¿Qué es la orquestación de identidades?
Identity Orchestration es una solución de software para coordinar sistemas de gestión de identidad y acceso (IAM) dispares de múltiples proveedores de identidad en flujos de trabajo sin fricciones.
En la era de la transformación digital, las organizaciones están adoptando más soluciones de software como servicio (SaaS), cambiando a entornos híbridos multinube y adoptando el trabajo remoto. Los ecosistemas de TI corporativos actuales contienen una combinación de de aplicaciones y activos de múltiples proveedores, tanto basados en la nube como on premises, que prestan servicio a diversos usuarios, desde empleados y contratistas hasta asociados y clientes.
Según un informe, el departamento comercial promedio emplea 87 aplicaciones SaaS diferentes..1 Estas aplicaciones suelen tener sus propios sistemas de identidad, que podrían no integrarse fácilmente entre sí. Como resultado, muchas organizaciones se enfrentan a ámbitos de identidad fragmentados y experiencias de usuario engorrosas.
Por ejemplo, un empleado podría tener cuentas separadas para el sistema de gestión de tickets de la empresa y el portal de gestión de relaciones con el cliente (CRM). Esto puede dificultar una tarea simple, como resolver tickets de atención al cliente. El usuario debe lidiar con diferentes identidades digitales para obtener los detalles de los tickets de un sistema y los registros de clientes pertinentes a otro.
Mientras tanto, los equipos de TI y ciberseguridad se esfuerzan por realizar un seguimiento de la actividad de los usuarios y aplicar políticas coherentes de control de acceso en toda la red. En el ejemplo anterior, el empleado puede terminar teniendo más privilegios de los necesarios en el sistema de gestión de proyectos, al tiempo que sus permisos de CRM son demasiado bajos para acceder a los registros de los clientes que están atendiendo.
El software de orquestación de identidades ayuda a optimizar la gestión de identidades y accesos mediante la organización de distintos servicios de identidad y autenticación en flujos de trabajo cohesivos y automatizados.
Todas las herramientas de identidad de una empresa se integran con el software de orquestación, que crea y gestiona conexiones entre ellas. Esta capacidad permite a la organización crear una arquitectura IAM personalizada, como los sistemas de inicio de sesión único (SSO) independientes del proveedor, sin necesidad sustituir o rediseñar los sistemas existentes.
Volviendo al ejemplo anterior, la organización puede emplear una plataforma de orquestación de identidades para conectar las cuentas de los empleados en los sistemas de gestión de tickets y CRM a una plataforma SSO y vincularlo todo a un directorio central de usuarios. De esta manera, los usuarios pueden iniciar sesión en el SSO una vez para acceder a ambas aplicaciones, y el directorio central verifica automáticamente sus identidades y aplica los permisos de acceso correctos para cada servicio.
Fortalezca su inteligencia de seguridad
Adelántese cada semana a las amenazas con novedades e información sobre seguridad, IA y más con el boletín Think.
En tecnología de la información, la orquestación es el proceso de conectar y coordinar herramientas dispares para automatizar flujos de trabajo complejos de varios pasos. Por ejemplo, en el ámbito de la orquestación de seguridad, una organización podría asociar una pasarela de correo electrónico segura, una plataforma de inteligencia de amenazas y software antimalware para crear un flujo de trabajo automatizado de detección y respuesta al phishing.
Identity Orchestration conecta y coordina las capacidades de herramientas de identidad dispares para crear flujos de trabajo de identidad unificados y optimizados.
Herramientas de identidad son aquellas que una organización utiliza para definir, gestionar y asegurar las identidades de los usuarios, como los sistemas de verificación de identidad y las plataformas de gestión de identidad y acceso de clientes.
Los flujos de trabajo de identidad son los procesos por los que los usuarios se mueven a través de las herramientas de identidad. Algunos ejemplos de flujos de trabajo de identidad son el inicio de sesión de los usuarios, la incorporación y el aprovisionamiento de cuentas.
Las herramientas de identidad no siempre se integran fácilmente, en especial cuando las organizaciones tratan con herramientas SaaS alojadas en diferentes nubes o intentan cerrar las brechas entre los sistemas on premises y basados en la nube. Las plataformas de orquestación de identidades pueden conectar estas herramientas incluso cuando no están diseñadas para integrarse.
Las plataformas de orquestación de identidades actúan como planos de control central para todos los sistemas de identidad de una red. Cada herramienta de identidad se integra con la plataforma de orquestación, creando una arquitectura de identidad integral llamada tejido de identidad.
Las organizaciones no tienen que codificar de manera rígida ninguna de estas integraciones. En cambio, las plataformas de orquestación emplean una combinación de conectores prediseñados, interfaces de programación de aplicaciones (API) y estándares comunes, como SAML y OAuth, para gestionar las conexiones entre herramientas.
