Crisis de Identidad (Gestión) (Parte 4): Seleccionando una solución de Administración de Identidad completa.

Introducción
De la 1ra a la 3ra parte de esta serie de artículos, hicimos un vistazo a la evolución del concepto de “Identidad”, conceptos erróneos acerca de la identidad en el mundo de las TI, y algunas soluciones de  administración de identidad actuales, con un enfoque en firmas digitales. En este artículo, la 4ta entrega, vamos a mirar más de cerca los criterios para la la elección de un solución de identidad integral de gestión  para una organización o una solución de administración de identidad.

Una misma talla no nos sirve a todos
El objetivo de un sistema de gestión de identidad es para garantizar que sólo los usuarios autenticados y autorizados tengan acceso a los recursos de la red. Un sistema de gestión de identidades puede automatizar este proceso tanto como sea posible y permitir el auto-servicio por los usuarios (por ejemplo, la capacidad para restablecer sus propias contraseñas).
Hay un gran número de soluciones de gestión de identidad disponibles de diferentes fabricantes, algunos más sofisticados (y caros) que otros. No hay una manera “correcta” del sistema que se adapte a las necesidades de cada organización. En la selección de una solución para su organización, usted deberá tener en cuenta:
Ámbito de aplicación (gestión de la identidad a través de una sola organización o una gran federación).

  • Conjunto de características (sencillez frente a un control más granular).
  • Facilidad de implementación.
  • Escalabilidad.
  • Presupuesto

El primer paso es definir exactamente lo que quieres que haga el sistema. En un sistema federado, se establece la confianza entre y a través de diferentes organizaciones. El sistema puede proporcionar inicio de sesión único (SSO) por el cual los usuarios pueden iniciar sesión en el proveedor de identidad y acceder a recursos en cualquier lugar dentro de la relación de confianza sin tener que iniciar sesión en múltiples sistemas (siempre que la cuenta tenga los permisos de acceso a los recursos). Esto permite que las organizaciones de la federación puedan compartir servicios con unos o más usuarios.
Hay tantos sistemas de gestión de indentidad de código abierto como soluciones propietarias de sistemas para su uso dentro de las organizaciones. En el conjunto de la función más completa, el despliegue más complejo y la administración del sistema será, lo que trae la necesidad de mano de obra capacitada / personal capacitado y/o contratación de especialistas para configurar el sistema.

Características del sistema de Administración de Identidad
La mayoría de los sistemas de Gestión de Identidad (IDM) proporcionarán características estándar en algunas o todas de las siguientes categorías:

  • Aprovisionamiento, desaprovisionamiento y gestión de cuentas de usuario.
  • La sincronización de contraseñas y atributos.
  • Inicio de sesión único corporativo.
  • Federación.
  • Acceso a la gestión.
  • Reglas basadas en el aprovisionamiento y la gestión.
  • Roles basados en funciones de aprovisionamiento y de gestión.
  • Administración basada en políticas.
  • Reportes.
  • Integración con DLP (Prevención de fuga de datos).

Todas las soluciones proporcionará un repositorio centralizado para almacenar la información de identidad, y la mayoría con asistentes (tal vez con otro nombre) para simplificar el proceso de gestión. Si usted tiene un entorno heterogéneo, usted querrá una solución que soporte diferentes tipos de directorios, bases de datos, sistemas operativos y aplicaciones. Usted también querrá para determinar qué tipos de autenticación son compatibles (contraseñas, datos biométricos, tokens).
Auditoría y presentación de informes a menudo se pasan por alto, pero son características de vital importancia. Pueda que tenga que ser capaz de personalizar los informes, por lo que una solución que le permite hacer esto sin conocimientos de programación es altamente deseable.

