¿Qué es la autenticación federada? Cómo mejora la seguridad

Para muchos empleados hoy en día, el lugar de trabajo ya no es un lugar fijo.

Puede ser una oficina, una sala de estar, un tren de cercanías, un vuelo transatlántico o algún punto intermedio. Los empleados pueden trabajar desde cualquier lugar si cuentan con la tecnología adecuada.

Un modelo exitoso de trabajo desde cualquier lugar brinda acceso fácil y seguro a los datos, las aplicaciones y los sistemas que los empleados necesitan para hacer su trabajo, independientemente de su ubicación o dispositivo.

El acceso (a qué se conectan los empleados) y la autenticación (cómo se prueba la identidad de los empleados cuando se conectan) deben ser fáciles de usar, mejorar la productividad, ser rentables y, sobre todo, seguros.

Para las empresas que adoptan una política de trabajo desde cualquier lugar, la autenticación federada ofrece una forma segura y flexible de reducir los gastos generales de TI y aumentar la productividad de los empleados.

Con la autenticación federada, una sola identidad digital desbloquea el acceso de un empleado a diferentes servicios y los autentica sin contraseñas adicionales.

¿Qué es la autenticación federada?

Como la mayoría de las personas, es posible que tenga que administrar docenas, si no cientos, de contraseñas. La autenticación basada en formularios, donde ingresa un nombre de usuario y una contraseña para acceder, es una forma económica, fácil y familiar para que los servicios digitales otorguen acceso a un usuario.

Desafortunadamente, las contraseñas también son una molestia tanto para los administradores de TI como para los empleados. Son difíciles de crear, fáciles de olvidar y representan un riesgo significativo para la seguridad. Las contraseñas mal administradas causan el 80% de las filtraciones de datos.

Las solicitudes de contraseña también interrumpen el flujo de trabajo de un empleado y le quitan tiempo a las actividades de valor agregado. En pocas palabras, las contraseñas tradicionales son una forma muy ineficiente, inconexa e insegura de conectar a los empleados con los recursos de trabajo.

La autenticación federada redefine las identidades de los usuarios y el acceso a los servicios digitales. Un usuario tiene una identidad digital única construida con puntos de datos administrados por un proveedor de identidad (IdP). El proveedor de identidad establece confianza con otras aplicaciones y servicios mientras utiliza una única identidad digital.

Los empleados pueden acceder a la información en diferentes dominios sin iniciar sesión cada vez. Esto no solo elimina la necesidad de inicios de sesión y contraseñas repetidos, sino que también cambia la forma en que los empleados y los equipos de TI interactúan y administran el acceso a las cuentas digitales. La autenticación federada reduce aún más el riesgo de BYOD en el lugar de trabajo.

Con la autenticación federada, el acceso y la autenticación de los usuarios se gestionan de forma centralizada. Todas las identidades de los usuarios se administran en una base de datos denominada directorio de usuarios. Esto le da a TI información y visibilidad sobre las identidades de los empleados.

Por ejemplo, TI decide los puntos de datos necesarios para crear las identidades de los empleados para lograr la máxima seguridad y precisión. Luego, la autenticación federada se basa en la información disponible en el directorio de usuarios y vincula esa identidad con las actividades digitales de cada empleado.

Además, los administradores de TI pueden establecer políticas y controles sobre qué, dónde y cuándo los usuarios pueden acceder a los datos. Pueden otorgar o revocar el acceso de los empleados en cualquier momento cuando los empleados se unen al equipo o se van para otro trabajo. Una identidad administrada de forma centralizada puede desbloquear el acceso a datos, aplicaciones y recursos que los empleados usan todos los días.

Todas estas capas adicionales de seguridad no aumentan la carga para los empleados. La autenticación federada simplifica el inicio de sesión del usuario al eliminar las solicitudes de inicio de sesión y las contraseñas.

Un conjunto de credenciales es suficiente para establecer la identidad de un usuario. Para los empleados, la autenticación federada significa menos problemas y un acceso más rápido.

Componentes de la identidad federada

La autenticación federada ayuda a construir relaciones entre diferentes proveedores de tecnología, lo que permite la identificación automática y el acceso de los usuarios.

Los empleados ya no necesitan ingresar nombres de usuario y contraseñas separados cuando visitan un nuevo proveedor de servicios. La autenticación federada funciona entre bastidores para determinar quién es el usuario y a qué debe tener acceso.

Un proveedor de identidad (IdP) establece la identidad de un usuario y se conecta a un proveedor de servicios (SP). Un protocolo de seguridad, Lenguaje de marcado de aserción de seguridad (SAML), luego autentica al usuario.

Proveedor de identidad

El proveedor de identidad (IdP) es un sistema de tecnología que crea, mantiene y administra información de identidad. En otras palabras, un proveedor de identidad establece las identidades de los usuarios y los detalles que componen esas identidades.

Estos detalles pueden incluir el nombre de un empleado, la dirección de correo electrónico, la ubicación, el dispositivo o tipo de navegador, o incluso información biométrica como datos de huellas dactilares.