Una vez que los sistemas de identidad están entrelazados en un tejido de identidad, la organización puede emplear la plataforma de orquestación para coordinar sus actividades y controlar cómo se mueven los usuarios entre las herramientas durante los flujos de trabajo de identidad. Y lo que es más importante, la plataforma de orquestación desvincula la autenticación y la autorización de las aplicaciones individuales, lo que hace posibles flujos de trabajo de identidad complejos.
Como se mencionó anteriormente, es posible que los diferentes sistemas de identidad no se comuniquen entre sí en ausencia de una solución de orquestación. Si, por ejemplo, una organización emplea una herramienta de gestión de relaciones con los clientes (CRM) y un sistema de gestión de documentos (DMS) de proveedores independientes, es posible que cada aplicación tenga su propio sistema de IAM.
Los usuarios deben mantener cuentas separadas en cada aplicación. Para acceder a cualquiera de las aplicaciones, los usuarios iniciarían sesión directamente en ese servicio. La autenticación y la autorización se producirían dentro del sistema IAM distinto de cada aplicación y no se transferirían entre aplicaciones.
Con una solución de orquestación, las cosas son diferentes. Cuando un usuario accede a cualquiera de las aplicaciones, la solicitud pasa primero por la solución de orquestación. La solución dirige la solicitud al servicio adecuado de comprobación de identidad y control de acceso, que puede ser un directorio central fuera de cualquiera de las dos aplicaciones.
Una vez que el usuario es autenticado y autorizado por el directorio central, la plataforma de orquestación activa la aplicación para que el usuario ingrese con los permisos correctos.
Para implementar la orquestación de identidades en la práctica, las organizaciones utilizan plataformas de orquestación de identidades para crear flujos de trabajo de identidad. También llamados "recorridos del usuario", los flujos de trabajo de identidad son procesos que determinan cómo se mueve un usuario a través de las herramientas de identidad y cómo interactúan estas en situaciones específicas, como al inicio de sesión en una aplicación.
Los flujos de trabajo pueden ser sencillos o relativamente complejos, con lógica condicional y rutas de ramificación. Pueden involucrar muchos sistemas diferentes, incluidos algunos que no se consideran estrictamente herramientas de identidad, como servicios de correo electrónico y sitios de redes sociales.
Las soluciones de orquestación de identidades permiten a las organizaciones crear recorridos de usuario sin escribir ningún código nuevo. Estas soluciones tienen interfaces visuales, sin código, de arrastrar y soltar que pueden definir eventos, conectar herramientas de identidad y construir rutas de usuario.
Para comprender qué son los flujos de trabajo de identidad, puede resultar útil ver un ejemplo. A continuación, se muestra un flujo de trabajo hipotético de incorporación e inicio de sesión de nuevos empleados que una organización puede construir a través de una plataforma de orquestación.
- En primer lugar, el nuevo empleado crea una cuenta en un portal de recursos humanos de autoservicio. Esto activa el flujo de trabajo de incorporación para comenzar.
- La plataforma de orquestación de identidades activa la creación de una identidad de usuario única para el nuevo empleado en el servicio de directorio central de la organización. Al nuevo empleado también se le asigna automáticamente un conjunto de privilegios de acceso basados en roles.
- Luego, la plataforma de orquestación aprovisiona cuentas para el nuevo empleado en todos los servicios relevantes, incluidas las aplicaciones que usarán en el trabajo y los sistemas administrativos, como el software de nómina. Estas cuentas están asociadas con la identidad de usuario principal del nuevo empleado en el directorio central.
- Ahora que el empleado está en el sistema, puede iniciar sesión en su aplicación de correo electrónico corporativo. En lugar de ir directamente a través de la aplicación de correo electrónico, la solicitud de inicio de sesión va a la plataforma de orquestación.
- La plataforma de orquestación enruta la solicitud a través de un sistema de detección de fraude, en busca de indicios de comportamiento sospechoso. Debido a que este nuevo empleado está iniciando sesión en su cuenta de correo electrónico por primera vez, se asocia a un mayor nivel de riesgo.
- Enseguida, la solicitud de inicio de sesión se envía a la plataforma SSO de la organización. Debido a que el nuevo empleado se asoció a un mayor nivel de riesgo, se activa la autenticación adaptativa. El nuevo empleado debe usar la autenticación multifactor (MFA) para ingresar a su cuenta.
- El nuevo empleado completa los desafíos de autenticación, y es autenticado y autorizado por el directorio central. La plataforma de orquestación transmite esta información a la plataforma SSO, que permite que el nuevo empleado acceda a su cuenta de correo electrónico (y a todas las demás aplicaciones detrás del SSO) con los privilegios adecuados.
Si bien hay bastantes pasos aquí, vale la pena señalar que todo esto ocurre automáticamente en segundo plano sin que el usuario se dé cuenta. La plataforma de orquestación monitorea el proceso de principio a fin. Además, los inicios de sesión futuros son aún más ágiles. El usuario inicia sesión en el SSO, que ahora lo reconoce y le otorga acceso a todo lo que necesita.
