¿Qué es la orquestación de identidades?

Autores

Matthew Kosinski

Staff Editor

IBM Think

Amber Forrest

Staff Editor | Senior Inbound, Social & Digital Content Strategist

IBM Think

¿Qué es la orquestación de identidades?

La orquestación de identidades es una solución de software para coordinar sistemas dispares de gestión de identidades y accesos (IAM) de múltiples proveedores de identidades en flujos de trabajo sin fricciones.

En la era de la transformación digital, las organizaciones están adoptando más soluciones de software como servicio (SaaS), donde cambian a entornos multinube híbrida y adoptan el teletrabajo. Los ecosistemas de TI corporativos de hoy en día contienen una combinación de múltiples proveedores de aplicaciones y activos basados en la nube y en las instalaciones que sirven a varios usuarios, desde empleados y contratistas hasta socios y clientes.

Según un informe, el departamento empresarial medio utiliza 87 aplicaciones SaaS diferentes.1 Estas aplicaciones suelen tener sus propios sistemas de identidad, que pueden no integrarse fácilmente entre sí. Como resultado, muchas organizaciones se enfrentan a panoramas de identidad fragmentados y experiencias de usuario incómodas.

Por ejemplo, un empleado puede tener cuentas separadas para el sistema de gestión de incidencias de la empresa y el portal de gestión de relaciones con los clientes (CRM). Esto puede dificultar una tarea sencilla, como resolver las incidencias del servicio de atención al cliente. El usuario debe hacer malabarismos con diferentes identidades digitales para obtener los detalles de las incidencias de un sistema y los registros pertinentes de los clientes de otro.

Mientras tanto, los equipos de TI y ciberseguridad se esfuerzan por rastrear la actividad de los usuarios y aplicar políticas de control de acceso coherentes en toda la red. En el ejemplo anterior, el empleado puede acabar teniendo más privilegios de los que necesita en el sistema de gestión de proyectos, mientras que sus permisos de CRM son demasiado bajos para acceder a los registros de los clientes a los que atiende.

El software de orquestación de identidades ayuda a optimizar la gestión de identidades y accesos al organizar los distintos servicios de identidad y autenticación en flujos de trabajo automatizados y cohesivos.

Todas las herramientas de identidad de una empresa se integran con el software de orquestación, que crea y gestiona las conexiones entre ellas. Esta capacidad permite a la organización crear una arquitectura IAM personalizada, como los sistemas de inicio de sesión único (SSO) independientes del proveedor, sin necesidad de sustituir o reequipar los sistemas existentes.

Volviendo al ejemplo anterior, la organización puede utilizar una plataforma de orquestación de identidades para conectar las cuentas de los empleados en los sistemas de gestión de incidencias y CRM a una plataforma SSO y vincularlo todo a un directorio central de usuarios. De este modo, los usuarios pueden conectarse al SSO una sola vez para acceder a ambas aplicaciones, y el directorio central verifica automáticamente sus identidades y aplica los permisos de acceso adecuados para cada servicio.

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

¿Cómo funciona la orquestación de identidades?

En la tecnología de la información, la orquestación es el proceso de conectar y coordinar herramientas dispares para automatizar flujos de trabajo complejos y de varios pasos. Por ejemplo, en el ámbito de la orquestación de seguridad, una organización podría encadenar una puerta de enlace de correo electrónico segura, una plataforma de inteligencia de amenazas y un software antimalware para crear un flujo de trabajo automatizado de detección y respuesta de phishing.

La orquestación de identidades conecta y coordina las capacidades de herramientas de identidad dispares para crear flujos de trabajo de identidad unificados y optimizados.

Las herramientas de identidad son las herramientas que una organización utiliza para definir, gestionar y asegurar las identidades de los usuarios, como los sistemas de verificación de identidad y las plataformas de gestión de identidades y accesos de los clientes.

Los flujos de trabajo de identidad son los procesos por los que los usuarios pasan por las herramientas de identidad. Algunos ejemplos de flujos de trabajo de identidad son los inicios de sesión de los usuarios, la incorporación y el aprovisionamiento de cuentas.

