Una identidad federada en tecnología de la información es el medio de vincular la identidad electrónica y los atributos de una persona , almacenados en múltiples sistemas de gestión de identidad distintos . [1]
La identidad federada está relacionada con el inicio de sesión único (SSO), en el que el ticket de autenticación único de un usuario, o token , es confiable en múltiples sistemas de TI o incluso organizaciones. [2] [3] SSO es un subconjunto de la gestión de identidad federada, ya que se relaciona solo con la autenticación y se entiende en el nivel de interoperabilidad técnica, y no sería posible sin algún tipo de federación . [4]
En tecnología de la información (TI), la gestión de identidad federada (FIdM) equivale a tener un conjunto común de políticas, prácticas y protocolos establecidos para gestionar la identidad y la confianza en los usuarios y dispositivos de TI en todas las organizaciones. [5]
Los sistemas de inicio de sesión único (SSO) permiten un único proceso de autenticación de usuarios en varios sistemas de TI o incluso en varias organizaciones. El SSO es un subconjunto de la gestión de identidades federadas, ya que se relaciona únicamente con la autenticación y la interoperabilidad técnica.
Las soluciones de gestión de identidad centralizada se crearon para ayudar a gestionar la seguridad de los usuarios y de los datos cuando el usuario y los sistemas a los que accedía se encontraban dentro de la misma red, o al menos del mismo "dominio de control". Sin embargo, cada vez más usuarios acceden a sistemas externos que están fundamentalmente fuera de su dominio de control, y usuarios externos acceden a sistemas internos. La separación cada vez más común del usuario de los sistemas a los que requiere acceso es una consecuencia inevitable de la descentralización provocada por la integración de Internet en todos los aspectos de la vida personal y empresarial. Los desafíos cambiantes de la gestión de identidad, y especialmente los desafíos asociados con el acceso entre empresas y entre dominios, han dado lugar a un nuevo enfoque de la gestión de identidad, conocido ahora como "gestión de identidad federada". [6]
FIdM, o la "federación" de identidad, describe las tecnologías, estándares y casos de uso que sirven para permitir la portabilidad de la información de identidad entre dominios de seguridad que de otro modo serían autónomos. El objetivo final de la federación de identidad es permitir que los usuarios de un dominio accedan de forma segura a los datos o sistemas de otro dominio sin problemas y sin la necesidad de una administración de usuarios completamente redundante. La federación de identidad se presenta en muchas variantes, incluidos los escenarios "controlados por el usuario" o "centrados en el usuario", así como los escenarios controlados por la empresa o de empresa a empresa .
La federación se habilita mediante el uso de estándares industriales abiertos o especificaciones publicadas abiertamente, de modo que múltiples partes puedan lograr interoperabilidad para casos de uso comunes. Los casos de uso típicos incluyen cuestiones como inicio de sesión único basado en la web entre dominios, aprovisionamiento de cuentas de usuario entre dominios, administración de derechos entre dominios e intercambio de atributos de usuario entre dominios.
El uso de estándares de federación de identidades puede reducir los costos al eliminar la necesidad de escalar soluciones únicas o propietarias. Puede aumentar la seguridad y reducir el riesgo al permitir que una organización identifique y autentique a un usuario una vez y luego use esa información de identidad en múltiples sistemas, incluidos los sitios web de socios externos. Puede mejorar el cumplimiento de la privacidad al permitir que el usuario controle qué información se comparte o al limitar la cantidad de información compartida. Y, por último, puede mejorar drásticamente la experiencia del usuario final al eliminar la necesidad de registrar una nueva cuenta a través de un "aprovisionamiento federado" automático o la necesidad de iniciar sesión de manera redundante a través del inicio de sesión único entre dominios.
El concepto de federación de identidades es muy amplio y está en constante evolución. Puede implicar casos de uso de usuario a usuario y de usuario a aplicación, así como de aplicación a aplicación, tanto en el nivel del navegador como en el nivel de servicios web o arquitectura orientada a servicios (SOA). Puede implicar escenarios de alta confianza y alta seguridad, así como escenarios de baja confianza y baja seguridad. Los niveles de garantía de identidad que pueden requerirse para un escenario determinado también se están estandarizando a través de un Marco de Garantía de Identidad común y abierto . Puede implicar casos de uso centrados en el usuario, así como casos de uso centrados en la empresa. El término "federación de identidades" es por diseño un término genérico y no está vinculado a ningún protocolo, tecnología, implementación o empresa específicos. Las federaciones de identidades pueden ser relaciones bilaterales o relaciones multilaterales. En el último caso, la federación multilateral se produce con frecuencia en un mercado vertical, como en la aplicación de la ley (como la Federación Nacional de Intercambio de Identidad - NIEF [7] ), y la investigación y la educación (como InCommon). [8] Si la federación de identidades es bilateral, las dos partes pueden intercambiar los metadatos necesarios (claves de firma de aserciones, etc.) para implementar la relación. En una federación multilateral, el intercambio de metadatos entre los participantes es una cuestión más compleja. Puede gestionarse en un intercambio radial o mediante la distribución de un agregado de metadatos por parte de un operador federado.
Sin embargo, una cosa que es consistente es el hecho de que "federación" describe métodos de portabilidad de identidad que se logran de manera abierta, a menudo basada en estándares, lo que significa que cualquiera que se adhiera a la especificación o estándar abierto puede lograr el espectro completo de casos de uso e interoperabilidad. [9]
La federación de identidades se puede lograr de varias maneras, algunas de las cuales implican el uso de estándares formales de Internet, como la especificación OASIS Security Assertion Markup Language (SAML), y algunas de las cuales pueden implicar tecnologías de código abierto y/u otras especificaciones publicadas abiertamente (por ejemplo, Information Cards , OpenID , el marco de confianza Higgins o el proyecto Bandit de Novell).
Las tecnologías utilizadas para la identidad federada incluyen SAML (Security Assertion Markup Language) , OAuth , OpenID, tokens de seguridad (Simple Web Tokens, JSON Web Tokens y aserciones SAML), especificaciones de servicios web y Windows Identity Foundation . [10]
En Estados Unidos, el Instituto Nacional de Estándares y Tecnología (NIST), a través del Centro Nacional de Excelencia en Ciberseguridad , publicó en diciembre de 2016 un libro blanco sobre este tema [11].
El Programa Federal de Gestión de Riesgos y Autorizaciones ( FedRAMP ) es un programa gubernamental que proporciona un enfoque estandarizado para la evaluación de seguridad, la autorización y el monitoreo continuo de productos y servicios en la nube.
FedRAMP permite a las agencias adaptarse rápidamente de una TI heredada, antigua e insegura a una TI basada en la nube, que permita cumplir con las misiones, segura y rentable. [12]
Las plataformas de identidad digital que permiten a los usuarios iniciar sesión en sitios web, aplicaciones, dispositivos móviles y sistemas de juego de terceros con su identidad existente, es decir, permiten el inicio de sesión social , incluyen:
A continuación se incluye una lista de servicios que ofrecen funciones de inicio de sesión social y que recomiendan que otros sitios web utilicen. Entre ellos se encuentran los proveedores de inicio de sesión con identidad federada.
{{cite journal}}
: Requiere citar revista |journal=
( ayuda )