Acerca de las cookies en este sitio Nuestros sitios web requieren algunas cookies para funcionar correctamente (obligatorio). Además, se pueden usar otras cookies con su consentimiento para analizar el uso del sitio, mejorar la experiencia del usuario y para publicidad. Para obtener más información, revise sus opciones de. Al visitar nuestro sitio web, usted acepta nuestro método de procesamiento de información tal como se describe en ladeclaración de privacidad de IBM. Para proporcionar una navegación fluida, sus preferencias de cookies se compartirán entre los dominios web de IBM enumerados aquí.
Inicio
Temas
Orquestación de identidades
¿Qué es la orquestación de identidades?
Publicado: 4 de abril de 2024
Colaboradores: Matthew Kosinski, Amber Forrest
La orquestación de identidades es una solución de software para coordinar sistemas dispares de gestión de identidad y acceso (IAM) de múltiples proveedores de identidad en flujos de trabajo sin fricciones.
En la era de la transformación digital, las organizaciones están adoptando más soluciones de software como servicio (SaaS), cambiando a entornos híbridos multinube y adoptando el trabajo remoto. Los ecosistemas de TI corporativos actuales contienen una combinación de múltiples proveedores de aplicaciones y activos basados en la nube y on premises, que prestan servicio a diversos usuarios, desde empleados y contratistas hasta asociados y clientes.
Según un informe, el departamento comercial promedio emplea 87 aplicaciones SaaS diferentes..1 Estas aplicaciones suelen tener sus propios sistemas de identidad, que podrían no integrarse fácilmente entre sí. Como resultado, muchas organizaciones se enfrentan a ámbitos de identidad fragmentados y experiencias de usuario engorrosas.
Por ejemplo, un empleado podría tener cuentas separadas para el sistema de gestión de tickets de la empresa y el portal de gestión de relaciones con el cliente (CRM). Esto puede dificultar una tarea simple, como resolver tickets de atención al cliente. El usuario debe lidiar con diferentes identidades digitales para obtener los detalles de los tickets de un sistema y los registros de clientes pertinentes a otro.
Mientras tanto, los equipos de TI y ciberseguridad se esfuerzan por realizar un seguimiento de la actividad de los usuarios y aplicar políticas coherentes de control de acceso en toda la red. En el ejemplo anterior, el empleado puede acabar teniendo más privilegios de los que necesita en el sistema de gestión de proyectos, mientras que sus permisos de CRM son demasiado bajos para acceder a los registros de los clientes a los que atiende.
El software de orquestación de identidades ayuda a optimizar la gestión de identidades y accesos mediante la organización de distintos servicios de identidad y autenticación en flujos de trabajo cohesivos y automatizados.
Todas las herramientas de identidad de una empresa se integran con el software de orquestación, que crea y gestiona conexiones entre ellas. Esta capacidad permite a la organización crear una arquitectura de IAM personalizada, como sistemas de inicio de sesión único (SSO) independientes del proveedor, sin reemplazar ni rediseñar los sistemas existentes.
Volviendo al ejemplo anterior, la organización puede emplear una plataforma de orquestación de identidades para conectar las cuentas de los empleados en los sistemas de gestión de tickets y CRM a una plataforma SSO y vincularlo todo a un directorio central de usuarios. De esta manera, los usuarios pueden iniciar sesión en el SSO una vez para acceder a ambas aplicaciones, y el directorio central verifica automáticamente sus identidades y aplica los permisos de acceso correctos para cada servicio.
La identidad se convirtió en un vector de ataque líder. Descubra cómo las organizaciones pueden combatir los ataques basados en identidad y optimizar la experiencia del usuario mediante la orquestación de identidades.
En tecnología de la información, la orquestación es el proceso de conectar y coordinar herramientas dispares para automatizar flujos de trabajo complejos de varios pasos. Por ejemplo, en el ámbito de la orquestación de la seguridad, una organización podría unir una puerta de enlace de correo electrónico segura, una plataforma de inteligencia de amenazas y un software antimalware para crear un flujo de trabajo automatizado de detección y respuesta al phishing.
La orquestación de identidades conecta y coordina las capacidades de herramientas de identidad dispares para crear flujos de trabajo de identidad unificados y optimizados.