Por lo general, los equipos de TI administran de forma centralizada las identidades de los usuarios en su red, incluidos todos los empleados, contratistas, proveedores o clientes que utilizan un proveedor de identidad.

Idealmente, TI siempre debe saber quién necesita acceso a los diferentes servicios y asegurarse de que solo estos usuarios tengan acceso. Pero este tipo de control y gestión centralizados solo es posible cuando existe un servicio de directorio en la nube y se aprovecha como proveedor de identidad o está conectado a un proveedor de identidad externo.

Las políticas y los controles de seguridad permiten que TI estandarice los procedimientos de acceso de los usuarios en todo el proveedor de identidad. Eso significa controlar qué usuarios pueden acceder a aplicaciones o servicios específicos y bloquear el acceso según la hora, la ubicación, la antigüedad, el departamento u otros puntos de datos relevantes, desde un tablero centralizado con opciones fácilmente configurables.

Con un proveedor de identidad implementado, TI puede usar la administración de identidad federada para conectar el proveedor de identidad de su empresa y los proveedores de servicios que usan sus empleados.

En lugar de crear una cuenta con un proveedor de servicios, el proveedor de identidad vincula la identidad del empleado con el proveedor de servicios en el backend. Una vez activos, los usuarios pueden "llevar" su identidad de un servicio a otro sin inicios de sesión redundantes.

Cuando un usuario desea acceder a un servicio externo, el proveedor de servicios "coincide" la identidad y el acceso con el proveedor de identidad. Si todo sale bien, el IdP autentica al usuario a través de SAML.

SAML

El lenguaje de marcado de aserción de seguridad (SAML) es un estándar de federación abierta que permite que un proveedor de identidad autentique usuarios en todos los dominios en nombre de un proveedor de servicios.

El consorcio de tecnología sin fines de lucro OASIS desarrolló SAML. Ha existido durante casi dos décadas y es un estándar de autenticación seguro y ampliamente adoptado.

Esencialmente, SAML transfiere de forma segura la información de identidad entre un proveedor de identidad y un proveedor de servicios. El proveedor de servicios confía en el proveedor de identidad para verificar la identidad de un usuario y completar el proceso de autenticación.

Una vez que se completa la "comprobación", el proveedor de servicios carga la cuenta para el usuario. El proveedor de servicios confía en el proveedor de identidad para saber quién es el usuario y a qué puede acceder. SAML facilita esta relación de confianza entre las dos entidades.

¿Cómo funciona la autenticación federada?

SAML permite a los empleados un conjunto de credenciales para acceder a diferentes dominios. Reduce el proceso de inicio de sesión a un inicio de sesión inicial (al proveedor de identidad) para que los inicios de sesión posteriores (a los proveedores de servicios) sean automáticos.

Estos pasos son casi instantáneos y no necesitan intervención del usuario. Si un usuario aún no tiene una sesión activa con el proveedor de identidad, el IdP le solicita que inicie sesión con sus credenciales de autenticación federada. La autenticación federada hace que todo el proceso sea perfecto.

Autenticación federada frente a SSO

La autenticación federada puede parecerse mucho al inicio de sesión único (SSO), donde un conjunto de credenciales desbloquea el acceso a múltiples servicios sin contraseñas. Sin embargo, la autenticación federada y el SSO difieren significativamente en la gestión de identidades.

La autenticación federada y el SSO juegan diferentes roles para facilitar el acceso de los empleados en un modelo de oficina de trabajo en cualquier lugar. Las empresas pueden aprovechar ambas tecnologías en paralelo para maximizar la eficiencia de los empleados y la administración de TI.

Comprender SSO

Al igual que la autenticación federada, el SSO otorga a los usuarios autorizados acceso a los servicios con un conjunto de credenciales de inicio de sesión basadas en la identidad y los permisos del usuario. Además, los proveedores de SSO permiten a los usuarios acceder a múltiples aplicaciones web al mismo tiempo.

Una forma de visualizar SSO es iniciar sesión en Gmail y luego abrir simultáneamente YouTube, Google Drive y Google Photos en nuevas pestañas sin iniciar sesión nuevamente.

Básicamente, se vuelve a autenticar en segundo plano con las mismas credenciales que el inicio de sesión inicial. Su identidad sigue siendo la misma en todas las aplicaciones. SSO es una forma de realizar una sesión de inicio de sesión en varios servicios.

Usar las mismas credenciales para acceder a todas sus cuentas puede parecer un riesgo de seguridad. Y lo sería si reutiliza un nombre de usuario y una contraseña para cada inicio de sesión. Sin embargo, SSO utiliza un protocolo seguro como SAML para autenticar a un usuario de forma segura. Esto funciona mejor cuando se desarrolla una estrategia de administración de acceso e identidad con SSO.

Cuando los empleados usan una sola contraseña para acceder a todas sus aplicaciones web, SAML identifica las credenciales para completar su inicio de sesión. En realidad, esto es un impulso de seguridad, ya que SAML es mucho más seguro que las contraseñas cortas, simples, reutilizadas y fáciles de adivinar.

