Saltar al contenido principal

¿Qué es la gestión de identidades y accesos (IAM)?

La gestión de identidades y accesos permite controlar la validación de los usuarios y el acceso a los recursos. Conocida comúnmente como IAM, esta tecnología garantiza que las personas adecuadas accedan a los recursos digitales adecuados en el momento adecuado y por las razones adecuadas.

Conceptos básicos de IAM

Para comprender IAM, debe conocer algunos conceptos fundamentales:
  • Un recurso digital es cualquier combinación de aplicaciones y datos en un sistema informático. Algunos ejemplos de recursos digitales son las aplicaciones web, las API, las plataformas, los dispositivos y las bases de datos.
  • El núcleo de IAM es la identidad. Alguien quiere acceder a su recurso. Puede ser un cliente, un empleado, un miembro, un participante, etc. En IAM, una cuenta de usuario es una . Las cuentas de usuario también pueden representar entidades no humanas, como software, dispositivos del Internet de las cosas o robots.
Diagrama sencillo que muestra a un usuario accediendo a un recurso
Diagrama sencillo que muestra que el sistema IAM controla el acceso de un usuario a un recurso
  • La autenticación es la verificación de una identidad digital. Alguien (o algo) se autentica para demostrar que es el usuario que dice ser.
  • La autorización es el proceso de determinar a qué recursos puede acceder un usuario.

La diferencia entre autenticación y autorización

Es común confundir la autenticación y la autorización porque, para los usuarios, parecen una sola experiencia. Son dos procesos distintos: la autenticación verifica la identidad de un usuario, mientras que la autorización concede o deniega su acceso a determinados recursos. Puedes pensar en la autenticación y la autorización como el sistema de seguridad de un edificio de oficinas. Los usuarios son las personas que quieren entrar al edificio. Los recursos a los que quieren acceder son las distintas áreas del edificio: pisos, salas, etc. Autenticación: Cuando entras al edificio, debes mostrar tu credencial con foto al guardia de seguridad. El guardia compara la foto de la credencial con tu rostro. Si coinciden, te deja pasar por la puerta para intentar acceder a distintas áreas del edificio. El guardia no te dice a qué salas puedes acceder; solo verifica que eres quien dices ser. Esto es autenticación: confirmar la identidad del usuario.
Diagrama que muestra cómo la autenticación es como un guardia de seguridad que revisa tu credencial en la puerta
Autorización: En este escenario, imagina que los ascensores y las puertas del edificio tienen sensores de acceso con llave. El chip de tu credencial te da acceso solo al primer piso, que es el que ocupa tu empresa. Si pasas tu credencial para entrar a cualquier otro piso, se te deniega el acceso. Puedes acceder a tu oficina privada, pero no a las de tus colegas. Puedes entrar al cuarto de suministros, pero no a la sala de servidores. Esto es autorización: conceder y denegar acceso a distintos recursos en función de la identidad.
Diagrama que muestra cómo la autorización es como una credencial que te da acceso solo a algunas salas de un edificio
Para obtener más información sobre autenticación y autorización, consulta Authentication vs. Authorization.

¿Qué hace IAM?

