Categorización de los Sistemas de Gestión de Identidad digital

Estamos en 2021, y según el “Identity Management Institute”, el 83% de las organizaciones no tiene implementada una solución madura de Gestión de Identidades y Accesos. Y advierte que el número creciente de personas y dispositivos tendiendo al acceso global, obligará a éstas a incorporar tecnologías inteligentes en los protocolos de seguridad.

La gestión de la identidad digital (“gestión de identidades”) ha sido un ámbito de complejidad creciente durante las últimas dos décadas. Pese a que las tareas básicas no han sufrido cambios, siguen siendo identificación, autenticación y control de accesos; las nuevas formas de acceder a los múltiples servicios digitales han traído nuevas modalidades de gestión de las mismas y nuevos retos a satisfacer.

Por lo tanto, tras más de 25 años trabajando sobre la gestión de la identidad digital no hay consenso ni en la categorización de los sistemas de identidad digital ni en la terminología utilizada para referirse a ellos. Con la irrupción de la cloud, del IoT y de la IA esos consensos está más lejos que nunca antes.

Consideramos imprescindible exponer una clasificación histórica, no basada exclusivamente en la tecnología, de los sistemas de gestión de identidad digital más frecuentes. Observamos en la clasificación como se combinan los criterios de identidad y autenticación.

Incluimos en nuestra clasificación al menos seis categorías, que son las siguientes:

Gestión de identidad interna (modelo en silos de aplicación)

La misma organización es la proveedora de identidad y la parte que confía en ella.

Era un modelo que respondía muy bien a las necesidades de identificar y autenticar a las personas frente a las pocas aplicaciones que explotaban las organizaciones a finales del siglo XX. Normalmente, cada aplicación (servicio) requería una combinación de usuario (persona) y contraseña.

Un porcentaje altísimo de las interacciones y transacciones, en muchas el 100%, contra los sistemas de información las efectuaban directamente sus empleados o usuarios internos. No se solían provisionar usuarios de otras organizaciones (salvo subcontratados) y los clientes tampoco interactuaban directamente contra las aplicaciones (servicios).

Cada aplicación implementaba su propio sistema de gestión de identidades y accesos. En el mejor de los casos ese código se ejecutaba “n” veces, una por aplicación, aunque el código podría ser el mismo. En el peor de los casos, cada equipo de desarrollo de cada aplicación programaba un proceso distinto de identificación y autenticación.

Sistemas con autenticación externa

Hay al menos un proveedor de identidad que autentica a los usuarios frente a los servicios o aplicaciones.

La principal ventaja respecto al anterior es que los usuarios (personas) tienen unas únicas credenciales, en vez de mantener muchos pares de usuario y contraseña. Es un modelo que resolvió algunos de los retos de identificación y autenticación de la primera década del siglo XXI.

El sistema de identificación, autenticación y autorización se convirtió en más sofisticado y centralizaba el proceso de identificación, autenticación y autorización de “n” aplicaciones. En organizaciones muy grandes y complejas, “n” superaba el centenar de aplicaciones, aunque normalmente no eran todas. En algunas organizaciones se centralizan todas esas aplicaciones en un portal contra el que se identifican y autentican los usuarios de la organización. Desde esos portales se accede directamente a todas las aplicaciones que han sido homogeneizadas y a las que no, que piden unas nuevas credenciales adicionales.

Identidad y Autenticación Centralizada

Uno de los actores involucrados en el proceso de acceso a un servicio digital, (un gobierno, una universidad pública o una entidad privada) actúa como Proveedor de Identidad (Identity Provider, IdP) que transfiere atributos de la entidad a las “partes que confían”.

En este modelo, cuando un usuario (persona) intenta acceder a un recurso o aplicación que requiere autenticación, se redirige al mismo al IdP, donde se autentica y luego se le da acceso al recurso o aplicación solicitado. El IdP también permite realizar Single Sign On (“Inicio Único de Sesión”, lo cual habilita al usuario para acceder a varios sistemas con una sola instancia de autenticación). Las soluciones de identidad centralizada son muy buena solución a retos de identidad concretos como el pago de impuestos y gestiones que se realizan con la administración pública. Son sistemas aptos para usuarios internos y externos.

