Este documento discute la identidad digital única en las empresas y las tecnologías asociadas como directorios, provisionamiento, single sign-on y federación de identidades. Propone una hoja de ruta de 7 pasos para implementar una identidad digital única que incluye realizar un inventario de repositorios de identidad, implementar provisionamiento, crear una base de datos central de usuarios, single sign-on, autenticación fuerte, convergencia físico-lógica y federación de identidades. Si bien ninguna tecnología es una solución completa por sí sol

1. La Identidad Digital Única en la Empresa
¿Utopía o Realidad?
Rames Sarwat
SMARTACCESS
www.smartaccess.es

2. La Seguridad
alineada con el Negocio
• Nos ayuda a :
–Cumplir con los objetivos
de negocio
–Cumplir con la legislación
o normativa aplicable
–Reducir el riesgo operativo

3. ¿Riegos operativos?
• Robo de propiedad
intelectual o activos
digitales
• Publicación de
información sensible o
confidencial
• Corte o interrupción de
servicios críticos

4. Identidad Digital
• Capacidad de identificar a cada usuario a lo largo
de la organización.
• Se implementa a través de una serie de procesos
y herramientas
• Su gestión nos permite:
– Aplicar una protección minuciosa a los recursos
– Eliminar automáticamente los privilegios de acceso
latentes
– Abordar la creciente cantidad de disposiciones
reglamentarias y normas de obligado cumplimiento.

5. Tecnologías asociadas

6. Algunas son más conocidas y otras menos
¿QUÉ SON ESTAS TECNOLOGÍAS?

7. Servicio de Directorio
• Es una base de datos estructurada que almacena
datos de forma estandariza.
• La mayoría son accesibles mediante el protocolo
LDAP (Lightweight Directory Access Protocol) que
sigue el esquema RFC 2798 (inetOrgPerson).
• Implementa mecanismos de control de acceso
granular y se utilizan también como servidores de
autenticación o de gestión centralizada de
políticas.
• Su principal función es el almacenamiento de
datos y su uso para otros fines es muy limitado.

8. Metadirectorio
• Es un servicio de sincronización de datos entre
diferentes servicios de Directorio.
• El motor de sincronización copia los datos de una
instancia de servidor de directorio a otro, cuando se
detecta su Metadirectorios permitir simple fusión de los
modificación.
datos de varias fuentes similares y presentar
• Algunos metadirectorios pueden sincronizar datos con
una visión consolidada de los datos
tablas de bases de datos relacionales y archivos, pero
sus características de transformación de datos suelen
ser muy limitadas
• También permiten una fusión de los datos de varias
fuentes similares para presentar una visión
consolidada.

9. Directorio Virtual
• Es un traductor de protocolos que permite a
las aplicaciones el acceso a los datos
(habitualmente residentes en diferentes
repositorios o BBDD relacionales) a través de
un único protocolo y mediante una vista
consolidada.
• Algunos sistemas de directorio virtual
permiten la transformación de los datos y el
almacenamiento en caché.

10. Herr. de Provisioning
• Permite la gestión remota de las diferentes las bases de
datos que contienen información de los usuarios entre
sistemas heterogéneos.
• Facilitan las tareas de sincronización y transformación
de datos complejas, así como su gestión y auditoría.
• La mayoría incluyen un motor de workflow para
controlar los flujos de los datos en procesos entre
diferentes personas de la organización.
• Algunas requieren el uso de agentes en los sistemas de
destino mientras que otras funcionan sin agentes
utilizando interfaces remotas.

11. Control de Acceso
• Módulos o agentes responsables de las
funciones de autenticación de usuarios y la
autorización a los recursos
• En la mayoría de los casos estas funciones son
proporcionadas por el sistema, aunque existen
agentes que extienden estas funcionalidades.
• Estos agentes estan vinculados a una versión
específica de los sistemas y pueden ser
complejos de instalar y desplegar.

12. Single Sign-On
• Funcionalidad que permite que un usuario se
autentique una unica vez y obtenga acceso a todos los
recursos y aplicaciones que requiere.
• Existen dos formas de SSO
– True Single Sign-On: El sistema autentica al usuario y le
genera un ticket que el resto de aplicaciones y recursos
reconocen. Basados en criptografía simétrica (p.e.
Kerberos) o en XML ycriptografía asmimétrica (p.e. SAML).
– Pseudo Single Sign-On : Mantiene un agente que aprende
e «injecta» a las aplicaciones las diferentes contraseñas del
usuario de forma automatizada. Genera la ilusión de un
single sign-on.

13. PKI
• Infraestructura para emitir y utilizar certificados
de Identidad Digital de Usuario protegidos por
funciones criptográficas de clave publica.
• La mayoría utiliza el estándar X.509
• Permite vincular los datos de un usuario a su
pareja de claves (publica/privada) a través de la
firma digital de un tercero de confianza.
• La PKI puede utilizarse para implementar
funciones de single sign-on pero requiere que
todas las aplicaciones se modifiquen para admitir
certificados digitales.

