La delegación es el proceso en el que un usuario de computadora entrega sus credenciales de autenticación a otro usuario. [1] [2] En los modelos de control de acceso basados en roles, la delegación de autoridad implica delegar roles que un usuario puede asumir o el conjunto de permisos que el usuario puede adquirir, a otros usuarios.
Básicamente, existen dos clases de delegación: delegación en el nivel de autenticación /identidad y delegación en el nivel de autorización / control de acceso .
Se define de la siguiente manera: Si un mecanismo de autenticación proporciona una identidad efectiva diferente de la identidad validada del usuario entonces se llama delegación de identidad a nivel de autenticación, siempre que el propietario de la identidad efectiva haya autorizado previamente al propietario de la identidad validada a utilizar su identidad. [3]
Las técnicas existentes de delegación de identidad mediante sudocomandos sude UNIX son muy populares. [ cita necesaria ] Para usar el sudocomando, una persona primero debe comenzar su sesión con su propia identidad original. Requiere la contraseña de cuenta delegada o autorizaciones explícitas otorgadas por el administrador del sistema. La delegación de inicio de sesión de usuario descrita en la patente de Mercredi y Frey es también una delegación de identidad. [4]
La forma más común de garantizar la seguridad informática son los mecanismos de control de acceso proporcionados por sistemas operativos como UNIX, Linux, Windows, Mac OS, etc. [5]
Si la delegación es para derechos muy específicos, también conocidos como detallados, como la delegación de control de acceso basado en roles (RBAC), entonces siempre existe el riesgo de una subdelegación, es decir, el delegador no delega todo lo necesario. permisos para realizar un trabajo delegado. Esto puede provocar la denegación de servicio, lo cual es muy indeseable en algunos entornos, como en sistemas críticos de seguridad o en atención médica. En la delegación basada en RBAC, una opción para lograr la delegación es reasignar un conjunto de permisos al rol de delegado; sin embargo, encontrar los permisos relevantes para un trabajo en particular no es una tarea fácil para sistemas grandes y complejos. Además, al asignar estos permisos a una función de delegado, todos los demás usuarios asociados con esa función en particular obtienen los derechos delegados.
Si la delegación se logra asignando los roles de un delegado a un delegado, entonces no sólo sería un caso de sobredelegación sino también el problema de que el delegado tiene que determinar qué roles, en la compleja jerarquía de RBAC, son necesarios. para realizar un trabajo determinado. Este tipo de problemas no están presentes en los mecanismos de delegación de identidad y normalmente la interfaz de usuario es más sencilla.
Se pueden encontrar más detalles en RBAC .