Las herramientas de identidad son aquellas que emplea una organización para definir, gestionar y proteger las identidades de los usuarios, como los sistemas de verificación de identidad y las plataformas de gestión de identidad y acceso de los clientes.
Los flujos de trabajo de identidad son los procesos por los que los usuarios se mueven a través de las herramientas de identidad. Algunos ejemplos de flujos de trabajo de identidad son el inicio de sesión de los usuarios, la incorporación y el aprovisionamiento de cuentas.
Las herramientas de identidad no siempre se integran fácilmente, en especial cuando las organizaciones tratan con herramientas SaaS alojadas en diferentes nubes o intentan cerrar las brechas entre los sistemas on premises y basados en la nube. Las plataformas de orquestación de identidades pueden conectar estas herramientas incluso cuando no están diseñadas para integrarse.
Las plataformas de orquestación de identidades actúan como planos de control central para todos los sistemas de identidad de una red. Cada herramienta de identidad se integra con la plataforma de orquestación, creando una arquitectura de identidad integral llamada tejido de identidad.
Las organizaciones no tienen que codificar de manera rígida ninguna de estas integraciones. En cambio, las plataformas de orquestación emplean una combinación de conectores prediseñados, interfaces de programación de aplicaciones (API) y estándares comunes, como SAML y OAuth para gestionar las conexiones entre herramientas.
Una vez que los sistemas de identidad están entrelazados en un tejido de identidad, la organización puede emplear la plataforma de orquestación para coordinar sus actividades y controlar cómo se mueven los usuarios entre las herramientas durante los flujos de trabajo de identidad. Y lo que es más importante, la plataforma de orquestación desvincula la autenticación y la autorización de las aplicaciones individuales, lo que hace posibles flujos de trabajo de identidad complejos.
Como se mencionó anteriormente, es posible que los diferentes sistemas de identidad no se comuniquen entre sí en ausencia de una solución de orquestación. Si, por ejemplo, una organización emplea una herramienta de gestión de relaciones con los clientes (CRM) y un sistema de gestión de documentos (DMS) de proveedores independientes, es posible que cada aplicación tenga su propio sistema de IAM.
Los usuarios deben mantener cuentas separadas en cada aplicación. Para acceder a cualquiera de las aplicaciones, los usuarios iniciarían sesión directamente en ese servicio. La autenticación y la autorización se producirían dentro del sistema IAM distinto de cada aplicación y no se transferirían entre aplicaciones.
Con una solución de orquestación, las cosas son diferentes. Cuando un usuario accede a cualquiera de las aplicaciones, la solicitud pasa primero por la solución de orquestación. La solución dirige la solicitud al servicio adecuado de comprobación de identidad y control de acceso, que puede ser un directorio central fuera de cualquiera de las dos aplicaciones.
Una vez que el directorio central autentica y autoriza al usuario, la plataforma de orquestación activa la aplicación para permitir que el usuario ingrese con los permisos correctos.
Flujos de trabajo de identidad
Para implementar la orquestación de identidades en la práctica, las organizaciones emplean plataformas de orquestación de identidades para crear flujos de trabajo de identidades. También llamados "recorridos del usuario", los flujos de trabajo de identidad son procesos que dictan cómo un usuario se mueve a través de las herramientas de identidad, y cómo interactúan esas herramientas, en situaciones definidas, como al iniciar sesión en una aplicación.
Los flujos de trabajo pueden ser sencillos o relativamente complejos, con lógica condicional y rutas de ramificación. Pueden involucrar muchos sistemas diferentes, incluidos algunos que no se consideran estrictamente herramientas de identidad, como servicios de correo electrónico y sitios de redes sociales.
Las soluciones de orquestación de identidades permiten a las organizaciones crear recorridos de usuario sin escribir ningún código nuevo. Estas soluciones tienen interfaces visuales, sin código, de arrastrar y soltar que pueden definir eventos, conectar herramientas de identidad y construir rutas de usuario.
Para comprender qué son los flujos de trabajo de identidad, puede resultar útil ver un ejemplo. A continuación, se muestra un flujo de trabajo hipotético de incorporación e inicio de sesión de nuevos empleados que una organización puede construir a través de una plataforma de orquestación.
- En primer lugar, el nuevo empleado crea una cuenta en un portal de recursos humanos de autoservicio. Esto activa el flujo de trabajo de incorporación para comenzar.