Las herramientas de identidad no siempre se integran con facilidad, sobre todo cuando las organizaciones trabajan con herramientas SaaS alojadas en nubes diferentes o intentan salvar las distancias entre los sistemas locales y los basados en la nube. Las plataformas de orquestación de identidades pueden conectar estas herramientas incluso cuando no están diseñadas para integrarse.

Las plataformas de orquestación de identidades actúan como planos de control centrales para todos los sistemas de identidad de una red. Cada herramienta de identidad se integra con la plataforma de orquestación, creando una arquitectura de identidad integral denominada tejido de identidad.

Las organizaciones no tienen que codificar ninguna de estas integraciones. En su lugar, las plataformas de orquestación utilizan una combinación de conectores prediseñados, interfaces de programación de aplicaciones (API) y estándares comunes como SAML y OAuth para administrar las conexiones entre herramientas.

Una vez que los sistemas de identidad están tejidos en un tejido de identidad, la organización puede utilizar la plataforma de orquestación para coordinar sus actividades y controlar cómo se mueven los usuarios entre las herramientas durante los flujos de trabajo de identidad. Y lo que es más importante, la plataforma de orquestación desacopla la autenticación y la autorización de las aplicaciones individuales, lo que hace posible flujos de trabajo de identidad complejos.

Como ya se ha mencionado, es posible que los distintos sistemas de identidad no se comuniquen entre sí en ausencia de una solución de orquestación. Si, por ejemplo, una organización utiliza una herramienta de gestión de relaciones con los clientes (CRM) y un sistema de gestión de documentos (DMS) de proveedores independientes, es posible que cada aplicación tenga su propio sistema de IAM.

Los usuarios deben mantener cuentas separadas en cada aplicación. Para acceder a cualquiera de las aplicaciones, los usuarios iniciarían sesión directamente en ese servicio. La autenticación y la autorización se realizarían dentro del sistema IAM de cada aplicación y no se transferirían entre aplicaciones.

Con una solución de orquestación, las cosas son diferentes. Cuando un usuario accede a cualquiera de las dos aplicaciones, la solicitud pasa primero por la solución de orquestación. La solución dirige la solicitud al servicio adecuado de comprobación de identidad y control de acceso, que puede ser un directorio central fuera de cualquiera de las dos aplicaciones.

Una vez que el usuario está autenticado y autorizado por el directorio central, la plataforma de orquestación activa la aplicación para permitir al usuario con los permisos correctos.

Flujos de trabajo de identidad

Para aplicar la orquestación de identidades en la práctica, las organizaciones utilizan plataformas de orquestación de identidades para crear flujos de trabajo de identidades. También llamados "recorridos del usuario", los flujos de trabajo de identidad son procesos que determinan cómo un usuario se mueve a través de las herramientas de identidad y cómo interactúan esas herramientas en situaciones definidas, como al iniciar sesión en una aplicación.

Los flujos de trabajo pueden ser sencillos o relativamente complejos, con lógica condicional y rutas de ramificación. Pueden afectar a muchos sistemas diferentes, incluidos algunos que no se consideran estrictamente herramientas de identidad, como los servicios de correo electrónico y las redes sociales.

Las soluciones de orquestación de identidades permiten a las organizaciones crear recorridos de usuario sin escribir ningún código nuevo. Estas soluciones tienen interfaces visuales, no-code, de arrastrar y soltar que pueden definir eventos, conectar herramientas de identidad y construir rutas de usuario.

Para comprender qué son los flujos de trabajo de identidad, puede resultar útil ver un ejemplo. A continuación se muestra un flujo de trabajo hipotético de incorporación e inicio de sesión de nuevos empleados que una organización puede construir a través de una plataforma de orquestación.

  1. En primer lugar, el nuevo empleado crea una cuenta en un portal de recursos humanos de autoservicio. De este modo se inicia el flujo de trabajo de incorporación.