Algunas organizaciones implementan Sistemas de Identidad Centralizada para sus servicios y usuarios, que combinan con autenticación federada con otras organizaciones de mayor rango o con iguales con las que comparten servicios.

Autenticación Federada

Son sistemas en los que un proveedor de identidad (IdP) utiliza un conjunto de terceras partes para autenticar usuarios (no siempre personas) frente a las “partes que confían”.

Son similares a los centralizados excepto en que un conjunto de intermediarios privados emiten las identidades digitales como un servicio para quién se suscribe a los mismos.

Existen diferentes patrones de Federación de Identidades, diferentes estándares de Federación de Identidades y métodos y tecnologías que habilitan la Federación de Identidades.

Por ejemplo, ACS es un servicio de Azure (cloud pública de Microsoft) el cual también hace la función de entidad de autenticación. Soporta IdPs (Proveedores de Identidad externos) como Windows Live ID, Google, Facebook o Yahoo. Hace uso de estos IdPs externos para redirigir el usuario a su proveedor de identidad correspondiente para la autenticación.

Es una solución ya concebida para poder autenticar a usuarios externos.

Identidad distribuida

Son sistemas que conectan a muchos Proveedores de Identidad (IdPs) con muchas “partes que confían” en ellos.

Este tipo de sistemas dota a los usuarios (no siempre personas) de una “billetera” o “token” digital que sirve como inicio de sesión universal para múltiples sitios web y aplicaciones (“partes que confían”). Son sistemas basados en los estándares recientemente definidos y no están soportados por un “cuerpo de gobierno” específico.

¿Cómo funciona?

La identidad puede ser iniciada por un individuo a través de un agente, un dispositivo o un navegador en una aplicación web. Una vez creada, la identidad podría ser validada por entidades externas o incluso por otras identidades ya validadas.

Los datos que componen la identidad son controlados exclusivamente por el propietario de la misma. Cada solicitud de identidad otorgada al usuario le permite el acceso a conjuntos de datos específicos, lo que garantiza que la privacidad está incluida por diseño.

Es una solución ya concebida para poder autenticar a usuarios externos.

 Identidad descentralizada basada en blockchain

La identidad descentralizada es un marco de confianza en el que los identificadores, como los nombres de usuario (no necesariamente personas), se pueden reemplazar con identificadores que tienen una identidad propia, son independientes y habilitan el intercambio de datos con “blockchain” (cadena de bloques) y tecnología de “distributed digital ledger” (libro de contabilidad distribuida) para proteger la privacidad y las transacciones.

 Personalmente dudo de la eficiencia de blockchain para la gestión de identidades.

¿Qué echo en falta para esta década?

En una década que vendrá seguramente marcada por algoritmos, IoT, robots (incluyo aquí el vehículo autónomo) e Inteligencia Artificial; parece que los sistemas de gestión actuales no están específicamente preparados para gestionar las identidades de algoritmos (con atributos como la versión), miles de dispositivos de muy distinta naturaleza (atributos muy distintos), todo tipo de robots industriales y domésticos y algoritmos de IA; teniendo muy en cuenta que todos ellos ejecutarán acciones de impacto comercial, económico y operacional.

Sin entrar en el problema más filosófico de cómo deben ser las identidades de algoritmos, dispositivos IoT, robots y algoritmos de IA; si ese reto se logra satisfacer, queda por diseñar e implementar una gestión adecuada de las mismas.

Algunas empresas afirman tener soluciones parciales a estos retos, y las universidades más punteras han publicado estudios al respecto. El estudio publicado en diciembre de 2019 y titulado “Identity and Access Management for the Internet of Things", de P. Renee y Houssain Kettani de la Dakota State University, concluye con una frase que comparto “El IoT permanecerá inmanejable e inseguro sin un sistema de confianza”.

En mi opinión, los sistemas actuales de gestión de identidades no están explícitamente preparados por lo que es previsible la aparición de nuevos estándares, implementaciones y servicios gestionados cloud que lo permitan.

Si no nos dotamos de nuevos sistemas de gestión de identidades eficaces y eficientes, podremos vivir una década en la que sucederán millones de interacciones diarias entre algoritmos, dispositivos y robots sin tener trazabilidad de las identidades de los actores.