BLOG

IDaaS: Todo excepto la sincronización de directorios

Miniatura F5
F5
Publicado el 15 de junio de 2017

Allá por2011 Marc Andreesen declaró la famosa frase: “El software se está comiendo al mundo”. Hemos visto que esto se ha hecho realidad, aunque hoy quisiera actualizar esta declaración y decir: “SaaS se está comiendo al mundo”. SaaS y la entrega de aplicações empresariales basada en suscripción se han convertido en el modelo de consumo preferido por la mayoría de las organizaciones. La firma de análisis de mercado IDC predice que prácticamente todos los proveedores de software habrán migrado completamente a un modelo de entrega SaaS para 2018.[1] .

Amamos nuestro SaaS. ¿Y a qué no amar? El precio de pago por uso es favorable para las empresas. Permite velocidad de escala (hacia arriba o hacia abajo), reduce la huella de infraestructura local, disminuye los costos de capital, bla, bla, bla. Si estás leyendo este blog, probablemente ya sepas todo esto.

Pero el problema con SaaS es que todavía necesitamos implementar controles de seguridad de TI. Si bien dependemos del proveedor de servicios para proteger la plataforma, debemos garantizar que el acceso a nuestras aplicaciones comerciales entregadas mediante SaaS esté bien protegido. La amenaza de cuentas comprometidas es posiblemente el mayor riesgo de seguridad al adoptar ofertas de SaaS en la nube pública. No podemos permitir que los empleados utilicen contraseñas débiles o compartidas para estas aplicaciones, y las notas adhesivas en el escritorio del usuario nos hacen estremecer. Sin embargo, las políticas de contraseñas seguras dificultan el trabajo de los empleados, especialmente si deben cambiarlas periódicamente.

Necesitamos una solución de gestión de acceso para aplicaciones en la nube que permita políticas sólidas sin colocar la carga administrativa sobre los usuarios o el personal de TI. Y por supuesto, queremos que esto se entregue en un modelo de identidad como servicio (IDaaS). Hoy en día existen algunas buenas ofertas de IDaaS en el mercado, como las de Ping Identity y Okta. Estas soluciones ofrecen federación basada en SSO y SAML para aplicaciones basadas en la nube. Sus empleados simplemente se autentican en IDaaS y tienen acceso sin inconvenientes a todas sus aplicaciones en la nube. Acceso simple, fácil y seguro a las aplicaciones en la nube que necesitan.

Suena genial, ¿verdad? Simplemente copie o sincronice su directorio de usuarios local con la plataforma del proveedor de IDaaS, configure algunas aplicações SaaS habilitadas para SAML y estará listo para federar. Espera, ¿qué? ¿Copiar mi directorio a la nube? Déjame pensarlo…

Todos queremos los beneficios de simplicidad y seguridad del SSO para la nube y SaaS, pero tener copias del directorio corporativo en la plataforma de un tercero no es para todos. Si bien creo sinceramente que los proveedores de servicios se toman la seguridad muy en serio, también pueden ser un objetivo frecuente de ataques debido a los datos confidenciales que alojan. Limitar el riesgo en la nube es una buena estrategia de seguridad.

Los informes sobre la muerte del directorio local han sido muy exagerados. En F5, tenemos clientes que simplemente no quieren exponer sus directorios a la nube pública. Sin embargo, existe una manera de obtener todos los beneficios de IDaaS sin la necesidad de colocar su directorio en la plataforma IDaaS: lo que se conoce como encadenamiento de identidad SAML. Aquí es donde el proveedor de identidad (IdP) de la federación IDaaS puede redirigir a un IdP local, como F5 BIG-IP APM , que tiene acceso seguro al directorio corporativo local. Los empleados pueden autenticarse de forma transparente a través del directorio local y se puede proporcionar la afirmación SAML adecuada al IDaaS para aplicaciones SSO federadas a SaaS.

Este modelo de encadenamiento de IdP también permite que las políticas de acceso locales se extiendan a las aplicações en la nube. También se puede agregar autenticación multifactor (MFA) y acceso a políticas basadas en contexto para aplicaciones. Bastante genial ¿verdad?

Si está considerando implementar IDaaS pero tiene reservas sobre compartir su directorio corporativo en la nube, el encadenamiento de IdP puede ayudarlo a aliviar sus preocupaciones. La mayoría de los proveedores de IDaaS líderes del mercado admiten el encadenamiento de IdP y F5 BIG-IP APM tiene experiencia trabajando con casi todos ellos. ¡Adelante, IDaaS sin miedo!

[1] Pronóstico de servicios de nube pública de TI a nivel mundial y regional de IDC, 2015-2019