Comprender la diferencia entre autenticación federada y SSO

¿En qué se diferencian exactamente la autenticación federada y el SSO?

Tanto la autenticación federada como el SSO autentican a los usuarios con un protocolo seguro como SAML. Y al igual que la autenticación federada, SSO reduce el acceso de los empleados a un evento de inicio de sesión, después del cual se conectan instantáneamente a otros servicios sin más solicitudes de inicio de sesión.

El rango de acceso es el principal diferenciador entre los dos. SSO permite que una sola credencial acceda a diferentes sistemas dentro de una organización, mientras que la autenticación federada brinda acceso único a múltiples sistemas.

En otras palabras, SSO autoriza un inicio de sesión único en varios sistemas de una organización. La autenticación federada permite el acceso a diferentes aplicaciones en diferentes empresas.

Las organizaciones también pueden usar la autenticación federada para acceder a un proveedor de SSO en la nube y aprovechar los beneficios de ambos. Por ejemplo, si una empresa usa Microsoft ADFS como proveedor de identidad federada, los usuarios pueden autenticarse en un proveedor de servicios de SSO en la nube con sus credenciales de ADFS.

Una vez que haya iniciado sesión en el proveedor de SSO en la nube, el usuario puede iniciar y acceder instantáneamente a cualquier aplicación web sin inicios de sesión adicionales. El servicio de autenticación federado administra la identidad de un usuario a su proveedor de servicios de SSO, y el proveedor de servicios de SSO facilita el acceso del usuario a todos los demás servicios en la nube.

Casos de uso y ventajas de la autenticación federada

Cualquier esfuerzo por optimizar el acceso de los usuarios en un lugar de trabajo debe maximizar la seguridad de los datos y minimizar la fricción. Cuando los empleados encienden sus computadoras u otros dispositivos, quieren conectarse instantáneamente a los datos/aplicaciones/servicios que necesitan.

Del mismo modo, los administradores de TI desean brindar al lugar de trabajo un acceso rápido y conveniente, pero la estandarización y el control son primordiales. Es por eso que la autenticación federada beneficia tanto a los usuarios como a los administradores.

Autenticación federada para usuarios

Con la autenticación federada, los usuarios se benefician de la automatización y la velocidad.

Los usuarios pueden compartir el acceso a los sistemas y recursos sin credenciales adicionales. Como resultado, los empleados dedican menos tiempo a crear y escribir credenciales, lo que genera menos frustración durante la jornada laboral.

Los empleados también experimentan menos interrupciones en las solicitudes de inicio de sesión, lo que significa un acceso más rápido a la información necesaria para completar las tareas. Esto mejora la comunicación y aumenta la productividad.

Los empleados también pueden estar seguros de que siguen los protocolos de seguridad aprobados por la empresa sin atascarse en reglas complejas y controles de seguridad tediosos. La autenticación federada ofrece un acceso de usuario más eficiente y fluido sin sacrificar la seguridad.

Autenticación federada para administradores

La autenticación federada elimina los datos y sistemas redundantes para los administradores, reduce los costos de soporte de TI y aumenta la seguridad de la información.

Cuando TI administra las identidades de los usuarios en un directorio de usuarios central, puede usar políticas y controles para estandarizar la seguridad en toda la organización.

Por ejemplo, TI puede aplicar las mismas políticas de acceso y autenticación a todos los usuarios. También puede personalizar políticas según la función, el departamento, la ubicación, el dispositivo y otros detalles granulares de un usuario.

La autenticación federada consolida la gestión de acceso al vincular sistemas dispares y brindar a los usuarios una identidad unificada en esos sistemas. Esto ayuda a TI a desarrollar y mantener un repositorio central como la "fuente de la verdad" para el acceso de los empleados.

La eliminación de contraseñas también reduce la carga de trabajo del equipo de TI. El aprovisionamiento y el restablecimiento de cuentas de usuario es una parte importante de su carga de trabajo. Con menos contraseñas para crear y administrar, la autenticación federada libera recursos de TI para proyectos de mayor valor.

Menos contraseñas también significan una superficie de ataque reducida y un menor riesgo de infracciones. Las contraseñas tradicionales representan una importante amenaza para la seguridad; son comparativamente fáciles de robar, adivinar o descifrar. La autenticación federada ayuda a TI a eliminar las debilidades al reemplazar las contraseñas con protocolos seguros como SAML.

Manténgase seguro con facilidad

La autenticación federada ofrece muchos beneficios a los usuarios, equipos de TI y organizaciones. Ayuda a las organizaciones a reconciliar la facilidad de acceso con la seguridad. La implementación de la autenticación federada puede ser una inversión de tiempo y recursos, pero las organizaciones pueden ahorrar tiempo y dinero a largo plazo con la administración de identidad automatizada.

Construir una base sólida para la gestión de identidades federadas equipa a los equipos de TI para satisfacer las demandas de un lugar de trabajo en evolución y reducir el riesgo de infracciones. Obtenga más información sobre qué hacer durante una violación de datos.