Lograr agilidad: Servicios de federación de identificación
En el pasado (estoy hablando de 2003, es decir, muy atrás en la era tecnológica) había muchas esperanzas y sueños de una experiencia de administración de identidad más fluida. Fue entonces cuando el lenguaje de marcado de aserción de seguridad (SAML) comenzó a ponerse de moda y a tener un uso destacado en el aprovisionamiento de identidad, especialmente para implementar soluciones de inicio de sesión único (SSO).
La gran preocupación en aquel entonces eran las cuentas huérfanas y la simplificación de la gestión de contraseñas. Si recuerdas, esta era la era de la webificación y SOA, cuando todo se estaba convirtiendo en una aplicação web. Tenía sentido, entonces, emplear un estándar nativo de la web para ayudar con los desafíos de gestión de identidad.
Resulta que ahora también tiene sentido.
Al fin y al cabo, hoy en día todo se está “nublizando”. Lo cual en realidad es una forma elegante de decir que todas tus aplicaciones web se están moviendo hacia afuera, a la “nube”. Los desafíos con el aprovisionamiento y la gestión (y para evitar cuentas huérfanas o acceso no autorizado) ahora se centran no sólo en los sistemas internos, sino también en los sistemas alojados externamente (basados en la nube).
Y esto lo confirman los resultados de nuestra encuesta sobre el estado de la entrega de aplicação de 2016. Cuando preguntamos sobre los desafíos que enfrentaban los encuestados con los entornos de nube híbrida (múltiple), las dos respuestas principales fueron la falta de análisis para ayudar a determinar dónde alojar una aplicação determinada (29%) y no haber identificado una solución integral de gestión de identidad (29%). Tal vez por eso, en lo más alto de los servicios planificados para su despliegue en 2016 se encontraba, redoble de tambores, la federación de identidades (26%).
La federación de identidad es en realidad la maduración (o evolución) de las soluciones diseñadas para respaldar el aprovisionamiento, la auditoría y la gestión automatizados de la identidad dentro de la empresa para incluir sistemas externos (fuera de las instalaciones, en la nube). La solución se basa en una “fuente autorizada de identidad”, similar a un DNS, con respecto a la cual se pueden gobernar las identidades específicas de cada aplicación. Esa fuente casi siempre está local, porque es el almacén de identidad corporativo (autorizado).
La federación de identidad luego aprovecha SAML para servir como intermediario para aplicações fuera del control de TI, como SaaS. El servicio de federación de ID media entre los usuarios y las aplicaciones a las que desean acceder y garantiza que cuando Bob intenta acceder a Office365, su identidad sigue siendo válida y está autorizada para acceder a la aplicação. Si no, RECHAZADO. De lo contrario, puede estar seguro de que pronto recibirá otra presentación de PowerPoint en su bandeja de entrada.
Según Osterman Research , el departamento de TI no es consciente de la necesidad de deshabilitar una cuenta durante 9 días después de que un usuario haya abandonado la organización . Descubrieron que, en promedio, el 5% de los usuarios de Active Directory ya no son empleados de la organización. Y tampoco ignore la parte "autorizada", ya que es un negocio riesgoso dado que la misma investigación encontró que el 19% de los empleados cambian su función o responsabilidades cada año, lo que puede cambiar su nivel de acceso.
Los servicios de federación de identificación también pueden proporcionar capacidades de SSO. Por ejemplo, puedo iniciar sesión en nuestro portal remoto (F5), iniciar sesión una vez y luego, a través de la magia de los servicios de federación de ID, iniciar automáticamente una serie de aplicações web diferentes, algunas de ellas locales y otras SaaS. Me conecto una vez y no tengo que preocuparme por ello nuevamente.
Y el departamento de TI tampoco, porque están verificando mi función, mis niveles de acceso y mi validez frente a la fuente autorizada. Siempre está actualizado, no 9 días después, porque los cambios no tienen que propagarse a través de algún proceso manual o asistido por web. Eso significa mejoras de productividad no solo para mí, sino también para el pobre personal de TI que de lo contrario estaría sentado todo el día verificando cambios usando una hoja de cálculo de Excel que alguien de SaaS-1 y SaaS-2 envió por correo electrónico ese mismo día. Y sí, en realidad así es como funcionaba antes de que SAML se convirtiera prácticamente en el estándar de facto para la federación de identificaciones de SaaS de nivel corporativo.
Pero no te obsesiones pensando que SAML es sólo para aplicaciones de “usuario” como DropBox, SFDC y Office365. También es una herramienta muy valiosa para gobernar los sistemas basados en la nube a los que TI tiene acceso. Imaginemos, por ejemplo, que tenemos personas que gestionan instancias, accesos y servicios en AWS. Esto sucede (la mayoría de las veces) a través del portal de administración de AWS. Un portal que puede gobernarse a través de un servicio de federación de ID .
Las mismas razones por las que querría controlar el acceso a Office365 desde una fuente centralizada y autorizada son válidas para controlar el acceso a los sistemas que administran su infraestructura en la nube. No desea que personas que ya no están empleadas tengan acceso a ese sistema, ni tampoco desea esperar 9 días antes de que se cancele el acceso. Eliminar el riesgo y mejorar el flujo de trabajo de aprovisionamiento mediante la integración y automatización mediante SAML es como una oferta BOGO (compre uno y llévese otro gratis) en su tienda favorita.
Los servicios de ID Federation no solo mejoran la productividad y reducen el riesgo, sino que también pueden reducir los costos operativos al eliminar la necesidad de ejecutar procesos manuales costosos (que requieren supervisión) cada vez que alguien se separa de la empresa o cambia de roles o responsabilidades.
Esta capacidad, en última instancia, mejora la agilidad, lo que significa que TI puede adaptarse mejor, respaldar y habilitar iniciativas comerciales. Cuando la TI ya no está atada a largos procesos manuales o integraciones personalizadas, puede cambiar sistemas con mayor facilidad y rapidez y garantizar la coherencia en la aplicación de políticas sin tener que pasar por muchos obstáculos. Esto significa que las empresas pueden migrar, agregar y eliminar sistemas y aplicaciones según sea necesario sin que el departamento de TI tenga que "conectar" manualmente todas las partes móviles necesarias para garantizar el cumplimiento y el acceso.
Los servicios de federación de identidades son cada vez más valiosos como herramienta no solo para facilitar la vida de los usuarios con SSO y el acceso federado, sino también para mejorar la agilidad, reducir el riesgo y disminuir los costos operativos asociados con la gestión del creciente número de aplicaciones que necesitamos usar todos los días en las instalaciones y en la nube.
¿Quieres profundizar en los detalles de SAML? Echa un vistazo a esta lección de Lightboard sobre SAML de nuestro propio John Wagnon .