SCIM: abasteciendo a los usuarios y eliminando conectores
13 March, 2014
category: Seguridad en Internet, Seguridad lógica
Kelly Grizzle, ingeniero principal de software, SailPoint
La identidad digital gana cada vez más en importancia a medida que las empresas se esfuerzan por proteger y controlar el acceso a los recursos en línea. Se desarrollan una serie de estándares que contribuyen a que la gestión de identidad y el inicio de sesión único (single sign-on) se hagan realidad para las organizaciones que implementan sistemas.
Al concluir 2013, SecureIDNews.com consideró cuatro diferentes estándares de identidad, y el rol que estos juegan en el apoyo a las empresas para la creación de ecosistemas de identidad.
Una de las tareas fundamentales de un sistema de gestión de identidad y acceso (IAM) es gestionar los cambios para los usuarios y su acceso a diversos recursos empresariales – un subconjunto de IAM denominado abastecimiento. La organización típica tiene cientos, a veces miles, de aplicaciones, servidores, bases de datos y archivos compartidos que deben ser abastecidos. En realidad, conozco de una reciente compañía que tiene aproximadamente 3,500 sistemas únicos.
Históricamente las empresas han automatizado el aprovisionamiento de modificaciones de recursos empleando “conectores” entre el sistema de gestión de identidad y acceso (IAM) y dichos recursos, para hacer o deshacer continuamente los cambios necesarios para cualquier alteración que haya que producir en las identidades.
El actual crecimiento de SaaS (software como servicio) y de las aplicaciones basadas en nube ha hecho que sea aún más difícil cubrir la necesidad de nuevos conectores. Tanto los vendedores de IAM, como los clientes y los integradores de sistemas, necesitan crear continuamente y mantener cientos y cientos de conectores para hacer todo ese trabajo. Pero no es una tarea sencilla y muchos vendedores tradicionales de IAM cargan un precio por cada conector utilizado por un cliente.
La creciente abundancia de aplicaciones SaaS disponibles, y la velocidad a la que deben implementarse, han hecho que el mercado IAM llegue a un punto culminante. Ya no resulta práctico para los vendedores de IAM seguir escribiendo conectores, y resulta demasiado caro para los usuarios finales utilizar conectores separados para cada aplicación.
Para enfrentar este reto se ha desarrollado un nuevo estándar denominado SCIM (sistema para gestión de identidad de dominio cruzado) que crea una interfaz uniforme provisional para aplicaciones SaaS y de nube. El propósito del SCIM es reducir el costo y la complejidad en la gestión de usuarios entrando y saliendo de las aplicaciones SaaS, al eliminar la necesidad de conectores separados y de propiedad para cada aplicación individual.
Un equipo intersectorial, que incluye a mi compañía, SailPoint, a Cisco, Ping, Salesforce.com, Technology Nexus y UnboundID, diseñó esta especificación con énfasis en la sencillez, aunque apoyando los modelos existentes de autenticación, autorización y privacidad.
Manteniendo la sencillez
Desde el principio SCIM fue diseñado para ser sencillo. No trata de cubrir todos los casos de uso que se suministran, sino que da apoyo a las situaciones más comunes. En base a la regla 80/20, SCIM se enfoca hacia las tareas básicas – las operaciones esenciales CRUD (create, read, update, and delete) o sea, crear, leer, actualizar y eliminar – de la gestión de cuentas, y deja fuera el 20 % de los extras de la “plataforma de abastecimiento” que las organizaciones individuales han adicionado a sus respectivos conectores.
Esto lo hace utilizando un esquema extensible de usuario que significa la misma cosa, con independencia de qué aplicación es la que está siendo abastecida. El esquema puede entonces extenderse para manejar cualquier requisito específico de un vendedor o proveedor de servicios de IAM. Esto simplifica el abastecimiento para los proveedores de SaaS, así como para vendedores y clientes de IAM.
SCIM se orienta de forma clara y sencilla a la “interfaz” para la creación de cuentas, gestión y eliminación, empleando un enfoque completo RESTful de servicios web, que puede ser utilizado por cualquier aplicación. Toma los casos de uso más simples y directos, y los implementa utilizando un enfoque “centrado en los recursos” que es más fácil de escribir, de usar en el código, así como más fácil de leer y comprender en la especificación.
Apoyo del vendedor de aplicaciones
Aunque se comprende la necesidad de utilizar SCIM, los vendedores de SaaS son los que tienen la potestad de adoptar SCIM y poner ese estándar a amplia disposición. Varios vendedores de SaaS, incluyendo Salesforce.com, Google y Cisco, están en la avanzada para resolver esos asuntos, invirtiendo un tiempo significativo para contribuir en impulsar SCIM hacia adelante y crear interfaces SCIM en sus productos. Para lograr una amplia adopción de SCIM hace falta el apoyo de las principales plataformas de vendedores SaaS.
Demanda SCIM por los clientes
El estándar SCIM también necesita el apoyo de las organizaciones públicas y privadas que desean simplificar la forma en que gestionan sus identidades y aplicaciones en la nube. Actualmente muchas organizaciones especifican requisitos para una forma sencilla y estandarizada de gestionar sus cuentas SaaS. Esta necesidad creciente y real de los clientes ha devenido en una presión sobre los vendedores de SaaS para que por un lado apoyen el SCIM y por otro insten a los vendedores de IAM a que hagan uso del SCIM.