Un proveedor de identidad (IdP) es un servicio que almacena y verifica la identidad del usuario. Los IdP suelen ser servicios alojados en la nube, y a menudo funcionan con proveedores de inicio de sesión único (SSO) para autenticar a los usuarios.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Un proveedor de identidad (IdP ) almacena y gestiona las identidades digitales de los usuarios. Pensemos que un IdP es como una lista de invitados, pero no para un evento, sino para aplicaciones digitales y alojadas en la nube. Un IdP puede comprobar las identidades de los usuarios mediante combinaciones de nombre de usuario y contraseña, y otros factores, o simplemente puede proporcionar una lista de identidades de usuarios, que comprueba otro proveedor de servicios (como un SSO).
Los IdP no se limitan a verificar a los usuarios humanos. Técnicamente, un IdP puede autenticar cualquier entidad conectada a una red o a un sistema, incluidos ordenadores y otros dispositivos. Cualquier entidad almacenada por un IdP se conoce como "principal" (en lugar de "usuario"). Sin embargo, los IdP se usan más en la informática en la nube para gestionar las identidades de los usuarios.
La identidad digital del usuario está asociada a factores cuantificables que pueden ser verificados por un sistema informático. Estos factores se conocen como "factores de autenticación." Los tres factores de autenticación son:
Un IdP puede utilizar uno o varios de estos factores para identificar a un usuario. El uso de múltiples factores para verificar la identificación del usuario se denomina autenticación multifactor (MFA).
La identidad digital debe ser rastreada en algún lugar, especialmente para la informática en la nube, donde la identidad del usuario determine si alguien puede o no acceder a datos confidenciales. Los servicios en la nube deben saber exactamente dónde y cómo recuperar y verificar la identidad del usuario.
Los registros de las identidades de los usuarios también deben almacenarse de forma segura para garantizar que los atacantes no puedan utilizarlos para suplantar a los usuarios. Un proveedor de identidad en la nube tomará normalmente precauciones adicionales para proteger los datos de los usuarios, mientras que un servicio que no se dedique exclusivamente a almacenar la identidad puede almacenarla en una ubicación no segura, como un servidor abierto a Internet.
Un servicio de inicio de sesión único, con frecuencia llamado "SSO", es un lugar unificado para que los usuarios inicien sesión en todos sus servicios en la nube a la vez. Además de ser más cómodo para los usuarios, la implementación del SSO suele hacer que los inicios de sesión de los usuarios sean más seguros.
En su mayor parte, los SSO y los IdP están separados. Un servicio SSO usa un IdP para comprobar la identidad del usuario, pero no almacena realmente la identidad del usuario. Un proveedor de SSO es más bien un intermediario que un servicio integral; piensa que es como una empresa de seguridad contratada para mantener la seguridad de una empresa, pero que no forma parte de la misma.
Aunque están separados, los IdP son una parte fundamental del proceso de inicio de sesión del SSO. Los proveedores de SSO comprueban la identidad del usuario con el IdP cuando los usuarios inician sesión. Una vez se ha hecho esto, el SSO puede verificar la identidad del usuario con cualquier número de aplicaciones conectadas en la nube.
Sin embargo, este no es siempre el caso. En teoría, un SSO y un IdP pueden ser lo mismo. Pero esta configuración está mucho más expuesta a los ataques en ruta, en los que un atacante falsifica una aserción SAML * para poder acceder a una aplicación. Por ello, el IdP y el SSO suelen estar separados.
*Una aserción SAML es un mensaje especializado enviado desde los servicios SSO a cualquier aplicación en la nube que confirma la autenticación del usuario, permitiéndole acceder y utilizar la aplicación.
¿Cómo se ve esto en la práctica?
Supongamos que Alice está utilizando su portátil del trabajo en la oficina de su empleador. Alice necesita conectarse a la aplicación de chat en directo de la empresa para coordinarse mejor con sus compañeros de trabajo. Abre una pestaña en su navegador y carga la aplicación de chat. Si supones que su empresa utiliza un servicio de SSO, tienen lugar los siguientes pasos en segundo plano:
En este punto, el navegador de Alice la redirige a la página de inicio de sesión del SSO. La página tiene campos para que Alice introduzca su nombre de usuario y contraseña. Debido a que su empresa requiere autenticación de dos factores, Alice también tiene que introducir un código breve que el SSO envía automáticamente a su teléfono inteligente. Una vez se ha realizado esto, hace clic en "Iniciar sesión." Ahora, sucede lo siguiente:
Se redirige a Alice de nuevo a su aplicación de chat. Ahora puede chatear con sus compañeros de trabajo. Todo el proceso ha durado solo unos segundos.
Cloudflare Zero Trust ayuda a mantener la seguridad de los equipos internos mediante la integración con los SSO y los IdP para gestionar el acceso de los usuarios.