La delegación es el proceso por el cual un usuario de computadora entrega sus credenciales de autenticación a otro usuario. [1] [2] En los modelos de control de acceso basados en roles, la delegación de autoridad implica delegar roles que un usuario puede asumir o el conjunto de permisos que el usuario puede adquirir a otros usuarios.
Básicamente, existen dos clases de delegación: delegación a nivel de autenticación /identidad y delegación a nivel de autorización / control de acceso .
Se define de la siguiente manera: Si un mecanismo de autenticación proporciona una identidad efectiva diferente de la identidad validada del usuario, entonces se denomina delegación de identidad a nivel de autenticación, siempre que el propietario de la identidad efectiva haya autorizado previamente al propietario de la identidad validada a utilizar su identidad. [3]
Las técnicas existentes de delegación de identidad mediante comandos sudoo sude UNIX son muy populares. [ cita requerida ] Para utilizar el sudocomando, una persona primero tiene que iniciar su sesión con su propia identidad original. Requiere la contraseña de la cuenta delegada o autorizaciones explícitas otorgadas por el administrador del sistema. La delegación de inicio de sesión de usuario descrita en la patente de Mercredi y Frey también es una delegación de identidad. [4]
La forma más común de garantizar la seguridad informática son los mecanismos de control de acceso que proporcionan los sistemas operativos como UNIX, Linux, Windows, Mac OS, etc. [5]
Si la delegación es para derechos muy específicos, también conocidos como de grano fino, como en el caso de la delegación de control de acceso basado en roles (RBAC), siempre existe el riesgo de una delegación insuficiente, es decir, que el delegante no delegue todos los permisos necesarios para realizar un trabajo delegado. Esto puede provocar la denegación de servicio, lo que es muy indeseable en algunos entornos, como en sistemas críticos para la seguridad o en el ámbito de la atención sanitaria. En la delegación basada en RBAC, una opción para lograr la delegación es reasignar un conjunto de permisos al rol de un delegado; sin embargo, encontrar los permisos pertinentes para un trabajo en particular no es una tarea fácil para sistemas grandes y complejos. Además, al asignar estos permisos a un rol de delegado, todos los demás usuarios asociados con ese rol en particular obtienen los derechos delegados.
Si la delegación se logra asignando los roles de un delegante a un delegado, no solo se trataría de un caso de sobredelegación, sino también del problema de que el delegante tiene que averiguar qué roles, en la compleja jerarquía de RBAC, son necesarios para realizar un trabajo en particular. Este tipo de problemas no están presentes en los mecanismos de delegación de identidad y normalmente la interfaz de usuario es más sencilla.
Se pueden encontrar más detalles en RBAC .