  2. La plataforma de orquestación de identidades activa la creación de una identidad de usuario única para el nuevo empleado en el servicio de directorio central de la organización. Al nuevo empleado también se le asigna automáticamente un conjunto de privilegios de acceso basados en roles.

  3. A continuación, la plataforma de orquestación proporciona cuentas para el nuevo empleado en todos los servicios pertinentes, incluidas las aplicaciones que utilizará en el trabajo y los sistemas administrativos, como el software de nóminas. Estas cuentas se asocian a la identidad de usuario principal del nuevo contratado en el directorio central.

  4. Ahora que el empleado está en el sistema, puede iniciar sesión en su aplicación de correo electrónico corporativo. En lugar de ir directamente a la aplicación de correo electrónico, la solicitud de inicio de sesión va a la plataforma de orquestación.

  5. La plataforma de orquestación dirige la solicitud a través de un sistema de detección del fraude, en busca de indicios de comportamiento sospechoso. Como este nuevo empleado está accediendo a su cuenta de correo electrónico por primera vez, se les marca como de mayor riesgo.

  6. A continuación, la solicitud de inicio de sesión se envía a la plataforma SSO de la organización. Dado que el nuevo empleado ha sido marcado como de alto riesgo, se activa la autenticación adaptativa. El nuevo empleado debe utilizar la autenticación multifactor (MFA) para acceder a su cuenta.

  7. El nuevo empleado completa las pruebas de autenticación y el directorio central lo autentica y autoriza. La plataforma de orquestación transmite esta información a la plataforma SSO, que permite al nuevo empleado acceder a su cuenta de correo electrónico, y a todas las demás aplicaciones detrás de la SSO, con los privilegios adecuados.

Aunque hay bastantes pasos que seguir, cabe señalar que todo esto ocurre automáticamente en segundo plano sin que el usuario se dé cuenta. La plataforma de orquestación supervisa el proceso de principio a fin. Además, los inicios de sesión futuros son aún más ágiles. El usuario inicia sesión en el SSO, que ahora lo reconoce y le otorga acceso a todo lo que necesita.

Casos de uso de orquestación de identidades

Las plataformas de orquestación de identidades no sustituyen a los sistemas de identidad existentes. Crean conexiones entre estos sistemas, lo que permite que varias aplicaciones y herramientas trabajen juntas, incluso si no fueron diseñadas para ello. Esta funcionalidad puede ayudar a las organizaciones a abordar algunos problemas comunes.

Romper los silos de identidad en entornos multinube

Muchas organizaciones utilizan varios proveedores de nube y herramientas en las instalaciones de diferentes proveedores. Cuando estos sistemas no se integran, las organizaciones pierden visibilidad del comportamiento de los usuarios en toda la red. Los equipos de TI y seguridad no pueden realizar un seguimiento de un solo usuario entre Microsoft Azure y Amazon Web Services, por ejemplo, porque usan cuentas separadas para cada nube.

Este panorama fragmentado también puede dificultar la aplicación de políticas de acceso y controles de seguridad coherentes en todas las aplicaciones y activos de una empresa.

Estas brechas en la visibilidad y la seguridad crean oportunidades para que los hackers y los usuarios internos negligentes causen estragos sin ser detectados. Lo que está en juego es mucho más importante cuando se trata de sistemas de identidad, que son objetivos prioritarios de los ciberdelincuentes. Según el X-Force Threat Intelligence Index, los ciberataques que utilizan credenciales robadas o comprometidas se encuentran entre las amenazas más comunes.

Las organizaciones pueden evitar hipotéticamente los silos de identidad si sólo utilizan herramientas de un proveedor o herramientas diseñadas para integrarse. Sin embargo, eso significaría que la organización no siempre tendría libertad para elegir las herramientas adecuadas para el trabajo.

La orquestación de identidades puede romper los silos de identidad y restaurar la visibilidad sin cambios masivos en los sistemas existentes. Las organizaciones pueden crear directorios centralizados para admitir una única identidad digital para cada usuario, lo que permite a la empresa realizar un seguimiento del comportamiento y detectar amenazas en tiempo real entre aplicaciones y activos. Las empresas también pueden utilizar la orquestación para aplicar controles de acceso uniformes en toda la red.