Arquitectura del sistema de Administración de Identidad
La Arquitectura de un sistema de IDM comienza con fuentes de información. Esto incluye a los usuarios del sistema, los roles que ocupan en la organización, confianza que se extienden por las organizaciones y las políticas que definen cómo se relacionan las reglas de identidad con acceso a los recursos. Gestión de la identidad se basa en los servicios de directorio, que funcionan como depósitos de datos sobre los usuarios y de sus identidades. Además de las funciones, la autorización granular pueden utilizar los atributos de usuario como la duración del tiempo empleado, la educación/militar o de otro tipo de pre-empleo de fondo, y así sucesivamente. Por lo tanto la base de datos del directorio debe ser personalizable, con un esquema extensible.

Los mecanismos por los que se procesa esta información incluyen la autenticación y autorización, el procesamiento de las reglas, el flujo de trabajo y de cómo las tareas de gestión de identidades se integran con otros procesos como el cumplimiento y la gobernabilidad. Todo esto se logra mediante aplicaciones específicas que realizan el aprovisionamiento de cuentas de usuario y desaprovisionamiento, self-service, de la información de sesión único, la auditoría y, así sucesivamente. Los usuarios deben ser capaces de realizar tareas de autoservicio fácilmente, desde cualquier lugar, y los administradores deben ser capaces de gestionar de forma remota el sistema de IDM. Aplicaciones de servicios Web pueden permitir el acceso al sistema a través de un portal web. Las aplicaciones que componen la solución IDM incluyen servicios web, servicios de directorios, bases de datos y las aplicaciones propias de IDM. Estas aplicaciones se basa en protocolos estándar (HTTP / HTTPS, XML, LDAP, SQL, etc.)
La alta disponibilidad es un requisito importante para un sistema de gestión de identidades, ya que su función es vital para permitir a los usuarios acceder a los recursos necesarios para hacer su trabajo. Por lo tanto replicación de directorios. La fiabilidad de la información también es clave, lo que significa la sincronización de directorios debe ser tomada en cuenta. Finalmente, el rendimiento es importante para evitar la frustración del usuario y la desaceleración del flujo de trabajo empresarial.

Vendedores de IDM
Las populares soluciones IDM son comercializados por:

  • Microsoft
  • HP
  • IBM
  • California
  • Courion
  • Novell
  • Oráculo
  • SAP
  • Siemens

y muchos otros. Vamos a mirar más de cerca los cuatro primeros en las siguientes secciones.

Soluciones de Identidad de Microsoft
Muchas tiendas de Windows, naturalmente, miran hacia Microsoft que fue el primero en considerar las soluciones IDM. Servicios de Active Directory incluye IDM integrados. Active Directory Federation Services (ADFS) se incluyó por primera vez en Windows Server 2003 R2. Se integra con Active Directory Domain Services, que se utiliza como un proveedor de identidad. El esquema de AD se amplió para apoyar operaciones de búsqueda directa de las identidades de UNIX en Active Directory Domain Services, con la adición de la ficha de Atributos UNIX en el complemento Usuarios y Equipos de Active Directory de la consola de gestión cuando se ejecuta Servidor para NIS en un controlador de dominio. AD FS es una función de servidor en Windows Server 2008 y Server 2008 R2. Con AD FS, dos organizaciones diferentes pueden crear fideicomisos a través de los servidores de federación que autentican los usuarios a través del Active Directory y la emisión y validación de las fichas.