14. Federación Identidades
• Diferentes organizaciones comparten cierta
partes de la identidad de sus usuarios y dan
acceso a sus procesos de autenticación de
manera segura.
• Permite el acceso a recursos o aplicaciones a
usuarios de otras organizaciones sin necesidad de
crear nuevas cuentas.
• Está diseñado para operar a través de Internet y
entre sistemas heterogeneos.
• Esta tecnología no esta todavía muy extendida y
continua evolucionando.

15. La Identidad Digital Única en la Empresa
¿PUEDO COMBINAR ESTAS
TECNOLOGÍAS PARA OBTENER LA
IDENTIDAD ÚNICA?

16. No son soluciones completas
• Ninguna de las tecnologías anteriormente
indicadas puede considerarse una solución
completa de Gestión de la Identidad Digital.
• Sin embargo, conjuntamente y aplicadas en un
orden lógico pueden generar un sistema
funcional de Gestión de la Identidad Digital
para obtener la Identidad Digital Única en la
Empresa.

17. Algunas Necesidades
• Conocer las diferentes identidades de nuestros usuarios
• Gestionar los procesos de alta/baja/modificación de
identidades
• Disponer de una visión unificada de las identidades de cada
usuario.
• Mejorar la productivad de los usuarios.
• Reducir los costes de soporte
• Evitar la suplantación de la identidad y el acceso no
autorizado a los sistemas de información.
• Dar acceso a otras organizaciones a nuestros sistemas de
información sin comprometer la seguridad de la información.
• Cumplimiento de la legislación o normativa aplicable

18. Hoja de Ruta
1 • Inventario de Repositorios de IDentidad
2 • Sistema de provisioning
3 • Base de datos central de usuarios
4 • Single Sign-On (SSO)
5 • Autenticación Fuerte
6 • Convergencia físico-lógica
7 • Federación de Identidades

19. 1. Inventario Repositorios de IDentidad
• Realizar un análisis de los activos y recursos
relacionados con las identidades en la
organización:
– Bases de Datos de Usuarios
– Estructura Organizativa
– Procedimientos de Gestión de Usuarios
– Legislación aplicable, etc.
• Los resultados nos ayudarán a definir los
requisitos de los siguientes pasos.

20. 2. Sistema de Provisioning
• Automatizar los procedimientos de
gestión de usuarios (ABM)
• Implementar flujos de trabajo
personalizados en función de la
estructura organizativa.
• Debe proporcionar herramientas
para:
– Mantenimiento de las bases de
datos de usuarios
– Control de acceso basado en roles
(RBAC)
– Auditoria y monitorización de los
Sistemas

21. 3. Base de Datos Central de Usuarios
• Utilizar la herramienta de provisioning para
crear y mantener una base de datos central
de usuarios.
• Habitualmente será un servicio de directorio
replicado para garantizar la no interrupción
del servicio.
• Esta base de datos actuará como fuente
principal en los siguientes pasos
• Como alternativa, es posible utilizar las
tecnologías de directorio virtual o de
metadirectorio para su creación.

22. 4. Single Sign-On (SSO)
• A partir de la BBDD
Central de Usuarios
Implementar el
Single Sign-On como
servicio central de
• Si es posible modificar las autenticación de los
aplicaciones, integrarlas con el
servicio central de autenticación. usuarios.
• En caso contrario, emplear
herramientas de Web SSO o
Enterprise SSO.
• La implementación de SSO puede ser
más sencilla para aplicaciones web y
más compleja para aplicaciones
tradicionales de escritorio.

23. 5. Autenticación Fuerte
• Remplazar el uso de las contraseñas en el
acceso de empleados y colaboradores
externos.
• En especial
• Administradores de TI
• Usuarios con acceso a información
sensible, confidencial o sujeta a
normativa/legislación.
• Accesos remotos
• Se recomienda utilizar plataformas de
autenticación fuerte que soporten diversos
métodos para ajustar la seguridad al nivel de
riesgo de cada usuario.
• Valorar también su usabilidad, TCO y el
impacto en los sistemas actuales.

24. 6. Convergencia físico-lógica
• Unificación de credenciales
• Consola única de gestión
• Gestión de la seguridad
integral
• Registro único de
credenciales de usuarios
• Podemos llegar a
relacionar eventos para
incrementar la seguridad.

25. 7. Federación de Identidades
• Conectar los servicios de Identidad Digital de
nuestra empresa con otras organizaciones.
• La Federación proporcionará un mayor nivel
de cooperación de los usuarios entre
diferentes organizaciones, tanto públicas
como privadas.
• Evita la gestión de identidades digitales
externas.

26. Conclusiones
• Es posible obtener una Identidad Digital Única en
la empresa mediante el uso de tecnologías
disponibles y una gestión adecuada.
• Cada paso del proceso propuesto proporciona
beneficios adicionales a la organización, aunque
no es necesario implementarlos todos.
• Para garantizar el éxito, es importante definir
hasta que paso vamos a implementar desde el
inicio del proyecto.

27. ¿ SmartAccess ?
• Empresa española que desarrolla
soluciones para evitar el acceso
no autorizado a los sistemas de
información y la suplantación de
la identidad.
• Nuestras soluciones ayudan a:
– Incrementar la seguridad de la
información de la organización
– Reducir los costes de operación
www.smartaccess.es – Cumplir con normativas vigentes
relativas a protección de datos y
seguridad de la información
– Mejorar la productividad de los
usuarios