Además, las plataformas de orquestación de identidades pueden centralizar la gestión del ciclo de vida de las identidades para todo tipo de usuarios, incluidos empleados, clientes y otros. Las organizaciones pueden aplicar controles de ciberseguridad sólidos a los activos orientados al consumidor sin perturbar la experiencia del cliente.
Creación de sistemas SSO personalizados

El SSO permite a los usuarios iniciar sesión en varios sistemas con un conjunto de credenciales, pero es posible que cada plataforma de SSO no sea compatible con todas las aplicaciones y activos de una empresa. Esto se debe a que los diferentes SSO pueden usar diferentes estándares, como SAML u OIDC, para intercambiar información de autenticación entre sistemas. Si una aplicación o un recurso no puede usar el mismo estándar que un SSO determinado, no puede comunicarse con ese SSO.

Las plataformas de orquestación de identidades pueden conectar SSO con aplicaciones que no se integran de forma nativa. Las aplicaciones y el SSO se integran con la plataforma de orquestación de identidades, en lugar de hacerlo directamente. A continuación, la plataforma de orquestación de identidades gestiona la comunicación entre los sistemas, lo que permite a las organizaciones poner todas sus aplicaciones y activos bajo el mismo SSO, independientemente de la compatibilidad.
Actualización y protección de activos heredados sin necesidad de reescribir el código 

Las organizaciones suelen querer ampliar las nuevas medidas de seguridad, como MFA o autenticación sin contraseña, a las aplicaciones heredadas. Sin embargo, estos esfuerzos de modernización pueden resultar costosos y demorar mucho tiempo, ya que a menudo requieren un código personalizado o la sustitución total del sistema.

La orquestación de identidades puede simplificar el proceso. Las organizaciones pueden usar las interfaces visuales de las plataformas de orquestación para diseñar flujos de trabajo de identidad que incorporen las herramientas de seguridad más recientes a las aplicaciones heredadas. Esto permite a una organización integrar los activos en la nube y en las instalaciones en una única arquitectura zero trust.
Cumplir con los requisitos de cumplimiento 

Las organizaciones necesitan ver el comportamiento de los usuarios para cumplir con normas como el Reglamento General de Protección de Datos (RGPD) o la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).

Estas normas exigen que las organizaciones apliquen políticas estrictas de control de acceso a los datos confidenciales, como los números de tarjetas de crédito y la información sanitaria, y que hagan un seguimiento de lo que hacen los usuarios con estos datos. Cuando los usuarios tienen múltiples identidades digitales, puede ser difícil garantizar que solo las personas adecuadas accedan a los datos correctos por las razones correctas.

La orquestación de identidades puede ayudar a las organizaciones a cumplir los requisitos de cumplimiento facilitando el seguimiento del comportamiento de los usuarios y la aplicación de permisos de acceso coherentes. Algunas plataformas de orquestación también mantienen registros de los flujos de trabajo de identidad, lo que puede resultar útil en caso de una auditoría.
Soluciones relacionadas
IBM Verify

Construya un marco de identidad seguro y independiente del proveedor que modernice IAM, se integre con las herramientas existentes y permita un acceso híbrido fluido sin complicaciones adicionales.

 Explore IBM Verify
Soluciones de seguridad

Proteja sus entornos de nube híbrida e IA con una protección inteligente y automatizada de los datos, la identidad y las amenazas.

 Explore las soluciones de seguridad
Servicios de gestión de identidades y accesos

Proteja y gestione el acceso de los usuarios con controles de identidad automatizados y un gobierno basado en el riesgo en los entornos de nube híbrida.

         Explore los servicios de IAM
    Dé el siguiente paso

    Mejore IAM con Verify para un acceso híbrido fluido y fortalezca la protección de identidad descubriendo riesgos ocultos basados en la identidad con IA.

         Descubra IBM® Verify  Explore la protección de identidad de IBM Verify