(Re)Evaluar el acceso al lugar de trabajo y la federación
Una de las muchas dificultades a las que se han enfrentado las organizaciones ha sido cómo crear portabilidad, reutilización e interoperabilidad de identidades digitales desde el ámbito local a entornos cada vez más habilitados para servicios web. Uno de los enfoques más tempranos y más ampliamente adoptados ha sido SAML (o Security Assertion Markup Language) y la Federación de Identidades.
Breve historia de SAML y la federación de identidades
En términos más sencillos, SAML es la especificación y los protocolos de interoperabilidad, definidos en tres funciones:
- El Sujeto (o Principal), un usuario humano como un empleado
- El proveedor de identidades (IdP), una fuente de atributos de usuario e información sobre credenciales.
- El Proveedor de Servicios (SP), una aplicación, sistema o servicio al que el usuario quiere acceder.
La federación de identidades es la noción de portabilidad y reutilización de las identidades digitales. El objetivo final es permitir que los usuarios de un dominio accedan de forma segura a aplicaciones, datos y sistemas de manera fluida y sin gestión redundante de usuarios. Al igual que SAML, Web Services Federation (o WS-Fed) está estandarizada para garantizar la existencia de mecanismos que permitan la federación de diferentes dominios.
Tanto SAML como la federación de identidades han desempeñado un papel importante en la gestión del acceso de los trabajadores; sin embargo, ninguno de los dos especifica el método de autenticación utilizado por el proveedor de identidades.
La era de la nube, los desarrolladores y la capa de identidad que falta en Internet
A medida que los desarrolladores empezaron a construir rápidamente en infraestructuras de nube pública y plataformas móviles, se hizo evidente que las complejidades de la federación de identidades podían resolverse sin necesidad de dominios locales. Nacido de la necesidad de crear la capa de identidad que faltaba para la escala de Internet, comenzó el viaje de OpenID centrado en el usuario, al igual que la creación de OAuth, el protocolo estándar de la industria para la autorización. OAuth se centra en la simplicidad del desarrollador cliente al tiempo que proporciona flujos de autorización específicos para aplicaciones web, aplicaciones de escritorio, teléfonos móviles y muchos otros dispositivos conectados. El avance de la autorización fue seguido por OpenID Connect.
Introducción a OpenID Connect
OpenID Connect (OIDC) es un protocolo de federación basado en el marco OAuth 2.0 que habilita los servicios web para externalizar las funciones de autenticación a un tercero. Permite a los clientes corroborar la identidad de un usuario final basándose en autenticaciones realizadas por servidores de autorización, así como obtener información de perfil básica sobre el usuario final de forma interoperable y JSON/RESTful.
¿Por qué es importante OpenID Connect (OIDC)?
- OIDC permite a los propietarios y desarrolladores de aplicaciones autenticar a usuarios humanos en aplicaciones y sitios web sin tener que crear, gestionar y mantener identidades.
- Con OIDC, puede proporcionar un inicio de sesión único (SSO) y utilizar las cuentas empresariales o sociales existentes para acceder a las aplicaciones y, de este modo, mejorar la usabilidad, la seguridad y la privacidad.
- OIDC proporciona gestión del consentimiento, soporte para entornos híbridos y multi-nube, y también soporte para más tipos de clientes que los protocolos de federación desarrollados anteriormente.
- OIDC mejora la experiencia del usuario (UX) a través de una autenticación y autorización ligeras, una gestión del consentimiento detallada y una verificación añadida a través de métodos MFA.
- OIDC es un sustituto de SAML.
En WatchGuard, hemos estado desarrollando nuestro Identity Fabric en WatchGuard Cloud para adoptar estos nuevos estándares de autorización y protocolos de federación de identidades en nuestro camino hacia AuthPoint 2.0. Mientras tanto, obtén más información sobre cómo funciona OpenID Connect.
¿Quiere más información sobre la protección de las identidades digitales? Lee nuestra reciente entrada del blog: (Re)Imagine Workplace Access Management.