Las plataformas de orquestación de identidades no reemplazan los sistemas de identidad existentes. Crean conexiones entre estos sistemas, lo que permite que varias aplicaciones y herramientas funcionen juntas, incluso si no fueron diseñadas para ello. Esta funcionalidad puede ayudar a las organizaciones a abordar algunos problemas comunes.
Muchas organizaciones emplean múltiples proveedores de nube y herramientas on premises de diferentes proveedores. Cuando estos sistemas no se integran, las organizaciones pierden visibilidad del comportamiento de los usuarios en la red. Los equipos de TI y seguridad no pueden rastrear a un solo usuario entre Microsoft Azure y Amazon Sitio web Services, por ejemplo, porque usan cuentas separadas para cada nube.
Este escenario fragmentado también puede dificultar la aplicación de políticas de acceso y controles de seguridad coherentes en todas las aplicaciones y todos los activos de una empresa.
Estas brechas en de visibilidad y seguridad crean oportunidades para que los piratas informáticos y los usuarios internos maliciosos causen estragos subrepticiamente. Hay mucho en juego especialmente cuando se trata de sistemas de identidad, que son el objetivo predilecto de los delincuentes cibernéticos. Según el X-Force Threat Intelligence Index, los ataques cibernéticos en los que se utilizan credenciales robadas o comprometidas aumentaron en un 71 % entre 2022 y 2023.
Las organizaciones pueden evitar hipotéticamente los silos de identidad empleando solo herramientas de un proveedor o diseñadas para integrarse. Sin embargo, eso significaría que la organización no siempre sería libre de elegir las herramientas adecuadas para el trabajo.
La orquestación de identidades puede eliminar los silos de identidad y restaurar la visibilidad sin cambios masivos en los sistemas existentes. Las organizaciones pueden crear directorios centralizados para admitir una única identidad digital para cada usuario, lo cual les permite rastrear el comportamiento y detectar amenazas en tiempo real en todas las aplicaciones y todos los activos. También pueden servirse de la orquestación para aplicar controles de acceso uniformes en toda la red.
Además, las plataformas de orquestación de identidades pueden centralizar la gestión del ciclo de vida de las identidades para todo tipo de usuarios, incluidos empleados, clientes y otros. Las organizaciones pueden aplicar controles de ciberseguridad robustos a los activos utilizados por los consumidores sin perturbar la experiencia del cliente.
El SSO permite a los usuarios iniciar sesión en varios sistemas con un conjunto de credenciales, pero es posible que cada plataforma SSO no sea compatible con todas las aplicaciones y activos de una empresa. Esto se debe a que los diferentes SSO pueden usar diferentes estándares, como SAML u OIDC, para intercambiar información de autenticación entre sistemas. Si una aplicación o un recurso no puede usar el mismo estándar que un SSO determinado, no puede comunicarse con ese SSO.
Las plataformas de orquestación de identidad pueden conectar los SSO con aplicaciones que no se integran de forma nativa. Las aplicaciones y el SSO se integran con la plataforma de orquestación de identidad, en lugar de entre sí directamente. Luego, la plataforma de orquestación de identidad maneja la comunicación entre los sistemas, lo que permite a las organizaciones reunir todas sus aplicaciones y activos bajo el mismo SSO independientemente de la compatibilidad.
Las organizaciones a menudo desean extender las nuevas medidas de seguridad, como la autenticación multifactor (MFA) o la autenticación sin contraseña a las aplicaciones heredadas. Sin embargo, estos esfuerzos de modernización pueden ser costosos y consumir mucho tiempo, y con frecuencia requieren personalizar el código y reemplazar totalmente el sistema.
La orquestación de identidades puede simplificar el proceso. Las organizaciones pueden utilizar las interfaces visuales de las plataformas de orquestación para diseñar flujos de trabajo de identidad que lleven las últimas herramientas de seguridad a las aplicaciones heredadas. Esto les permite integrar los activos basados en la nube y on-premises en una única arquitectura de confianza cero.
Las organizaciones necesitan visibilidad respecto al comportamiento de los usuarios para cumplir con las normativas tales como el Reglamento General de Protección de Datos (GDPR) o la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
Estas normativas exigen que las organizaciones apliquen políticas estrictas de control de acceso a datos confidenciales, como números de tarjetas de crédito e información de atención médica, y realicen un seguimiento de lo que los usuarios hacen con estos datos. Cuando los usuarios tienen múltiples identidades digitales, puede ser difícil asegurar que solo las personas indicadas accedan a los datos correctos por las razones correctas.
La orquestación de identidades puede ayudar a las organizaciones a cumplir con los requisitos de cumplimiento al facilitar el seguimiento del comportamiento de los usuarios y aplicar permisos de acceso coherentes. Algunas plataformas de orquestación también mantienen registros de flujos de trabajo de identidad, lo que puede ser útil en caso de una auditoría.