Hay muchos paquetes de software de terceros de IDM que están diseñados para trabajar con Active Directory para ampliar las capacidades de IDM, como el NetWrix Identity Management Suite, Adaxes Softera y productos de Centrify.
Microsoft ha sacado varias versiones de su propia solución IDM por separado. Microsoft Identity Integration Server (MIIS) surgió a partir de Microsoft Metadirectory Server (MMS) y fue lanzado en el 2003. En el 2007, el nombre fue cambiado a Identity Lifecycle Manager (ILM), y luego en el 2010 se transformó una vez más, en Forefront Identity Manager (FIM). El FIM está diseñado para integrarse con Active Directory y Exchange y herramientas familiares. Los usuarios pueden tomar ventaja de auto-servicio a través de Outlook y los administradores pueden gestionar las identidades a través de una interfaz basada en SharePoint.
FIM contruido sobre ILM, se basa en la combinación de gestión de identidad con la gestión de los certificados y tarjetas inteligentes que proporciona la capacidad para administrar identidades de manera más eficiente en toda la empresa. Las organizaciones pueden combinar la información de identidad de diferentes directorios y sistemas como sincronizar las cuentas de usuario a través de esos sistemas, y la creación de una libreta de direcciones para servir a varios bosques. Cuando los usuarios cambian sus roles, su información se puede actualizar automáticamente de forma que tienen los derechos de acceso correctos para sus nuevas funciones. El FIM le permite crear políticas centralizadas y hace que sea más fácil de automatizar y hacer cumplir las políticas de identidad. Hay conectores de integración con bases de datos que no son de Microsoft, directorios y sistemas operativos, tales como Oracle, SAP, Novell, Sun, Lotus Notes y otros.
Para más información sobre la FIM, consulte como Comprender  FIM 2010.

Soluciones de Identidad de HP
Hewlett-Packard entró en el juego de gestión de identidad en el 2004, cuando añade la función de su sistema de gestión de red OpenView a través del software adquirido, TruLogica. OpenView fue renombrado en 2007 y poco después suspendido por HP Select Access, la Federación y los productos de identidad se descontinúan, a pesar de que seguirá apoyando estos productos hasta el año 2013.
HP ahora ofrece administración de identidades y acceso, como un servicio. Su oferta incluye IAM de ciclo de vida de gestión de identidad con la flexibilidad para utilizar una variedad de credenciales diferentes, incluyendo certificados, tokens y sistemas biométricos. También incluye servicios de federación, la gestión del directorio y de gestión de acceso, con información y servicios de auditoría.

Soluciones de Identidad de IBM
IBM proporciona IDM como parte de su suite de productos de gestión Tivoli. El Tivoli Identity Manager está basado en roles y  políticas  y se integra tanto en gestión de identidades como acceso. Es una solución muy completa que soporta auto-servicio y cuenta con características tales como el aprovisionamiento de bucle cerrado de usuarios (para detectar y corregir las discrepancias entre el acceso aprobado y privilegios locales) y la separación de funciones (para evitar conflictos de acceso de usuario).
Tivoli Identity Manager es compatible con un número de diferentes plataformas, incluyendo Windows Server, SUSE y Red Hat servidores Linux Enterprise, Sun Solaris y AIX de IBM propio curso. Se integra con los sistemas ERP y una amplia variedad de aplicaciones de negocios populares. Usted puede averiguar más sobre él aquí.
 
Soluciones de Identidad de CA
CA Technologies ofrece un producto llamado IDM CA Identity Manager que se han probado con las poblaciones de usuarios de hasta 100 millones de usuarios internos y externos, en una serie de escenarios diferentes (agencia del gobierno, empresa de comercio electrónico, establecimientos al por menor). Incluye las características habituales de aprovisionamiento automatizado y procesos, self-service y el papel y análisis de políticas y control. Está diseñado para trabajar con otras soluciones de CA, tales como Compliance Manager, un módulo de informes de actividad del usuario y así sucesivamente. También es compatible con conectores de Active Directory, SAP y bases de datos de Salesforce.com, y utiliza su propio directorio, CA Directory, que trabaja con otros servidores LDAP.
El Directorio de CA utiliza una tecnología de almacenamiento de memoria asignada que se llama DXgrid, para ofrecer una mayor escalabilidad y mejor rendimiento. La idea es utilizar la ruta más corta y búsqueda en paralelo entre los servidores. También hay una serie de mejoras de fiabilidad, como write-through (en lugar de escritura en segundo) de reparto de carga y conmutación por error.
CA también ofrece IdentityMinder como un servicio, basado en la nube con despliegue de su solución de aprovisionamiento para las aplicaciones basadas en la nube. Esto es parte de un conjunto completo de servicios en la nube llamada CloudMinder que incluyen CA AuthMinder as-a-Service, RiskMinder como servicio y FedMinder as-a-Service. Este documento técnico analiza la estrategia de CA y la visión sobre la identidad y la gestión de acceso para la nube.