La gestión de identidades y accesos te da control sobre la validación de usuarios y el acceso a los recursos:
  • Cómo los usuarios pasan a formar parte de tu sistema
  • Qué información del usuario almacenar
  • Cómo pueden los usuarios demostrar su identidad
  • Cuándo y con qué frecuencia los usuarios deben demostrar su identidad
  • La experiencia de verificación de identidad
  • Quién puede y quién no puede acceder a distintos recursos
Integras IAM con tu aplicación, API, dispositivo, almacén de datos u otra tecnología. Esta integración puede ser muy sencilla. Por ejemplo, tu aplicación web podría depender por completo de Facebook para la autenticación y tener una política de autorización de todo o nada. Tu aplicación realiza una comprobación simple: si un usuario no ha iniciado sesión en Facebook en el navegador actual, lo diriges a hacerlo. Una vez autenticados, todos los usuarios pueden acceder a todo en tu aplicación. Es poco probable que una solución de IAM tan simple satisfaga las necesidades de tus usuarios, organización, sector o estándares de cumplimiento. En la práctica, IAM es complejo. La mayoría de los sistemas requieren alguna combinación de estas capacidades:
  • Experiencias fluidas de registro e inicio de sesión: Las experiencias de registro e inicio de sesión fluidas y profesionales se producen dentro de tu aplicación, con la apariencia y el lenguaje de tu marca.
  • Múltiples fuentes de identidades de usuario: Los usuarios esperan poder iniciar sesión con diversos proveedores sociales (como Google o LinkedIn), empresariales (como Microsoft Active Directory) y otros proveedores de identidad.
  • (MFA): En una época en la que las contraseñas suelen ser robadas, exigir una prueba adicional de identidad es el nuevo estándar. La autenticación por huella dactilar y las contraseñas de un solo uso son ejemplos de métodos de autenticación habituales. Para obtener más información, consulta Multi-Factor Authentication (MFA).
  • Autenticación reforzada: El acceso a capacidades avanzadas e información confidencial requiere una prueba de identidad más sólida que la necesaria para las tareas y los datos cotidianos. La autenticación reforzada requiere una verificación de identidad adicional para determinadas áreas y funciones. Para obtener más información, consulta Add Step-up Authentication.
  • : Evitar que los bots y los entren en tu sistema es fundamental para la ciberseguridad. Para obtener más información, consulta Attack Protection.
  • Control de acceso basado en roles (RBAC): A medida que crece el número de usuarios, gestionar el acceso de cada persona pronto deja de ser práctico. Con RBAC, las personas que tienen el mismo rol tienen el mismo acceso a los recursos. Para obtener más información, consulta Role-Based Access Control.
  • (FGA): Cuando necesitas más opciones para gestionar el acceso de los usuarios a tus recursos o tecnologías, puedes usar el control de acceso basado en relaciones para ir más allá del control basado en roles. Puedes dar a usuarios individuales acceso a determinados recursos y determinar la mejor solución para tu caso de uso específico. Para obtener más información, consulta What Is Fine-Grained Authorization?
Ante este nivel de complejidad, muchos desarrolladores recurren a una plataforma de IAM como Auth0 en lugar de crear sus propias soluciones.

¿Cómo funciona IAM?

“La gestión de identidades y accesos” no es un sistema claramente definido. IAM es una disciplina y un tipo de marco de referencia para resolver el reto del acceso seguro a los recursos digitales. No hay un único enfoque para implementar un sistema IAM. En esta sección se exploran elementos y prácticas habituales en las implementaciones más comunes.

Proveedores de identidad

En el pasado, el estándar para la gestión de identidades y accesos consistía en que cada sistema creara y administrara su propia información de identidad para sus usuarios. Cada vez que un usuario quería usar una nueva aplicación web, completaba un formulario para crear una cuenta. La aplicación almacenaba toda su información, incluidas las credenciales de inicio de sesión, y realizaba su propia autenticación cada vez que el usuario iniciaba sesión. A medida que internet creció y cada vez hubo más aplicaciones disponibles, la mayoría de las personas acumularon innumerables cuentas de usuario, cada una con su propio nombre de usuario y contraseña que recordar. Muchas aplicaciones siguen funcionando de esta manera. Pero muchas otras ahora dependen de para reducir la carga de desarrollo y mantenimiento, así como el esfuerzo de sus usuarios. Un proveedor de identidad crea, mantiene y administra información de identidad, y puede proporcionar servicios de autenticación a otras aplicaciones. Por ejemplo, Google Accounts es un proveedor de identidad. Almacena información de la cuenta, como tu nombre de usuario, nombre completo, cargo y dirección de correo electrónico. La revista digital Slate te permite iniciar sesión con Google (u otro proveedor de identidad) en lugar de tener que volver a introducir y almacenar tu información.
Captura de pantalla del inicio de sesión de la revista Slate
Los proveedores de identidad no comparten tus credenciales de autenticación con las aplicaciones que dependen de ellos. Slate, por ejemplo, nunca ve tu contraseña de Google. Google solo le hace saber a Slate que has demostrado tu identidad. Otros proveedores de identidad incluyen redes sociales (como Facebook o LinkedIn), proveedores empresariales (como Microsoft Active Directory) y proveedores de identidad legal (como Swedish BankID).

