Identidad federada

Aseguramiento de la identidad en los sistemas TI

Una identidad federada en tecnología de la información es el medio de vincular la identidad electrónica y los atributos de una persona , almacenados en múltiples sistemas de gestión de identidad distintos . ^[1]

La identidad federada está relacionada con el inicio de sesión único (SSO), en el que el ticket de autenticación único de un usuario, o token , es confiable en múltiples sistemas de TI o incluso organizaciones. ^{[2] [3]} SSO es un subconjunto de la gestión de identidad federada, ya que se relaciona solo con la autenticación y se entiende en el nivel de interoperabilidad técnica, y no sería posible sin algún tipo de federación . ^[4]

Gestión

En tecnología de la información (TI), la gestión de identidad federada (FIdM) equivale a tener un conjunto común de políticas, prácticas y protocolos establecidos para gestionar la identidad y la confianza en los usuarios y dispositivos de TI en todas las organizaciones. ^[5]

Los sistemas de inicio de sesión único (SSO) permiten un único proceso de autenticación de usuarios en varios sistemas de TI o incluso en varias organizaciones. El SSO es un subconjunto de la gestión de identidades federadas, ya que se relaciona únicamente con la autenticación y la interoperabilidad técnica.

Las soluciones de gestión de identidad centralizada se crearon para ayudar a gestionar la seguridad de los usuarios y de los datos cuando el usuario y los sistemas a los que accedía se encontraban dentro de la misma red, o al menos del mismo "dominio de control". Sin embargo, cada vez más usuarios acceden a sistemas externos que están fundamentalmente fuera de su dominio de control, y usuarios externos acceden a sistemas internos. La separación cada vez más común del usuario de los sistemas a los que requiere acceso es una consecuencia inevitable de la descentralización provocada por la integración de Internet en todos los aspectos de la vida personal y empresarial. Los desafíos cambiantes de la gestión de identidad, y especialmente los desafíos asociados con el acceso entre empresas y entre dominios, han dado lugar a un nuevo enfoque de la gestión de identidad, conocido ahora como "gestión de identidad federada". ^[6]

FIdM, o la "federación" de identidad, describe las tecnologías, estándares y casos de uso que sirven para permitir la portabilidad de la información de identidad entre dominios de seguridad que de otro modo serían autónomos. El objetivo final de la federación de identidad es permitir que los usuarios de un dominio accedan de forma segura a los datos o sistemas de otro dominio sin problemas y sin necesidad de una administración de usuarios completamente redundante. La federación de identidad se presenta en muchas variantes, incluidos los escenarios "controlados por el usuario" o "centrados en el usuario", así como los escenarios controlados por la empresa o de empresa a empresa .

La federación se habilita mediante el uso de estándares industriales abiertos o especificaciones publicadas abiertamente, de modo que múltiples partes puedan lograr interoperabilidad para casos de uso comunes. Los casos de uso típicos incluyen cuestiones como inicio de sesión único basado en la web entre dominios, aprovisionamiento de cuentas de usuario entre dominios, administración de derechos entre dominios e intercambio de atributos de usuario entre dominios.

El uso de estándares de federación de identidades puede reducir los costos al eliminar la necesidad de escalar soluciones únicas o propietarias. Puede aumentar la seguridad y reducir el riesgo al permitir que una organización identifique y autentique a un usuario una vez y luego use esa información de identidad en múltiples sistemas, incluidos los sitios web de socios externos. Puede mejorar el cumplimiento de la privacidad al permitir que el usuario controle qué información se comparte o al limitar la cantidad de información compartida. Y, por último, puede mejorar drásticamente la experiencia del usuario final al eliminar la necesidad de registrar una nueva cuenta a través del "aprovisionamiento federado" automático o la necesidad de iniciar sesión de manera redundante a través del inicio de sesión único entre dominios.

El concepto de federación de identidades es muy amplio y está en constante evolución. Puede implicar casos de uso de usuario a usuario y de usuario a aplicación, así como de aplicación a aplicación, tanto en el nivel del navegador como en el nivel de servicios web o arquitectura orientada a servicios (SOA). Puede implicar escenarios de alta confianza y alta seguridad, así como escenarios de baja confianza y baja seguridad. Los niveles de garantía de identidad que pueden requerirse para un escenario determinado también se están estandarizando a través de un Marco de Garantía de Identidad común y abierto . Puede implicar casos de uso centrados en el usuario, así como casos de uso centrados en la empresa. El término "federación de identidades" es por diseño un término genérico y no está vinculado a ningún protocolo, tecnología, implementación o empresa específicos. Las federaciones de identidades pueden ser relaciones bilaterales o relaciones multilaterales. En el último caso, la federación multilateral se produce con frecuencia en un mercado vertical, como en la aplicación de la ley (como la Federación Nacional de Intercambio de Identidad - NIEF ^[7] ), y la investigación y la educación (como InCommon). ^[8] Si la federación de identidades es bilateral, las dos partes pueden intercambiar los metadatos necesarios (claves de firma de aserciones, etc.) para implementar la relación. En una federación multilateral, el intercambio de metadatos entre los participantes es una cuestión más compleja. Puede gestionarse en un intercambio radial o mediante la distribución de un agregado de metadatos por parte de un operador federado.

Sin embargo, una cosa que es consistente es el hecho de que "federación" describe métodos de portabilidad de identidad que se logran de manera abierta, a menudo basada en estándares, lo que significa que cualquiera que se adhiera a la especificación o estándar abierto puede lograr el espectro completo de casos de uso e interoperabilidad. ^[9]

La federación de identidad se puede lograr de varias maneras, algunas de las cuales implican el uso de estándares formales de Internet, como la especificación OASIS Security Assertion Markup Language (SAML), y algunas de las cuales pueden implicar tecnologías de código abierto y/u otras especificaciones publicadas abiertamente (por ejemplo, Information Cards , OpenID , el marco de confianza Higgins o el proyecto Bandit de Novell).

