crean conexiones entre estos sistemas, lo que permite que varias aplicaciones y herramientas trabajen juntas, incluso si no fueron diseñadas para ello. Esta funcionalidad puede ayudar a las organizaciones a abordar algunos problemas comunes.
Muchas organizaciones utilizan varios proveedores de nube y herramientas en las instalaciones de diferentes proveedores. Cuando estos sistemas no se integran, las organizaciones pierden visibilidad del comportamiento de los usuarios en toda la red. Los equipos de TI y seguridad no pueden realizar un seguimiento de un solo usuario entre Microsoft Azure y Amazon Web Services, por ejemplo, porque usan cuentas separadas para cada nube.
Este panorama fragmentado también puede dificultar la aplicación de políticas de acceso y controles de seguridad coherentes en todas las aplicaciones y activos de una empresa.
Estas brechas en la visibilidad y la seguridad crean oportunidades para que los hackers y los usuarios internos negligentes causen estragos sin ser detectados. Lo que está en juego es mucho más importante cuando se trata de sistemas de identidad, que son objetivos prioritarios de los ciberdelincuentes. Según el X-Force Threat Intelligence Index, los ciberataques con credenciales robadas o comprometidas aumentaron un 71 % entre 2022 y 2023.
Las organizaciones pueden evitar hipotéticamente los silos de identidad si sólo utilizan herramientas de un proveedor o herramientas diseñadas para integrarse. Sin embargo, eso significaría que la organización no siempre tendría libertad para elegir las herramientas adecuadas para el trabajo.
La orquestación de identidades puede romper los silos de identidad y restaurar la visibilidad sin cambios masivos en los sistemas existentes. Las organizaciones pueden crear directorios centralizados para admitir una única identidad digital para cada usuario, lo que permite a la empresa realizar un seguimiento del comportamiento y detectar amenazas en tiempo real entre aplicaciones y activos. Las empresas también pueden utilizar la orquestación para aplicar controles de acceso uniformes en toda la red.
Además, las plataformas de orquestación de identidades pueden centralizar la gestión del ciclo de vida de las identidades para todo tipo de usuarios, incluidos empleados, clientes y otros. Las organizaciones pueden llevar controles sólidos de ciberseguridad a los activos orientados al consumidor sin interrumpir la experiencia del cliente.
El SSO permite a los usuarios iniciar sesión en varios sistemas con un conjunto de credenciales, pero es posible que cada plataforma de SSO no sea compatible con todas las aplicaciones y activos de una empresa. Esto se debe a que los diferentes SSO pueden usar diferentes estándares, como SAML u OIDC, para intercambiar información de autenticación entre sistemas. Si una aplicación o un recurso no puede usar el mismo estándar que un SSO determinado, no puede comunicarse con ese SSO.
Las plataformas de orquestación de identidades pueden conectar SSO con aplicaciones que no se integran de forma nativa. Las aplicaciones y el SSO se integran con la plataforma de orquestación de identidades, en lugar de hacerlo directamente. A continuación, la plataforma de orquestación de identidades gestiona la comunicación entre los sistemas, lo que permite a las organizaciones poner todas sus aplicaciones y activos bajo el mismo SSO, independientemente de la compatibilidad.
Las organizaciones suelen querer ampliar las nuevas medidas de seguridad, como MFA o autenticación sin contraseña, a las aplicaciones heredadas. Sin embargo, estos esfuerzos de modernización pueden resultar caros y llevar mucho tiempo, ya que a menudo requieren un código personalizado o la sustitución total del sistema.
La orquestación de identidades puede simplificar el proceso. Las organizaciones pueden usar las interfaces visuales de las plataformas de orquestación para diseñar flujos de trabajo de identidad que incorporen las herramientas de seguridad más recientes a las aplicaciones heredadas. Esto permite a una organización unir los activos en las instalaciones y basados en la nube en una arquitectura única de zero trust.
Las organizaciones necesitan ver el comportamiento de los usuarios para cumplir con normas como el Reglamento General de Protección de Datos (GDPR) o la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
Estas normas exigen que las organizaciones apliquen políticas estrictas de control de acceso a los datos confidenciales, como los números de tarjetas de crédito y la información sanitaria, y que hagan un seguimiento de lo que hacen los usuarios con estos datos. Cuando los usuarios tienen múltiples identidades digitales, puede ser difícil garantizar que solo las personas adecuadas accedan a los datos correctos por las razones correctas.
La orquestación de identidades puede ayudar a las organizaciones a cumplir los requisitos de cumplimiento facilitando el seguimiento del comportamiento de los usuarios y la aplicación de permisos de acceso coherentes. Algunas plataformas de orquestación también mantienen registros de los flujos de trabajo de identidad, lo que puede resultar útil en caso de una auditoría.
Soluciones relacionadas
La familia de productos IBM Security Verify proporciona capacidades automatizadas, para la administración del gobierno de identidades tanto en la nube como en las instalaciones, gestionar la identidad y el acceso del personal y de los consumidores, y controlar las cuentas privilegiadas.
IBM Security Verify proporciona los componentes básicos que pueden permitir a los clientes crear un tejido de identidades eficaz, compuesto por soluciones tanto de IBM como de terceros.
Agilice los esfuerzos de IAM con expertos en identidad y seguridad para ayudarle a definir y gestionar soluciones en entornos de nube híbrida, transformar los flujos de trabajo de gobernanza y demostrar el cumplimiento.
Recursos
La gestión de identidades y accesos (IAM) es la disciplina de ciberseguridad que se ocupa de cómo los usuarios acceden a los recursos digitales y qué pueden hacer con esos recursos.
IBM encargó a Forrester Consulting un estudio sobre el impacto económico total (TEI) para examinar el posible retorno de la inversión (ROI) que las organizaciones pueden conseguir implementando IBM Security Verify como una solución de identidad como servicio (IDaaS) junto con su infraestructura IAM en las instalaciones.
Para resolver los desafíos de identidad creados por los entornos híbridos actuales, las empresas necesitan una solución versátil que complemente las soluciones de identidad existentes y, al mismo tiempo, integre de manera efectiva varios silos de administración de identidades y accesos (IAM) en un todo cohesivo.
Notas a pie de página
1 2023 State of SaaS Trends (enlace externo a ibm.com), Productiv, 21 de junio de 2023