¿Qué es un servicio de directorio?

Juntos, los servicios de directorio y la IAM permiten a las organizaciones controlar las cuentas de usuario, la autenticación, el control de acceso, los permisos y otros aspectos cruciales de la seguridad de la red.

Con el auge de Internet, la computación en la nube y el trabajo remoto, los servicios de directorio se han vuelto cruciales para la forma en que las organizaciones aprovechan las arquitecturas de computación distribuida para mejorar los procesos de actividad principal. Los servicios de directorio funcionan como una guía telefónica para los recursos de red, almacenando información sobre usuarios, dispositivos y otros recursos para que puedan conectarse de forma rápida y segura.

A diferencia de las bases de datos relacionales tradicionales que organizan la información en filas y columnas, los servicios de directorio están diseñados jerárquicamente. Mediante el uso de espacios de nombres, un método de clasificación de los recursos de red para que sean fácilmente identificables, la estructura jerárquica de los servicios de directorio permite que millones de usuarios y dispositivos intercambien información a través de una red.

Los servicios de directorio están diseñados en torno a un modelo cliente/servidor, una configuración de red estándar en la que un programa es el "cliente" y el otro es el "servidor". En una base de datos de servicios de directorio, el cliente suele ser un usuario, dispositivo o aplicación.

El cliente busca un recurso contenido en la base de datos de servicios de directorio. Mientras tanto, la base de datos lleva a cabo un proceso de autenticación para ver si tiene los permisos necesarios para acceder al recurso, un proceso conocido como "autenticación".

El proceso de autenticación es el núcleo de la funcionalidad de los servicios de directorio porque establece si un usuario o dispositivo puede acceder al recurso solicitado. La autenticación se realiza en tres pasos: acreditación, verificación y permisos.

1. Credenciales: el usuario o dispositivo envía sus credenciales para acceder al recurso solicitado. Los ejemplos comunes de credenciales incluyen nombres de usuario, contraseñas y datos biométricos que pueden usarse para establecer la identidad de un usuario.
2. Verificación: el servidor de directorio se basa en varios protocolos comunes para verificar que el usuario sea quien o lo que dice ser. Una vez que se ha establecido la identidad de un usuario, el servidor de directorio proporciona un ticket o token de autenticación que se puede presentar a otras aplicaciones que encuentre el usuario.
3. Permisos: después de verificar la identidad y credenciales de un usuario, la base de datos de servicios de directorio compara la información proporcionada con sus listas de control de acceso (ACL) internas para determinar a qué recursos pueden acceder.

Además del proceso de autenticación, los servidores de directorio también pueden depender de otros protocolos comunes para confirmar la identidad de un usuario y establecer a qué recursos pueden acceder:

• Protocolo ligero de acceso a directorios (LDAP): el protocolo fundamental que rige los datos de directorio, LDAP permite que las aplicaciones consulten bases de datos de servicios de directorio y gestionen identidades de usuarios a través de redes de protocolo de control de transmisión/protocolo de Internet (TCP/IP) como la Internet.

• Kerberos: es un protocolo de autenticación basado en tickets que emite tickets o tokens con límite de tiempo. Las aplicaciones pueden reutilizar estos tickets y tokens para verificar la identidad de un usuario en lugar de requerirle que reingrese una contraseña. Kerberos es ampliamente utilizado por algunos de los servicios de directorio y proveedores de la nube más grandes del mundo, incluidos Microsoft Active Directory (Azure Active Directory), Red Hat Enterprise Linux, AWS, Google nube y macOS.

• Lenguaje de marcado de aserción de seguridad (SAML):este es un protocolo basado en XML que permite el inicio de sesión único (SSO), un sistema de autenticación que permite a los usuarios iniciar sesión en varias aplicaciones con un conjunto de credenciales.

• Sistema de nombres de dominio (DNS): el Sistema de Nombres de Dominio (DNS) es un protocolo que convierte nombres de dominio amigables para el usuario como google.com y facebook.com en direcciones de Protocolo de Internet (IP) que las computadoras necesitan para identificar entre sí en una red. El DNS a menudo se infunde en los servicios de directorio para hacer coincidir los nombres legibles por humanos con los recursos de la red para que puedan identificarse más fácilmente.  

Hay varios componentes críticos que son fundamentales para el funcionamiento de los servicios de directorio, ya que permiten a los usuarios autorizados, dispositivos y aplicaciones acceder a la información del directorio. A continuación, analizamos cada componente más detenidamente.