Comparación de soluciones de Gestión de Identidad
La selección de una solución de gestión de la identidad requiere una comparación inteligente de características y funcionalidad en el contexto de las necesidades de su organización, preferencias y presupuesto. Algunas consideraciones incluyen:

  • ¿Es la solución de  identidad construida sobre una plataforma de flujo de trabajo?
  • ¿La solución de identidad está construida sobre una plataforma basada en roles?
  • ¿La solución de identidad está construida sobre una plataforma basada en políticas?
  • ¿Es lo suficientemente escalable para satisfacer sus necesidades en el futuro, así como el presente?
  • ¿Puede integrar fácilmente y gestionar múltiples directorios?
  • ¿Funciona en todos los sistemas operativos y aplicaciones implementadas en su organización?
  • ¿Le proporciona a las organizaciones servicios de identidad federados a través de sesión única?
  • ¿Le proporciona el auto-servicio para el restablecimiento de contraseña al usuario?
  • ¿Es compatible con  múltiples métodos de autenticación de terceros?
  • ¿Es fácil de personalizar sin necesidad de programación?
  • ¿Tiene una interfaz amigable, personalizable por el usuario?
  • ¿Incluye la auditoría integral y elaboración de informes, incluyendo personalización de informe, así como informes preconfigurados?

Resumiendo
La selección de una solución de IDM requiere un análisis cuidadoso de los patrones de flujo de trabajo de la organización, las consideraciones de seguridad, roles de usuario, los requisitos de cumplimiento, y mucho más. No sólo debe tener en cuenta el estado actual, debe tener en cuenta también los planes y metas para el futuro (como un movimiento hacia la nube). Una arquitectura de IDM básica se basa en una base de escalabilidad, fiabilidad y alta disponibilidad para las funciones clave, tales como el aprovisionamiento de cuentas de usuario, autenticación, autorización y gestión de acceso.

En la 4ta parte de esta serie, hablamos de las características de la solución de IDM y la arquitectura, las soluciones específicas de IDM populares disponibles en la actualidad, y una lista de comprobación para la evaluación de soluciones IDM. En la 5ta parte, vamos a discutir el futuro de la gestión de identidades con un enfoque especial sobre el efecto de la nube en el IDM.

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.

La quinta parte se entregará proximamente.
Hasta la próxima….

Acerca de Quique

Posee en sociedad una consultora que brinda soporte y consultoría en Seguridad Informática, Consultoría en ISO 27001:2005 y Soporte/Proyectos en plataforma Microsoft. Ha realizado implementaciones de productos Microsoft en empresas pequeñas, medianas y grandes (más de 1000 Pc). Ha participado en proyectos de gran envergadura de productos Ms Exchange 2003/2007/2010, ISA Server y Forefront TMG 2010, Terminal Server y migraciones de MS Windows 2003/2008/2008R2, Ms Exchange 2003, 2007 y 2010, System Center Operation Manager y Sharpoint. Disertante de Webcast de Technet Microsoft. Brinda asesoramiento sobre seguridad y normalización en estándares COBIT, SOX,PCI, ISO 17799:2005, ISO 20000 y 27001:2005 e ITIL. Consultado como Perito Informático en juicios laborales. Caso de éxito de migración de plataforma Linux a Microsoft en servidores de correo, validación de usuarios y servidor de archivos. - Miembro de Criptored, INETA, Internet Security e ISACA. - Disertante en eventos de Microsoft Technet. - MVP Windows Security año 2006, 2007 y 2008. - MVP Enterprise Security 2009, 2010, 2011, 2012 y 2013 - Certificó como Auditor Lider ISO/IEC 27001:2005 by BSI. - MCT desde el 1999 al 2013. - Autor de carreras de Seguridad, MSIO y Forefront para el MVA de Microsoft. - Consultor certificado en Checkpoint. Ver todas las entradas de Quique

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: