La gestión de identidades ( IdM ), también conocida como gestión de identidades y accesos ( IAM o IdAM ), es un marco de políticas y tecnologías para garantizar que los usuarios adecuados (que forman parte del ecosistema conectado a una empresa o dentro de ella) tengan el acceso adecuado. a los recursos tecnológicos. Los sistemas IdM se incluyen en el ámbito general de seguridad de TI y gestión de datos . Los sistemas de gestión de acceso e identidad no solo identifican, autentican y controlan el acceso de las personas que utilizarán los recursos de TI, sino también el hardware y las aplicaciones a las que los empleados necesitan acceder. [1] [2]
IdM aborda la necesidad de garantizar un acceso adecuado a los recursos en entornos tecnológicos cada vez más heterogéneos y de cumplir requisitos de cumplimiento cada vez más rigurosos. [3]
Los términos "gestión de identidad" ( IdM ) y "gestión de identidad y acceso" se utilizan indistintamente en el área de gestión de acceso a identidad. [4]
Los sistemas, productos, aplicaciones y plataformas de gestión de identidad gestionan datos identificativos y auxiliares sobre entidades que incluyen individuos, hardware relacionado con computadoras y aplicaciones de software .
IdM cubre temas como cómo los usuarios obtienen una identidad , los roles y, a veces, los permisos que otorga esa identidad, la protección de esa identidad y las tecnologías que respaldan esa protección (por ejemplo, protocolos de red , certificados digitales , contraseñas , etc.).
La gestión de identidad ( gestión de ID ), o gestión de identidad y acceso ( IAM ), son los procesos organizativos y técnicos para registrar y autorizar derechos de acceso primero en la fase de configuración, y luego en la fase de operación para identificar, autenticar y controlar individuos o grupos de las personas tengan acceso a aplicaciones, sistemas o redes basándose en derechos de acceso previamente autorizados. La gestión de identidades (IdM) es la tarea de controlar la información sobre los usuarios en las computadoras. Dicha información incluye información que autentica la identidad de un usuario e información que describe datos y acciones a los que está autorizado a acceder y/o realizar. También incluye la gestión de información descriptiva sobre el usuario y cómo y quién puede acceder y modificar esa información. Además de los usuarios, las entidades administradas suelen incluir recursos de red y hardware e incluso aplicaciones. [5] El siguiente diagrama muestra la relación entre las fases de configuración y operación de IAM, así como la distinción entre gestión de identidad y gestión de acceso.
El control de acceso es la aplicación de los derechos de acceso definidos como parte de la autorización de acceso .
La identidad digital es la presencia en línea de una entidad, que abarca información de identificación personal (PII) e información auxiliar. Véanse las directrices de la OCDE [6] y NIST [7] sobre la protección de la PII. [8] Puede interpretarse como la codificación de nombres de identidad y atributos de una instancia física de una manera que facilite el procesamiento.
En el contexto del mundo real de la ingeniería de sistemas en línea, la gestión de identidades puede implicar cinco funciones básicas:
Se puede construir un modelo general de identidad a partir de un pequeño conjunto de axiomas, por ejemplo, que todas las identidades en un espacio de nombres determinado son únicas, o que dichas identidades tienen una relación específica con las entidades correspondientes en el mundo real. Un modelo axiomático de este tipo expresa "identidad pura" en el sentido de que el modelo no está limitado por un contexto de aplicación específico.
En general, una entidad (real o virtual) puede tener múltiples identidades y cada identidad puede abarcar múltiples atributos, algunos de los cuales son únicos dentro de un espacio de nombres determinado. El siguiente diagrama ilustra la relación conceptual entre identidades y entidades, así como entre identidades y sus atributos.
En la mayoría de los modelos teóricos y prácticos de identidad digital , un objeto de identidad determinado consta de un conjunto finito de propiedades (valores de atributos). Estas propiedades registran información sobre el objeto, ya sea para fines externos al modelo o para operar el modelo, por ejemplo en clasificación y recuperación. Un modelo de "identidad pura" no se ocupa estrictamente de la semántica externa de estas propiedades.
La desviación más común de la "identidad pura" en la práctica ocurre con propiedades destinadas a asegurar algún aspecto de la identidad, por ejemplo una firma digital [3] o un token de software que el modelo puede usar internamente para verificar algún aspecto de la identidad en satisfacción de una propósito externo. En la medida en que el modelo exprese dicha semántica internamente, no es un modelo puro.
Compare esta situación con propiedades que podrían usarse externamente con fines de seguridad de la información, como administrar el acceso o los derechos, pero que simplemente se almacenan, mantienen y recuperan, sin un tratamiento especial por parte del modelo. La ausencia de semántica externa dentro del modelo lo califica como un modelo de "identidad pura".
Por tanto, la gestión de identidades puede definirse como un conjunto de operaciones sobre un modelo de identidad determinado o, más generalmente, como un conjunto de capacidades con referencia a él.
En la práctica, la gestión de identidades a menudo se expande para expresar cómo se debe aprovisionar y conciliar el contenido del modelo entre múltiples modelos de identidad. El proceso de conciliación de cuentas también puede denominarse desaprovisionamiento. [9]
El acceso de usuario les permite asumir una identidad digital específica en todas las aplicaciones, lo que permite asignar y evaluar controles de acceso en función de esta identidad. El uso de una identidad única para un usuario determinado en varios sistemas facilita las tareas de administradores y usuarios. Simplifica el monitoreo y la verificación del acceso y permite a las organizaciones minimizar los privilegios excesivos otorgados a un usuario. Garantizar la seguridad del acceso de los usuarios es crucial en este proceso, ya que implica proteger la integridad y confidencialidad de las credenciales de los usuarios y evitar el acceso no autorizado. La implementación de mecanismos de autenticación sólidos, como la autenticación multifactor (MFA), auditorías de seguridad periódicas y controles de acceso estrictos, ayuda a salvaguardar las identidades de los usuarios y los datos confidenciales. El acceso del usuario se puede rastrear desde el inicio hasta la finalización del acceso del usuario. [10]
Cuando las organizaciones implementan un proceso o sistema de gestión de identidades, su motivación normalmente no es principalmente gestionar un conjunto de identidades, sino más bien otorgar derechos de acceso adecuados a esas entidades a través de sus identidades. En otras palabras, la gestión del acceso es normalmente la motivación para la gestión de la identidad y, en consecuencia, los dos conjuntos de procesos están estrechamente relacionados. [11]
Las organizaciones continúan agregando servicios tanto para usuarios internos como para clientes. Muchos de estos servicios requieren gestión de identidad para proporcionarlos adecuadamente. Cada vez más, la gestión de identidades se ha separado de las funciones de las aplicaciones, de modo que una única identidad puede servir a muchas o incluso a todas las actividades de una organización. [11]
Para uso interno, la gestión de identidades está evolucionando para controlar el acceso a todos los activos digitales, incluidos dispositivos, equipos de red, servidores, portales, contenido, aplicaciones y/o productos.
Los servicios a menudo requieren acceso a amplia información sobre un usuario, incluidas libretas de direcciones, preferencias, derechos e información de contacto. Dado que gran parte de esta información está sujeta a requisitos de privacidad y/o confidencialidad, controlar el acceso a ella es vital. [12]
La federación de identidades comprende uno o más sistemas que comparten el acceso de los usuarios y les permiten iniciar sesión basándose en la autenticación en uno de los sistemas que participan en la federación. Esta confianza entre varios sistemas suele denominarse "Círculo de Confianza". En esta configuración, un sistema actúa como proveedor de identidad (IdP) y otros sistemas actúan como proveedor de servicios (SP). Cuando un usuario necesita acceder a algún servicio controlado por el SP, primero se autentica contra el IdP. Tras una autenticación exitosa, el IdP envía una "aserción" segura al proveedor de servicios. "Un verificador puede utilizar las aserciones SAML, especificadas mediante un lenguaje de marcado destinado a describir aserciones de seguridad, para hacer una declaración a una parte que confía sobre la identidad de un reclamante. Las aserciones SAML pueden opcionalmente estar firmadas digitalmente". [13]
Las implementaciones de referencia más populares de las especificaciones SAML son Shibboleth y Simple-SAML.php. Ambos idiomas también ofrecen capacidades de inicio de sesión único (SSO). [14]
Además de la creación, eliminación y modificación de datos de identidad del usuario, ya sea de forma asistida o mediante autoservicio, la gestión de identidad controla los datos de entidades auxiliares para uso de las aplicaciones, como la información de contacto o la ubicación.
Poner información personal en redes informáticas necesariamente plantea preocupaciones sobre la privacidad . A falta de protecciones adecuadas, los datos pueden utilizarse para implementar una sociedad de vigilancia . [dieciséis]
La web social y los servicios de redes sociales en línea hacen un uso intensivo de la gestión de identidad. Ayudar a los usuarios a decidir cómo gestionar el acceso a su información personal se ha convertido en un tema de amplia preocupación. [17] [18]
El robo de identidad ocurre cuando los ladrones obtienen acceso a información de identidad, como los datos personales necesarios para acceder a una cuenta bancaria.
La investigación relacionada con la gestión de la identidad abarca disciplinas como la tecnología, las ciencias sociales, las humanidades y el derecho. [19]
La gestión de identidad descentralizada es una gestión de identidad basada en identificadores descentralizados (DID). [20]
Dentro del Séptimo Programa Marco de Investigación de la Unión Europea de 2007 a 2013, se iniciaron varios proyectos nuevos relacionados con la Gestión de la Identidad.
El Proyecto PICOS investiga y desarrolla una plataforma de última generación para brindar confianza, privacidad y gestión de identidad en comunidades móviles. [21]
PrimeLife desarrolla conceptos y tecnologías para ayudar a las personas a proteger la autonomía y mantener el control sobre la información personal, independientemente de sus actividades. [22]
SWIFT se centra en ampliar las funciones de identidad y la federación a la red, abordando al mismo tiempo los problemas de usabilidad y privacidad y aprovecha la tecnología de identidad como clave para integrar infraestructuras de servicio y transporte en beneficio de los usuarios y proveedores. [23]
Los proyectos en curso incluyen el Futuro de la Identidad en la Sociedad de la Información (FIDIS), [24] GUIDE, [25] y PRIME. [26]
Las revistas académicas que publican artículos relacionados con la gestión de identidad incluyen:
Revistas menos especializadas publican sobre el tema y, por ejemplo, tienen números especiales sobre identidad como:
ISO (y más específicamente ISO/IEC JTC 1 , SC27 Técnicas de seguridad de TI WG5 Técnicas de privacidad y gestión de acceso a identidades) está llevando a cabo algunos trabajos de estandarización para la gestión de identidades (ISO 2009), como la elaboración de un marco para la gestión de identidades, incluida la definición. de términos relacionados con la identidad. Los estándares publicados y los elementos de trabajo actuales incluyen lo siguiente:
En cada organización normalmente existe un rol o departamento que se encarga de gestionar el esquema de identidades digitales de su personal y de sus propios objetos, que están representados por identidades de objetos o identificadores de objetos (OID). [28] Las políticas, procesos y procedimientos organizacionales relacionados con la supervisión de la gestión de identidades a veces se denominan Gobernanza y Administración de Identidades (IGA). Existen herramientas de software comercial para ayudar a automatizar y simplificar dichas funciones de gestión de identidades a nivel organizacional. [29] La eficacia y idoneidad con la que se utilizan dichas herramientas cae dentro del alcance de regímenes más amplios de gobernanza, gestión de riesgos y cumplimiento .
Desde 2016 los profesionales de Gestión de Identidades y Accesos cuentan con su propia organización profesional, IDPro. En 2018, el comité inició la publicación de Una bibliografía comentada, que enumera una serie de publicaciones, libros, presentaciones y videos importantes. [30]
Un sistema de gestión de identidad se refiere a un sistema de información o a un conjunto de tecnologías que se pueden utilizar para la gestión de identidad empresarial o entre redes. [31]
Los siguientes términos se utilizan en relación con el "sistema de gestión de identidad": [32]
La gestión de identidades , también conocida como gestión de identidades y accesos (IAM), es un marco de seguridad de identidades que funciona para autenticar y autorizar el acceso de los usuarios a recursos como aplicaciones, datos, sistemas y plataformas en la nube. Busca garantizar que solo las personas adecuadas reciban las herramientas adecuadas y por los motivos correctos. A medida que nuestro ecosistema digital continúa avanzando, también lo hace el mundo de la gestión de identidades. [33]
"Gestión de identidad" y "gestión de acceso e identidad" (o AIM) son términos que se utilizan indistintamente bajo el título de gestión de identidad, mientras que la gestión de identidad en sí cae bajo el paraguas de seguridad de TI [34] y privacidad de la información [35] [36]. y riesgo de privacidad [37], así como estudios de usabilidad e inclusión electrónica. [38] [39]
Hay tres componentes de la gestión de identidad y acceso (IAM):
Estas tecnologías se pueden combinar mediante el control de identidades, que proporciona la base para flujos de trabajo y procesos automatizados. [40]
La identidad se conceptualiza de tres modos diferentes, según un análisis: de la Red de Excelencia FIDIS: [41]
En el libro de texto de Bertino y Takahashi, [42] se definen tres categorías de identidad que, hasta cierto punto, se superponen con los conceptos de identidad de FIDIS:
Los sistemas de gestión de identidad se ocupan de la creación, la administración y el despliegue de:
Las finalidades de los sistemas de gestión de identidad son:
Los sistemas, productos, aplicaciones y plataformas de gestión de identidades son soluciones comerciales de gestión de identidades implementadas para empresas y organizaciones. [43]
Las tecnologías, servicios y términos relacionados con la gestión de identidades incluyen el directorio activo de Microsoft Windows , proveedores de servicios , proveedores de identidades , servicios web , control de acceso , identidades digitales , administradores de contraseñas , inicio de sesión único , tokens de seguridad , servicios de tokens de seguridad (STS), flujos de trabajo. , OpenID , WS-Security , WS-Trust , SAML 2.0 , OAuth y RBAC . [44]
En general, se puede decir que la gestión de identidad electrónica cubre la gestión de cualquier forma de identidad digital. El enfoque en la gestión de identidades se remonta al desarrollo de directorios, como X.500 , donde un espacio de nombres sirve para contener objetos con nombre que representan entidades "identificadas" de la vida real, como países, organizaciones, aplicaciones, suscriptores o dispositivos. Los certificados definidos por el estándar X.509 ITU-T llevaban atributos de identidad como dos nombres de directorio: el sujeto del certificado y el emisor del certificado. Los certificados X.509 y los sistemas PKI funcionan para demostrar la "identidad" en línea de un sujeto. Por lo tanto, en términos de TI, se puede considerar la gestión de identidad como la gestión de información (contenida en un directorio) que representa elementos identificados en la vida real (por ejemplo, usuarios, organizaciones, dispositivos, servicios, etc.). El diseño de tales sistemas requiere tareas explícitas de ingeniería de identidad e información.
La evolución de la gestión de identidades sigue de cerca la progresión de la tecnología de Internet . En el entorno de las páginas web estáticas y los portales estáticos de principios de los años 1990, las empresas investigaban la entrega de contenidos web informativos, como las "páginas blancas" de los empleados. Posteriormente, a medida que la información cambió (debido a la rotación de empleados, el aprovisionamiento y el desaprovisionamiento), la capacidad de realizar actualizaciones de autoservicio y de la mesa de ayuda de manera más eficiente se transformó en lo que hoy se conoce como Gestión de Identidades [actualizar].
Las soluciones que entran en la categoría de gestión de identidad pueden incluir:
Gestión de identidades
Control de acceso
Directorio de Servicios
Otras categorias
La gestión de identidades y accesos (IAM) es la disciplina de seguridad que permite a las personas adecuadas acceder a los recursos adecuados en el momento adecuado y por los motivos adecuados. [...] IAM aborda la necesidad crítica de garantizar el acceso adecuado a los recursos en entornos tecnológicos cada vez más heterogéneos y de cumplir requisitos de cumplimiento cada vez más rigurosos.