- La plataforma de orquestación de identidades activa la creación de una identidad de usuario única para el nuevo empleado en el servicio de directorio central de la organización. Al nuevo empleado también se le asigna automáticamente un conjunto de privilegios de acceso basados en roles.
- Luego, la plataforma de orquestación aprovisiona cuentas para el nuevo empleado en todos los servicios relevantes, incluidas las aplicaciones que usarán en el trabajo y los sistemas administrativos, como el software de nómina. Estas cuentas están asociadas con la identidad de usuario principal del nuevo empleado en el directorio central.
- Ahora que el empleado está en el sistema, puede iniciar sesión en su aplicación de correo electrónico corporativo. En lugar de ir directamente a través de la aplicación de correo electrónico, la solicitud de inicio de sesión va a la plataforma de orquestación.
- La plataforma de orquestación enruta la solicitud a través de un sistema de detección de fraudes, en busca de signos de comportamiento sospechoso. Debido a que este nuevo empleado está iniciando sesión en su cuenta de correo electrónico por primera vez, se marca como de mayor riesgo.
- A continuación, la solicitud de inicio de sesión se envía a la plataforma SSO de la organización. Debido a que el nuevo empleado se marcó como de mayor riesgo, se activa la autenticación adaptativa. El nuevo empleado debe usar autenticación multifactor (MFA) para ingresar a su cuenta.
- El nuevo empleado completa los desafíos de autenticación, y es autenticado y autorizado por el directorio central. La plataforma de orquestación transmite esta información a la plataforma SSO, que permite que el nuevo empleado acceda a su cuenta de correo electrónico (y a todas las demás aplicaciones detrás del SSO) con los privilegios adecuados.
Si bien hay bastantes pasos aquí, vale la pena señalar que todo esto ocurre automáticamente en segundo plano sin que el usuario se dé cuenta. La plataforma de orquestación monitorea el proceso de principio a fin. Además, los inicios de sesión futuros son aún más ágiles. El usuario inicia sesión en el SSO, que ahora lo reconoce y le otorga acceso a todo lo que necesita.
Las plataformas de orquestación de identidades no reemplazan los sistemas de identidad existentes. Crean conexiones entre estos sistemas, lo que permite que varias aplicaciones y herramientas funcionen juntas, incluso si no fueron diseñadas para ello. Esta funcionalidad puede ayudar a las organizaciones a abordar algunos problemas comunes.
Muchas organizaciones emplean múltiples proveedores de nube y herramientas on premises de diferentes proveedores. Cuando estos sistemas no se integran, las organizaciones pierden visibilidad del comportamiento de los usuarios en la red. Los equipos de TI y seguridad no pueden rastrear a un solo usuario entre Microsoft Azure y Amazon Sitio web Services, por ejemplo, porque usan cuentas separadas para cada nube.
Este escenario fragmentado también puede dificultar el cumplimiento de políticas de acceso congruentes y controles de seguridad en todas las aplicaciones y activos de una empresa.
Estas brechas en la visibilidad y la seguridad crean oportunidades para que los hackers y los usuarios internos maliciosos causen estragos sin ser detectados. Hay mucho en juego cuando se trata de sistemas de identidad, que son los principales objetivos de los delincuentes cibernéticos. Según el X-Force Threat Intelligence Index, los ataques cibernéticos que emplean credenciales robadas o comprometidas aumentaron en un 71 % entre 2022 y 2023.
Las organizaciones pueden evitar hipotéticamente los silos de identidad empleando solo herramientas de un proveedor o diseñadas para integrarse. Sin embargo, eso significaría que la organización no siempre sería libre de elegir las herramientas adecuadas para el trabajo.
La orquestación de identidades puede eliminar los silos de identidad y restaurar la visibilidad sin cambios masivos en los sistemas existentes. Las organizaciones pueden crear directorios centralizados para admitir una única identidad digital para cada usuario, lo que permite a la empresa rastrear el comportamiento y detectar amenazas en tiempo real en todas las aplicaciones y activos. Las empresas también pueden emplear la orquestación para aplicar controles de acceso uniformes en toda la red.
