Seminario virtual: Identidad en la empresa usando estándares y dispositivos móviles
02 April, 2014
category: Identificación laboral
Con las aplicaciones desplazándose hacia la nube, los dispositivos móviles se imponen más como herramienta de acceso e identidad, por lo que las empresas necesitan conocer en qué forma permitir el acceso de sus empleados de forma fácil y segura.
Todos estos factores hacen que la gestión de identidad sea más importante y cada vez más compleja. Paul Madsen, arquitecto técnico principal en la oficina técnica de Ping Identity, hizo una exposición acerca de los estándares y algunas de las tendencias más recientes en la gestión de identidad durante un seminario virtual patrocinado por esa compañía.
Madsen describió los retos y oportunidades que enfrentan las empresas en relación con la gestión de identidad. Las empresas necesitan definir cómo proveer identidad a aplicaciones Software como Service (SaaS), permitir acceso a aplicaciones nativas, aprovechar el teléfono para autenticación de usuario y sacar ventaja de la identidad social para acceso, señala Madsen.
La mejor forma de posibilitar identidad para aplicación basada en nube es mediante confirmaciones, no a través de contraseñas, expone Madsen. Los proveedores en nube no deben gestionar contraseñas, sino que los empleados deben autenticarse ante un proveedor de identidad, que sea quien pase a la aplicación las confirmaciones de identidad sobre el empleado.
SAML es uno de los estándares de identidad más maduro que se emplean para ese propósito. Con SAML un usuario trata de acceder a un proveedor de servicio y el navegador web dirige al navegador hacia el proveedor de identidad correspondiente. Después de autenticar al usuario, el proveedor de identificación entrega una confirmación al proveedor de servicios, que puede entonces decidir si permite o no el acceso.
SAML funciona bien en un entorno basado en navegador, pero cuando se trata de utilizar aplicaciones nativas, han surgido otros estándares capaces de autenticar ante las API. OAuth 2.0 añade un paso extra y utiliza un token para que los clientes se autentiquen ante las API, en lugar de usar contraseñas. Cuando se trata de ganar acceso, se genera un token que permite el acceso por determinado período de tiempo. “Los tokens brindan un mejor modelo de privacidad porque pueden revocarse con más facilidad que una contraseña”, explica Madsen.
El potencial del teléfono móvil como credencial de autenticación se explora cada vez más por las empresas, dice Madsen. “Los teléfonos son una buena cosa que uno tiene”, añade. “La mayoría de los usuarios tienen un accesorio en su teléfono y hay más posibilidades de que lo lleven consigo, por el contrario de lo que ocurre si se trata de un remoto tipo llavero creado al efecto”.
Hay una serie de métodos para que los dispositivos móviles puedan actuar como herramientas de autenticación, incluyendo las aplicaciones generadoras de contraseñas de un solo uso (OTP), o recibir una OTP a través de SMS, o actuar como un contenedor seguro para certificados digitales, explica Madsen. Los teléfonos con capacidades biométricas pueden proporcionar niveles adicionales de seguridad, como ser estandarizados por la Alianza FIDO.
Madsen también se refirió a la tendencia BYOI (Llevar consigo su propia identidad), la idea de que las empresas de consumo acepten las identidades sociales, de Twitter, Facebook, etc., como elemento suficiente para el acceso, por lo menos para recursos de poca sensibilidad. Se considera que BYOI rompe la barrera inicial para establecer una relación con un cliente potencial, y a medida que la relación se sigue desarrollando esa identidad social se suplementa o reemplaza. La adopción por parte de grandes proveedores sociales del estándar OpenID Connect hace que esta especificación sea relevante para BYOI.