• Servidor de directorio: el servidor de directorio es un servidor físico o virtual que almacena datos para que se puedan acceder a ellos y administrarlos en un servicio de directorio. Los servidores de directorio se basan en protocolos comunes como LDAP, LDAPS y DNS para gestionar la información sobre los recursos de red en una estructura jerárquica a la que pueden acceder fácilmente los usuarios, dispositivos y aplicaciones autorizados.

• Clientes de directorio: un cliente de directorio es una aplicación que permite realizar operaciones como la autenticación de usuarios y la gestión de identidades en un servidor de directorio. Al igual que los servidores de directorios, los clientes de directorios dependen de protocolos comunes de servicios de directorios para su funcionalidad.

• Árbol de información de directorio (DIT): el DIT es la organización jerárquica de la información en un servicio de directorio. Se compone de entradas individuales que representan usuarios, grupos, aplicaciones y dispositivos. Una estructura DIT sólida permite que los usuarios autorizados accedan a los datos del directorio de forma rápida y segura, una funcionalidad central de los servicios de directorio.

• Esquema: los esquemas de directorio son otra forma de definir la información dentro de una base de datos de servicios de directorio. Si bien el DIT es jerárquico, los esquemas definen cómo se almacenan los objetos de directorio individuales en un servicio de directorio y sus propiedades únicas, lo que garantiza que los datos se definan de manera coherente en toda la base de datos.

• Herramientas de replicación: estas, también conocidas como instancias de servidor de replicación, son procesos de software que permiten replicar la información de los directorios. La replicación de la información del directorio proporciona varias capacidades clave de los servicios de directorio, como la tolerancia a fallas y la recuperación ante desastres (DR).

Las compañías modernas dependen de los servicios de directorio para una amplia gama de capacidades. Desde mejorar la seguridad y el cumplimiento de normas hasta ayudar a lograr una alta disponibilidad, a continuación se presentan los principales beneficios empresariales de los servicios de directorio.

En lugar de exigir a los usuarios que se autentiquen varias veces a medida que se mueven por diferentes partes de una base de datos, los servicios de directorio se centran en un enfoque diferente. Permiten a los usuarios autenticarse una vez y utilizar un token o ticket para establecer su identidad en el futuro.

Este enfoque reduce la necesidad de crear y almacenar múltiples contraseñas y permite aplicar las mismas políticas de autenticación en toda la base de datos.

Los servicios de directorio permiten a los administradores centralizar y automatizar su enfoque de permisos y roles. Por ejemplo, pueden agregar un usuario o aplicación a un grupo y automatizar el proceso de darle acceso a los mismos recursos que otros usuarios de ese grupo.

Este enfoque simplifica y agiliza las tareas de administración y reduce la probabilidad de error humano en los procesos manuales.

Los servicios de directorio modernos están equipados con algunas de las herramientas de cifrado más fuertes disponibles, lo que garantiza que la comunicación y el intercambio de Recursos sigan siendo seguros y reducen la probabilidad de una filtración de datos.

Además, muchos protocolos comunes en los que se basan los servicios de directorio (por ejemplo, TLS, SSL, MFA y SAML) ya cumplen con los estándares más rigurosos para la seguridad de datos, como HIPAA y SOC 2.

Los servicios de directorio están diseñados para procesar millones de solicitudes de autenticación al mismo tiempo sin afectar su rendimiento, lo que los convierte en sistemas altamente disponibles.

Al distribuir ampliamente las réplicas de los datos del directorio a los que acceden los usuarios, pueden evitar constantemente el tiempo de inactividad incluso al gestionar cargas de trabajo más pesadas de lo habitual.

Los servicios de directorio pueden integrar fácilmente en entornos on premises y en la nube, aprovechando tanto recursos físicos como virtuales e integrándolos de forma fluida.

Las interfaces de programación de aplicaciones (API) ayudan a los equipos a integrar fácilmente los servicios de directorio con sistemas comunes como bases de datos de recursos humanos, sistemas de gestión de relaciones con los clientes (CRM) y aplicaciones web de uso generalizado.

Al igual que otros sistemas distribuidos modernos y complejos, los servicios de directorio están teniendo dificultades para hacer frente al enorme aumento de datos de red provocado por nuevas tecnologías como la inteligencia artificial (IA) y el Internet de las cosas (IoT).

Con más aplicaciones, usuarios y dispositivos accediendo y compartiendo información que en el pasado, incluso los servicios de directorio más sofisticados se enfrentan a nuevos retos.

Mantener la uniformidad de los datos (es decir, el estado de los datos en el que todas las copias o instancias siguen siendo las mismas) siempre ha sido un desafío en los servicios de directorio.

A medida que las bases de datos se vuelven más grandes y complejas para satisfacer las necesidades de las nuevas tecnologías, mantener actualizadas las réplicas de datos es más difícil y puede afectar el rendimiento del sistema.  