Tecnologías

Las tecnologías utilizadas para la identidad federada incluyen SAML (Security Assertion Markup Language), OAuth , OpenID, tokens de seguridad (Simple Web Tokens, JSON Web Tokens y aserciones SAML), especificaciones de servicios web y Windows Identity Foundation . ^[10]

Iniciativas gubernamentales

Estados Unidos

En Estados Unidos, el Instituto Nacional de Estándares y Tecnología (NIST), a través del Centro Nacional de Excelencia en Ciberseguridad , publicó en diciembre de 2016 un libro blanco sobre este tema ^[11].

El Programa Federal de Gestión de Riesgos y Autorizaciones ( FedRAMP ) es un programa gubernamental que proporciona un enfoque estandarizado para la evaluación de seguridad, la autorización y el monitoreo continuo de productos y servicios en la nube.

FedRAMP permite a las agencias adaptarse rápidamente de una TI heredada, antigua e insegura a una TI basada en la nube, segura, rentable y que habilita la misión. ^[12]

Ejemplos

Las plataformas de identidad digital que permiten a los usuarios iniciar sesión en sitios web, aplicaciones, dispositivos móviles y sistemas de juego de terceros con su identidad existente, es decir, permiten el inicio de sesión social , incluyen:

Ejemplos de inicio de sesión social

A continuación se incluye una lista de servicios que ofrecen funciones de inicio de sesión social y que recomiendan que otros sitios web utilicen. Entre ellos se encuentran los proveedores de inicio de sesión con identidad federada.

• Alipay
• AOL
• Manzana
• Facebook
• Google
• KakaoTalk
• Línea
• LinkedIn
• Mi espacio
• Paypal
• QQ
• Sina Weibo
• Taobao
• Vkontakte (ВКонтакте)
• Gorjeo
• WeChat

Otros ejemplos

• Amazonas ^[13]
• Dashlane
• Firme
• GitHub
• Cuenta de Google
• Último pase ^[14]
• Cuenta Microsoft : anteriormente Windows Live ID
• Paypal
• Mozilla Persona El 30 de noviembre de 2016, Mozilla cerró los servicios de persona.org
• Yahoo! – los usuarios pueden usar su ID de Yahoo! para iniciar sesión en otros sitios, y antes los usuarios tenían la posibilidad de iniciar sesión en Yahoo! con sus ID de Google o Facebook.

Véase también

• Secuestro previo de cuenta
• Identidad basada en reclamaciones
• Identidad digital
• Identidad auto-soberana

Referencias

1. Madsen, Paul, ed. (5 de diciembre de 2005). "Libro blanco del proyecto Liberty Alliance: Liberty ID-WSF People Service - identidad social federada" (PDF) . Archivado desde el original (PDF) el 2018-05-26 . Consultado el 2013-07-11 .
2. Identidad federada para aplicaciones web, microsoft.com . Consultado el 3 de julio de 2017.
3. Gaedke, Martin; Johannes, Meinecke; Nussbaumer, Martin (1 de mayo de 2005). "Un enfoque de modelado para la gestión de identidad y acceso federados". Temas de interés especial y pósteres de la 14.ª conferencia internacional sobre la World Wide Web - WWW '05 (PDF) . pp. 1156–1157. doi :10.1145/1062745.1062916. ISBN 978-1595930514. S2CID  8828239. Archivado desde el original (PDF) el 13 de septiembre de 2017. Consultado el 3 de julio de 2017 .
4. Chadwick, David W. (2009). "Gestión de identidad federada" (PDF) . Fundamentos del análisis y diseño de seguridad V. Apuntes de clase en informática. Vol. 5705. págs. 96–120. CiteSeerX 10.1.1.250.4705 . doi :10.1007/978-3-642-03829-7_3. ISBN .  978-3-642-03828-0. ISSN  0302-9743.Recuperado el 3 de julio de 2017.
5. http://net.educause.edu/ir/library/pdf/EST0903.pdf Archivado el 29 de agosto de 2017 en Wayback Machine. 7 cosas que debe saber sobre la gestión de identidad federada
6. Jensen, Jostein (2012). "Desafíos de la gestión de identidades federadas". Séptima conferencia internacional sobre disponibilidad, confiabilidad y seguridad de 2012. págs. 230–235. doi :10.1109/ares.2012.68. ISBN 978-1-4673-2244-7. S2CID  18145013 . Consultado el 11 de diciembre de 2023 .
7. "Federación Nacional de Intercambio de Identidad". nief.org . Consultado el 15 de mayo de 2018 .
8. "InCommon: Seguridad, privacidad y confianza para la comunidad de investigación y educación". incommon.org . Consultado el 15 de mayo de 2018 .
9. Cabarcos, Patricia Arias (2013). "Infraestructura dinámica para la gestión de identidades federadas en entornos abiertos". doi :10.13140/RG.2.1.2918.0962. {{cite journal}}: Requiere citar revista |journal=( ayuda )
10. Rountree, Derrick (2012). Introducción a la identidad federada . Syngress Media. ISBN 978-0124071896.
11. https://www.nccoe.nist.gov/publications/project-description/privacy-enhanced-identity-brokers-project-description-final Federación de identidad con privacidad mejorada
12. "FedRAMP y Azure". TECHCOMMUNITY.MICROSOFT.COM . Consultado el 13 de septiembre de 2023 .
13. Iniciar sesión con Amazon
14. "Solución de inicio de sesión único (SSO) | LastPass".