Resolviendo los retos de IAM de consumidor y empresa con virtualización y federación de identidad
13 July, 2016
category: Finanzas, Identificación digital, Seguridad en Internet
Por: Colaborador
Michel Prompt, fundador y director general, Radiant Logic
Cómo un equipo de trabajo puede sacar provecho de su experiencia de IAM en el mercado de consumo
Llegar a los clientes, socios y otros grupos a través de canales digitales directos es el nuevo imperativo para la mayoría de las empresas de tamaño considerable. Los arquitectos de seguridad tienen gran experiencia en la administración de identidad, pero ¿pueden tomar lo aprendido con los empleados y aplicarlo a un pujante mercado de identidad de cliente? Ya sea que una empresa opte por un paquete IAM de consumidor o quiera extender las inversiones existentes en un conjunto federado, se presentan dos retos fundamentales:
- Escala: Las compañías de tamaño considerable tienen más clientes que empleados, y si no, son objetivos de más alto valor, con expectativas mucho más altas
- Mapeo/integración: Aunque la IAM está basada en torno a LDAP/directorio activo, las identidades de los clientes están en SQL o APIs — y estos datos están dispersos en diferentes aplicaciones, tales como Salesforce o facturación, necesitando integración para proveer un “perfil completo”
Con una nueva solución IAM de consumidor, la empresa puede obtener un juego de herramientas que está diseñado a propósito para los clientes y debe permitir que se pueda escalar bien. Mientras que tales herramientas por lo general son compatibles con SQL y LDAP, aún existe un desafío para la integración si uno está obteniendo datos de identidad de clientes desde múltiples fuentes.
La infraestructura IAM significa trabajar con herramientas familiares en tanto se obtiene mejor ROI. Pero nuevamente, está el problema de integrar información entre sistemas — y pocos arquitectos de seguridad quieren convertirse en sumos sacerdotes de SQL. Cualquiera que sea el camino que la empresa escoja, debe escalar en términos de usuarios, de sus dispositivos, y de las interacciones entre estos. También debe ser fácil acceder a los atributos de clientes y utilizarlos para fomentar una mayor comprensión de cada individuo de manera que se pueda brindar acceso único seguro y además ofrecer servicios y promociones. Después de todo, proveer la más rica experiencia de usuario requiere un perfil integrado para una visión de 360 grados de cada cliente.
La experiencia de usuario es una meta para los empleados y una NECESIDAD para los clientes
Para las grandes empresas es duro competir contra las ágiles compañías que operan solamente en Internet y han estructurado su seguridad desde la base para lograr un óptimo servicio en línea. Puede resultar costoso crear una experiencia impecable en torno a múltiples líneas de negocios, o proveer una fuerte seguridad que no entorpezca al comprador. Pero aunque su empresa no sea digital en primer lugar, usted ha estado acopiando valiosa información sobre sus clientes durante años. Solamente necesita aprovechar esa información para cubrir y exceder las necesidades de sus clientes en Internet.
El primer requisito de la IAM de consumo es el registro de usuario. El nuevo proceso de registro de consumidores ha de registrar la identidad y las credenciales de un usuario que interactúa con su sistema por primera vez, pero eso no significa que sea un nuevo prospecto o cliente. Es simplemente un nuevo canal y la mayoría de las compañías estarán registrando estos clientes offline a través del portal de usted, y su experiencia de usuario es de gran importancia. El objetivo es proveer una impecable experiencia de cliente omni-canal, que aproveche el medio digital en tanto honre la relación existente, donde no existan brechas entre las experiencias físicas, en línea o telefónicas.
La realidad de IAM y de IAM de consumo: complejidad, difíciles integraciones
Los arquitectos de seguridad de las grandes compañías enfrentan desafíos predecibles. El actual grupo federado está estrechamente vinculado a LDAP y al directorio activo, a los almacenes de datos de identidad basados en los empleados, que en el caso de AD, ofrece una lista autorizada de empleados que está en el centro de la red local.
