La gestión de identidades y accesos (IAM) se ha vuelto simplemente demasiado compleja para muchas empresas. "Eso no tiene por qué ser así", afirma Andreas Martin, de FirstAttribute.
ITB: ¿Qué distingue a una solución IAM inteligente para ti?
Martin: omite deliberadamente las funciones que son de poca utilidad, así como los conectores complicados y los procesos de flujo de trabajo con sincronizaciones propensas a errores. Está diseñado como un portal de gestión de identidades (IdM) con gestión de autorizaciones integrada, en el que el autoservicio del usuario desempeña un papel central. Y convence en el diseño y el lenguaje con una interfaz de usuario sencilla en la que los detalles técnicos quedan en un segundo plano para los usuarios y sólo ven lo que deben ver.
ITB: Pero, ¿cómo pueden las empresas estar seguras de que su portal de IdM deja de lado las funciones sin valor añadido para los usuarios desde el principio?
Martin: En FirstAttribute, hemos trabajado constantemente por delante. En muchos talleres con clientes, desarrolladores de software y consultores, nos preguntamos críticamente qué necesitan realmente los usuarios y qué funciones pueden utilizarse de forma rentable para la empresa. Limpiamos todas las demás funciones o no las desarrollamos en absoluto. De este modo, ya hemos reducido la complejidad a nivel funcional.
ITB: El uso de complicados conectores y procesos de flujo de trabajo me parece inevitable dentro de un sistema IAM. Pero usted dice que incluso se puede prescindir de esto en la mayoría de los casos. ¿Cómo es posible?
Martin: Utilizando Active Directory como servicio de directorio central dentro del portal de IdM elegido, utilizando la administración de usuarios de Active Directory y utilizando un servicio denominado Power Shell. A través de Active Directory como servicio de directorio central, se puede acceder a todos los objetos de AD. Esto significa que la administración no se limita a las identidades y sus autorizaciones, sino que también incluye otros objetos como clientes e impresoras. Los objetos que no son de Microsoft pueden integrarse en el directorio AD a través de las extensiones de Power Shell. Muchos fabricantes de estos sistemas ofrecen estas extensiones Power Shell. Con la administración de usuarios de Active Directory, las autorizaciones pueden gestionarse de forma fácil y segura mediante roles. Entre otras cosas, esto abre una delegación de tareas administrativas basada en los roles, que, en comparación con los flujos de trabajo de autorización con una sincronización complicada, se puede gestionar mucho más fácilmente y también sin errores. El servicio Power Shell traduce las acciones y el lenguaje de la interfaz a las estructuras, la lógica y los formatos de los sistemas de destino implicados. Esto ahorra el uso de complejos conectores con sincronizaciones propensas a errores. El servicio power shell es también la instancia ejecutora en segundo plano para la delegación de tareas administrativas basada en roles.
ITB: Usted ha destacado una orientación coherente como portal de IdM en el que un autoservicio de usuario juega un papel central. ¿No es ese también el estado actual de las suites IAM clásicas que han crecido con el tiempo?
Martin: No. A primera vista, todas tienen un portal de autoservicio. Sin embargo, estos portales sólo son adecuados para el autoservicio de forma limitada, ya que se crearon posteriormente. Para las empresas, esto significa que los cambios realizados por los usuarios a menudo sólo se sincronizan después de las horas en los sistemas de destino, conectados a través de conectores. Esto es diferente cuando el servicio Power Shell entra en acción directamente. A continuación, los cambios se escriben ad hoc en los sistemas de destino afectados. Así, los cambios se activan inmediatamente. Esta rápida implementación, naturalmente, también motiva al personal a utilizar el portal de autoservicio con compromiso.
Un portal IdM con gestión de autorizaciones y Active Directory tiene muchas ventajas. A través de LDAP, los sistemas pueden integrarse sin una extensión de Power Shell. Con SAML y Kerberos, el inicio de sesión único es más fácil y seguro de implementar que con las herramientas integradas de las suites IAM clásicas. La autorización se puede centralizar a través de Radius. OAuth restringe el acceso a ciertas aplicaciones y Azure AD abre la autenticación simple de dos factores contra las nubes de Microsoft.
Andreas Martin es Consejo de Administración y Director General de la empresa consultora FirstAttribute AG. Está tocando el tambor publicitario del portal de IdM interno FirstWare: según Martin, las empresas pueden reducir sus costes de licencia en al menos un 50 por ciento con esta solución en comparación con las suites clásicas de IAM.
ITB: ¿Hasta qué punto el fabricante del portal de IdM tiene que haber realizado un trabajo previo para una interfaz de usuario sencilla?
Martin: La reducción consecuente de la complejidad técnica también beneficia a una interfaz de usuario fácilmente visible. Hay más espacio para una interfaz contemporánea en términos de diseño y lenguaje, que recoge a los usuarios cerca de su organización y tareas. Con Active Directory, las estructuras del servicio de directorio central permanecen de todos modos en segundo plano para los usuarios y administradores. Además, la administración y la delegación basadas en roles pueden utilizarse para controlar que los usuarios sólo vean lo que necesitan ver en la interfaz de usuario para cumplir con sus tareas. La implementación técnica de las actividades de administración y delegación se realiza en la interfaz subyacente de Active Directory. Por lo tanto, no pueden ser influenciados o manipulados desde la interfaz de usuario. Para la empresa, se trata de un elemento de seguridad adicional.