Factores de autenticación

Los factores de autenticación son métodos para demostrar la identidad de un usuario. Normalmente, se dividen en estos tipos básicos:
Tipo de factorEjemplos
Conocimiento (algo que sabes)PIN, contraseña
Posesión (algo que tienes)Teléfono móvil, dispositivo de clave de cifrado
Inherencia (algo que eres)Huella dactilar, reconocimiento facial, escaneo de iris
Los sistemas de IAM requieren uno o varios factores de autenticación para verificar la identidad.

Estándares de autenticación y autorización

Los estándares de autenticación y autorización son especificaciones y protocolos abiertos que ofrecen orientación sobre cómo:
  • Diseñar sistemas de IAM para gestionar identidades
  • Transferir datos personales de forma segura
  • Determinar quién puede acceder a los recursos
Estos estándares del sector de IAM se consideran los más seguros, fiables y prácticos de implementar:

OAuth 2.0

es un protocolo de delegación para acceder a API y el protocolo estándar del sector para IAM. Como protocolo de autorización abierto, OAuth 2.0 permite que una aplicación acceda a recursos alojados en otras aplicaciones web en nombre de un usuario sin compartir nunca sus credenciales. Es el estándar que permite a desarrolladores externos usar grandes plataformas sociales como Facebook, Google y Twitter para el inicio de sesión. Para obtener más información, consulte Marco de autorización de OAuth 2.0.

Open ID Connect

Una capa de identidad sencilla que se basa en OAuth 2.0, Connect (OIDC) facilita verificar la identidad de un usuario y obtener información básica del perfil del Proveedor de identidad. OIDC es otro protocolo de estándar abierto. Para obtener más información, consulte OpenID Connect Protocol.

JSON Web Tokens

(JWT) son un estándar abierto que define una forma compacta y autónoma de transmitir información de forma segura entre partes como un objeto JSON. Los JWT pueden verificarse y considerarse confiables porque están firmados digitalmente. Pueden utilizarse para transmitir la identidad de los usuarios autenticados entre el Proveedor de identidad y el servicio que solicita la autenticación. También pueden autenticarse y cifrarse. Para obtener más información, consulte JSON Web Tokens.

Lenguaje de Marcado para Aserciones de Seguridad (SAML)

(SAML) es un formato de datos abierto basado en XML que permite a las empresas comunicar información de autenticación y autorización de usuarios a empresas asociadas y a las aplicaciones empresariales que usan sus empleados. Para obtener más información, consulta SAML.

Federación de servicios web (WS-Fed)

Desarrollado por Microsoft y ampliamente utilizado en sus aplicaciones, este estándar define cómo los pueden transportarse entre distintas entidades para intercambiar información de identidad y autorización. Para obtener más información, consulte Web Services Federation Protocol.

¿Por qué usar una plataforma de IAM?

¿Por qué tantos desarrolladores eligen apoyarse en una plataforma de gestión de identidades y accesos en lugar de desarrollar su propia solución desde cero? Las expectativas de los usuarios, los requisitos de los clientes y los estándares de cumplimiento plantean importantes desafíos técnicos. Con múltiples fuentes de usuarios, factores de autenticación y estándares abiertos del sector, la cantidad de conocimientos y trabajo necesarios para crear un sistema de IAM típico puede ser enorme. Una plataforma de IAM sólida tiene soporte integrado para todos los Proveedores de identidad y factores de autenticación, ofrece API para facilitar la integración con su software y se basa en los estándares del sector más seguros para la autenticación y la autorización. Para quienes aún no han decidido si desarrollar o comprar una solución de IAM, Build vs. Buy: Guide to Evaluating Identity Management es un recurso útil.