¿Qué es un proveedor de identidad (IdP)?

Un proveedor de identidad (IdP) es un servicio que almacena y verifica la identidad del usuario. Los IdP suelen ser servicios alojados en la nube, y a menudo funcionan con proveedores de inicio de sesión único (SSO) para autenticar a los usuarios.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir proveedor de identidad (IdP)
  • Más información acerca de por qué los IdP son importantes
  • Más información acerca de dónde encaja un IdP en el proceso de autenticación del usuario

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es un proveedor de identidad (IdP)?

Un proveedor de identidad (IdP ) almacena y gestiona las identidades digitales de los usuarios. Pensemos que un IdP es como una lista de invitados, pero no para un evento, sino para aplicaciones digitales y alojadas en la nube. Un IdP puede comprobar las identidades de los usuarios mediante combinaciones de nombre de usuario y contraseña, y otros factores, o simplemente puede proporcionar una lista de identidades de usuarios, que comprueba otro proveedor de servicios (como un SSO).

Los IdP no se limitan a verificar a los usuarios humanos. Técnicamente, un IdP puede autenticar cualquier entidad conectada a una red o a un sistema, incluidos ordenadores y otros dispositivos. Cualquier entidad almacenada por un IdP se conoce como "principal" (en lugar de "usuario"). Sin embargo, los IdP se usan más en la informática en la nube para gestionar las identidades de los usuarios.

¿Qué es la identidad del usuario?

La identidad digital del usuario está asociada a factores cuantificables que pueden ser verificados por un sistema informático. Estos factores se conocen como "factores de autenticación." Los tres factores de autenticación son:

  • Conocimiento: algo que sabes, como un nombre de usuario y una contraseña
  • Posesión: algo que tienes, como un teléfono inteligente
  • Cualidades intrínsecas: algo que eres, como tu huella dactilar o un escáner de retina

Un IdP puede utilizar uno o varios de estos factores para identificar a un usuario. El uso de múltiples factores para verificar la identificación del usuario se denomina autenticación multifactor (MFA).

¿Por qué son necesarios los IdP?

La identidad digital debe ser rastreada en algún lugar, especialmente para la informática en la nube, donde la identidad del usuario determine si alguien puede o no acceder a datos confidenciales. Los servicios en la nube deben saber exactamente dónde y cómo recuperar y verificar la identidad del usuario.

Los registros de las identidades de los usuarios también deben almacenarse de forma segura para garantizar que los atacantes no puedan utilizarlos para suplantar a los usuarios. Un proveedor de identidad en la nube tomará normalmente precauciones adicionales para proteger los datos de los usuarios, mientras que un servicio que no se dedique exclusivamente a almacenar la identidad puede almacenarla en una ubicación no segura, como un servidor abierto a Internet.

¿Cómo funcionan los IdP con los servicios SSO?

Un servicio de inicio de sesión único, con frecuencia llamado "SSO", es un lugar unificado para que los usuarios inicien sesión en todos sus servicios en la nube a la vez. Además de ser más cómodo para los usuarios, la implementación del SSO suele hacer que los inicios de sesión de los usuarios sean más seguros.

En su mayor parte, los SSO y los IdP están separados. Un servicio SSO usa un IdP para comprobar la identidad del usuario, pero no almacena realmente la identidad del usuario. Un proveedor de SSO es más bien un intermediario que un servicio integral; piensa que es como una empresa de seguridad contratada para mantener la seguridad de una empresa, pero que no forma parte de la misma.

Aunque están separados, los IdP son una parte fundamental del proceso de inicio de sesión del SSO. Los proveedores de SSO comprueban la identidad del usuario con el IdP cuando los usuarios inician sesión. Una vez se ha hecho esto, el SSO puede verificar la identidad del usuario con cualquier número de aplicaciones conectadas en la nube.

Sin embargo, este no es siempre el caso. En teoría, un SSO y un IdP pueden ser lo mismo. Pero esta configuración está mucho más expuesta a los ataques en ruta, en los que un atacante falsifica una aserción SAML * para poder acceder a una aplicación. Por ello, el IdP y el SSO suelen estar separados.

*Una aserción SAML es un mensaje especializado enviado desde los servicios SSO a cualquier aplicación en la nube que confirma la autenticación del usuario, permitiéndole acceder y utilizar la aplicación.

¿Cómo se ve esto en la práctica?

Supongamos que Alice está utilizando su portátil del trabajo en la oficina de su empleador. Alice necesita conectarse a la aplicación de chat en directo de la empresa para coordinarse mejor con sus compañeros de trabajo. Abre una pestaña en su navegador y carga la aplicación de chat. Si supones que su empresa utiliza un servicio de SSO, tienen lugar los siguientes pasos en segundo plano:

  • La aplicación de chat pide al SSO la verificación de identidad de Alice.
  • El SSO ve que Alice todavía no ha iniciado sesión.
  • El SSO le pide a Alice que inice sesión.

En este punto, el navegador de Alice la redirige a la página de inicio de sesión del SSO. La página tiene campos para que Alice introduzca su nombre de usuario y contraseña. Debido a que su empresa requiere autenticación de dos factores, Alice también tiene que introducir un código breve que el SSO envía automáticamente a su teléfono inteligente. Una vez se ha realizado esto, hace clic en "Iniciar sesión." Ahora, sucede lo siguiente:

  • El SSO envía una solicitud SAML al IdP utilizado por la empresa de Alice.
  • El IdP envía una respuesta SAML al SSO confirmando la identidad de Alice.
  • El SSO envía una aserción SAML a la aplicación de chat que Alice quería utilizar originalmente.

Se redirige a Alice de nuevo a su aplicación de chat. Ahora puede chatear con sus compañeros de trabajo. Todo el proceso ha durado solo unos segundos.

¿Cómo se integra Cloudflare con los proveedores de identidad?

Cloudflare Zero Trust ayuda a mantener la seguridad de los equipos internos mediante la integración con los SSO y los IdP para gestionar el acceso de los usuarios.