Un proveedor de identidad (IdP), o administrador de IdP, es un sistema que crea, almacena y administra identidades digitales. El IdP puede autenticar directamente al usuario o puede proporcionar servicios de autenticación a proveedores de servicios externos (aplicaciones, sitios web u otros servicios digitales).
En pocas palabras, un administrador de IdP ofrece autenticación de usuarios como un servicio. Por ejemplo, puedes usar las credenciales de tu cuenta de Azure para iniciar sesión en Google. En este caso, tu inicio de sesión de Azure es el IdP y Google es el proveedor de servicios (SP). Cualquier sitio web que requiera un inicio de sesión, por ejemplo, utiliza un IdP para autenticar a los usuarios. Se puede utilizar una contraseña u otro factor de autenticación para autenticar al usuario.
Desde la perspectiva de un proveedor de identidades, un usuario se conoce como principal. Un principal puede ser un ser humano o una máquina. Un proveedor de identidades puede autenticar cualquier entidad, incluidos los dispositivos. El propósito de un proveedor de identidades es rastrear estas entidades y saber dónde y cómo recuperar las identidades principales que determinan si una persona o un dispositivo puede acceder a datos confidenciales.
¿Por qué son necesarios los IdP?
Los proveedores de identidad (IdP) pueden ayudar a resolver varios problemas administrativos que enfrentan las empresas. Con un proveedor de servicios de identidad, las largas listas de nombres de usuario y contraseñas prácticamente se eliminan, la administración se simplifica y existe un registro detallado de los intentos de acceso, en caso de que surja un problema.
La mayoría de los consumidores están familiarizados con las aplicaciones que les dan la opción de iniciar sesión pulsando un botón que conecta esa cuenta con la cuenta de Facebook o Google del usuario. El concepto es similar en el mundo empresarial, con algunos beneficios adicionales.
- En primer lugar, el cumplimiento normativo se simplifica con un registro de auditoría de todos los eventos de acceso.
- En segundo lugar, las empresas pueden reducir los costos de TI en más de un 20% al reducir el tiempo de soporte técnico para restablecer contraseñas.
¿Cuáles son los beneficios de tener un IdP?
Hay varios beneficios, entre ellos:
- Autenticación más fuerte : un IdP puede proporcionar herramientas y soluciones que garanticen un acceso seguro a través de aplicaciones, sitios web y otras plataformas digitales, como la autenticación multifactor adaptativa (MFA) basada en riesgos.
- Gestión de usuarios simplificada : otra solución que ofrecen la mayoría de los IdP es el inicio de sesión único (SSO), que ahorra a los usuarios la molestia de crear y mantener múltiples nombres de usuario y contraseñas.
- Bring Your Own Identity (BYOI) : con BYOI, los usuarios pueden acceder a los servicios con las credenciales de identidad que ya tienen (por ejemplo, Google, Outlook, etc.) en lugar de crear otras nuevas. Esto mejora aún más la eficiencia de la incorporación y la gestión de usuarios, manteniendo al mismo tiempo un alto nivel de seguridad.
- Mejor visibilidad : un IdP mantendrá un registro de auditoría central de todos los eventos de acceso, lo que facilitará demostrar quién accede a qué recursos y cuándo.
- Reduce la carga de gestión de identidad : el proveedor de servicios (SP) no necesita gestionar las identidades de los usuarios, ya que se convierte en responsabilidad del IdP.
¿Cómo funcionan los IdP?
Un IdP permite que la identidad de un usuario facilite el acceso a todos sus recursos, desde el correo electrónico hasta los sistemas de gestión de archivos de la empresa.
Un flujo de trabajo de IdP implica tres pasos clave:
- Solicitud: Se solicita al usuario que ingrese algún tipo de identidad, como un nombre de usuario y una contraseña o autenticación biométrica.
- Verificación: El IdP verifica si el usuario tiene acceso y a qué tiene acceso.
- Desbloqueo: Se le otorga al usuario acceso a los recursos específicos a los que está autorizado.
¿Qué es un proveedor de servicios y cómo funciona un IdP?
Un proveedor de servicios, o SP, es la entidad que proporciona el servicio al que se accede, mientras que un IdP es la entidad que crea, almacena y administra identidades, así como la capacidad de autenticar a un usuario.
Tanto los proveedores de servicios como los proveedores de identidades forman parte de la gestión de identidades federadas (FIM), en la que los usuarios pueden utilizar el mismo método de verificación para acceder a diferentes recursos. La FIM se logra a través de protocolos estándar como el lenguaje de marcado de confirmación de seguridad (SAML), Open Authorization (OAuth), OpenID Connect (OIDC) y el sistema de gestión de identidades entre dominios (SCIM).
El IdP establece una relación de confianza con un SP al compartir identidades y autenticar usuarios en distintos dominios. Por ejemplo, cuando un usuario intenta acceder a aplicaciones de terceros (SP), la solicitud se envía a un IdP como «Entrust Identity» as a Service (IDaaS). El IdP autentica la identidad del usuario e indica al SP mediante una afirmación SAML que el usuario está verificado y tiene permiso para acceder al servicio.
Tipos de proveedores de identidad
Hay dos tipos principales de proveedores de identidad: lenguaje de marcado de aserción de seguridad (SAML) e inicio de sesión único (SSO).
SAML es un lenguaje de marcado basado en XML que se utiliza para la autenticación mediante la federación de identidades. SAML es un protocolo omnipresente que es compatible con varias aplicaciones de proveedores de servicios, como Office 365, Salesforce, Webex, ADP, Zoom, …, etc.
SSO es una función de gestión de acceso que permite a los usuarios iniciar sesión con un único conjunto de credenciales de identidad en varias cuentas, software, sistemas y recursos. Por ejemplo, cuando un empleado ingresa sus credenciales para iniciar sesión en su estación de trabajo, también se autentica para acceder a sus aplicaciones, recursos y software basado en la nube.