Además, las plataformas de orquestación de identidades pueden centralizar la gestión del ciclo de vida de las identidades para todo tipo de usuarios, incluidos empleados, clientes y más. Las organizaciones pueden llevar controles sólidos de ciberseguridad a los activos orientados al consumidor sin interrumpir la experiencia del cliente.
El SSO permite a los usuarios iniciar sesión en varios sistemas con un conjunto de credenciales, pero es posible que cada plataforma SSO no sea compatible con todas las aplicaciones y activos de una empresa. Esto se debe a que los diferentes SSO pueden usar diferentes estándares, como SAML u OIDC, para intercambiar información de autenticación entre sistemas. Si una aplicación o un recurso no puede usar el mismo estándar que un SSO determinado, no puede comunicarse con ese SSO.
Las plataformas de orquestación de identidad pueden conectar los SSO con aplicaciones que no se integran de forma nativa. Las aplicaciones y el SSO se integran con la plataforma de orquestación de identidad, en lugar de entre sí directamente. Luego, la plataforma de orquestación de identidad maneja la comunicación entre los sistemas, lo que permite a las organizaciones reunir todas sus aplicaciones y activos bajo el mismo SSO independientemente de la compatibilidad.
Las organizaciones a menudo desean extender nuevas medidas de seguridad, como MFA o autenticación sin contraseña, a aplicaciones heredadas. Sin embargo, estos esfuerzos de modernización pueden ser costosos y llevar mucho tiempo, y a menudo requieren un código personalizado o un reemplazo total del sistema.
La orquestación de identidades puede simplificar el proceso. Las organizaciones pueden emplear las interfaces visuales de las plataformas de orquestación para diseñar flujos de trabajo de identidad que lleven las últimas herramientas de seguridad a las aplicaciones heredadas. Esto permite a una organización unir activos basados en la nube y locales en una única arquitectura de confianza cero.
Las organizaciones necesitan visibilidad del comportamiento de los usuarios para cumplir con regulaciones, como el Reglamento General de Protección de Datos (RGPD) o la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
Estas regulaciones requieren que las organizaciones apliquen políticas estrictas de control de acceso a datos confidenciales, como números de tarjetas de crédito e información de atención médica, y realicen un seguimiento de lo que hacen los usuarios con estos datos. Cuando los usuarios tienen múltiples identidades digitales, puede ser difícil garantizar que solo las personas adecuadas accedan a los datos correctos por las razones correctas.
La orquestación de identidades puede ayudar a las organizaciones a cumplir con los requisitos de cumplimiento al facilitar el seguimiento del comportamiento de los usuarios y aplicar permisos de acceso coherentes. Algunas plataformas de orquestación también mantienen registros de flujos de trabajo de identidad, lo que puede ser útil en caso de una auditoría.
Soluciones relacionadas
La familia IBM® Security Verify proporciona capacidades on premises, automatizadas y basadas en la nube para gestionar la gobernanza de identidades, la fuerza laboral, la identidad y el acceso de los consumidores y controlar las cuentas privilegiadas.
IBM Security Verify proporciona los componentes básicos que pueden permitir que los clientes creen un tejido de identidades eficaz, compuesto tanto por soluciones de IBM como de terceros.
Optimice los esfuerzos de IAM con expertos en identidad y seguridad para ayudarle a definir y gestionar soluciones en entornos de nube híbrida, transformar los flujos de trabajo de gobernanza y demostrar el cumplimiento.
Recursos
La gestión de identidad y acceso (IAM) es la disciplina de ciberseguridad que se ocupa de cómo acceden los usuarios a los recursos digitales y qué pueden hacer con esos recursos.
IBM encargó a Forrester Consulting un estudio Total Economic Impact (TEI) en el que se examinara el posible retorno de la inversión (ROI) que las organizaciones pueden obtener al desplegar IBM Security Verify como una solución de identidad como servicio (IDaaS) junto con su infraestructura de IAM on premises.
Para resolver los desafíos de identidad creados por los entornos híbridos actuales, las empresas necesitan una solución versátil que complemente las soluciones de identidad existentes y, al mismo tiempo, integre de manera efectiva varios silos de gestión de identidad y acceso (IAM) en un todo cohesivo.
Notas de pie de página
1 2023 State of SaaS Trends (enlace externo a ibm.com), Productiv, 21 de junio de 2023