Esas infraestructuras heredadas no siempre trabajan bien de conjunto, lo que hace que autenticar usuarios sea un verdadero problema, mucho menos proveer eficiente SSO, acceso de grano fino, o la mejor experiencia en las distintas plataformas.
Los arquitectos de seguridad inteligente han descubierto una forma de mapear esos diferentes sistemas de directorio, unificando identidades con un servicio de identidad federada basado en virtualización avanzada. Tal servicio crea una lista global de usuarios en que cada uno está representado una vez, y además perfiles globales que contienen atributos de diversas fuentes. Ya sea que usted invierte en un paquete IAM de cliente o readapta su infraestructura IAM existente, ese mismo servicio de identidad federada puede ayudar a que su solución escale en todas direcciones, eliminando la molestia de la integración sobre la marcha, de modo que los datos del cliente se mantienen en SQL, pero se consumen como LDAP.
Una plataforma común basada en federación y virtualización de identidad
Aunque los clientes esperan una experiencia sin fricción, la falta de una visión común en los diversos silos de datos es un problema importante de seguridad, y a menudo se requiere un identificador/enlace global para permitir los objetivos de alto valor, tales como inicio único de sesión (SSO) o aprovisionamiento.
Para autenticar de forma segura y autorizar a todos los usuarios, las compañías requieren un rápido acceso a las bases de datos de clientes, donde se almacenan y administran esas identidades. Pero SQL no es un motor rápido para la autenticación y su lenta función “conjunta” impide seriamente la autorización. El servicio de identidad federada unifica el entorno de identidad, proporcionando una representación común de todos los usuarios en torno a fuentes heterogéneas y haciendo posible los siguientes casos de uso:
Autenticación más rápida y SSO optimizada: La mayoría de los arquitectos de identidad de empresas personalizan cada nueva iniciativa, creando acceso único a los atributos en bases de datos SQL a las velocidades que demanda su seguridad. Esa práctica de personalización es costosa y no es escalable, pero virtualizando SQL y mapeándolo a LDAP, su compañía puede mantener la infraestructura existente mientras que le proporciona a las aplicaciones de cliente acceso inmediato a la mejor seguridad y funcionamiento. No más códigos domésticos o conexiones lentas, simplemente una capa flexible de identidad federada que permita rápidos inicios de sesión y SSO más inteligente.
Autorización de grano fino y servicios personalizados: Realizar uniones dinámicas distribuidas en torno a diversos y heterogéneos almacenes de datos es intensivo y costoso desde el punto de vista computacional. El servicio de identidad federada hace que sea fácil ejecutar uniones distribuidas entre muchas fuentes sin sacrificar velocidad. Así se puede unir dinámicamente información que cambia constantemente, creando vistas materializadas que satisfacen las necesidades de sus aplicaciones de consumo.
Estas vistas actualizadas y perdurables pueden entregarse rápidamente en el protocolo apropiado. De modo que ahora las compañías tienen acceso a atributos esenciales que durante mucho tiempo han estado aislados dentro de SQL, impulsando decisiones de autorización más precisas y servicios orientados al cliente, micro-dirigidos hacia cada individuo.
Lo mejor de ambos mundos: almacenar en SQL, asegurar y escalar vía ID federada
Al federar la identidad en diversos almacenes, los datos IAM y IAM de cliente pueden basarse en la misma plataforma de virtualización de identidad, y las empresas no tienen que ser expertas en SQL para sacar provecho de los datos guardados en la base de datos del cliente.
Un servicio global de identidad le permite a las compañías mejorar la seguridad y brindar mejor servicio, todo ello ahorrando tiempo y dinero. Al mapear los datos de cliente a LDAP, integrar los perfiles globales de clientes, y escalar dinámicamente para satisfacer la demanda, el servicio de identidad federada asegura la infraestructura existente, protegiendo el acceso y posibilitando mayor alcance por el cliente.