Proporcionar acceso ininterrumpido a los servicios de directorio para todos los distintos usuarios y aplicaciones que lo necesitan es una tarea compleja y que requiere muchos recursos.

La tolerancia a fallos, es decir, la capacidad de seguir funcionando incluso cuando fallan componentes y sistemas, requiere pruebas de procedimientos rigurosas y redundancias; de lo contrario, los sistemas fallarán y se producirán tiempos de inactividad.

Los servicios de directorio son objetivos atractivos para los actores maliciosos y las amenazas cibernéticas porque contienen información valiosa que es crítica para los procesos de actividad principal de las organizaciones a las que dan soporte.

Los atacantes despliegan una amplia gama de ataques dirigidos, incluyendo ransomware y robo de identidad, para obtener acceso no autorizado a los datos de los directorios y utilizarlos para perjudicar a una empresa.

Los servicios de directorio se utilizan ampliamente a nivel empresarial y soportan una amplia gama de casos de uso. Estos son algunos de los más populares.

Los servicios de directorio soportan la Gestión de identidad y acceso a través de procesos de autenticación sin interrupciones (por ejemplo, inicio de sesión único), capacidades automatizadas de cumplimiento de normas y un enfoque centralizado para administrar identidades digitales. IAM es un proceso de ciberseguridad que garantiza que los equipos puedan usar aplicaciones en la nube para colaborar de manera eficiente y segura.

Según un informe reciente, el tamaño del mercado global de IAM valía casi 18,000 millones de dólares en 2023. Además, se proyectó que crecería más de 61,000 millones de dólares para el año 2032, lo que daría como resultado una tasa de crecimiento anual compuesta (CAGR) del 15.3%.¹

La autenticación multifactor (MFA) es un método para verificar la identidad de un usuario a través de múltiples formas de prueba, como contraseñas e información biométrica.

Los servicios de directorio utilizan la autenticación multifactorial (MFA) para proporcionar a las organizaciones capas adicionales de protección cuando los usuarios trabajan de forma remota en múltiples dispositivos, como computadoras personales, tabletas y teléfonos inteligentes. La MFA basado en directorios ayuda a proteger las cargas de trabajo y la información confidenciales de los malos actores y garantiza el cumplimiento de las políticas de directorio.

Los servicios de directorio permiten a las organizaciones configurar entornos de cómputo de código abierto: ecosistemas de cómputo en los que el software subyacente es gratuito y está disponible para que cualquiera pueda usarlo y construirlo.

Por ejemplo, OpenLDAP es un servidor de directorio de código abierto y FreeIPA es una herramienta de IAM de código abierto. Ambos habilitan servicios de directorio de código abierto para organizaciones que utilizan Linux, el sistema operativo de código abierto más popular del mundo.

La mayoría de las empresas modernas están aprovechando la nube como parte de su proceso de transformación digital, un esfuerzo continuo para integrar la tecnología digital en cada área de su organización. Los servicios de directorio son compatibles tanto con entornos de nube híbrida como multicloud, arquitecturas de TI que combinan diferentes tipos de recursos en la nube para optimizar la infraestructura de TI.

Por ejemplo, las soluciones avanzadas de servicios de directorio pueden proteger tanto las instancias de nube privada como las de nube pública para permitir una autenticación rápida y consistente para los usuarios y las aplicaciones.

Los servicios de directorio ayudan a las empresas a optimizar los recursos críticos de la red, como grupos de usuarios, impresoras y servidores de archivos, a través de la integración con DNS y otros sistemas de red.

Los administradores de TI confían en los servicios de directorio para configurar y desplegar recursos en una red con un esfuerzo mínimo, independientemente de la complejidad y el número de usuarios. Los servicios de directorio proporcionan un centro centralizado para gestionar los recursos de red, simplificar la administración y dar a los usuarios acceso instantáneo a los recursos que necesitan a través de SSO y otras formas de autenticación.

El auge de la IA, especialmente la IA generativa, no solo está ayudando a automatizar procesos que antes requerían entrada manual, sino que también está cambiando fundamentalmente aspectos de los servicios de directorio. Por ejemplo, solo en arquitecturas de nube híbrida, el IBM Institute of Business Value (IBV) informa que el 68% de los usuarios ya han formalizado una política o enfoque para el uso de IA generativa.

Anteriormente consideradas bases de datos estáticas, los servicios de directorio modernos con capacidades impulsadas por IA se están volviendo más inteligentes, más adaptables e incluso autónomos. A continuación se presentan tres ejemplos de capacidades impulsadas por IA que están transformando los servicios de directorio.