Skip to main content

 

http://itconnect.lat/portal/gestion-de-identidad-001/

Gestió d’identitat vs gestió d’accés

Gairebé tots els que ens dediquem a això de la seguretat de la informació i que hem participat en el desenvolupament de productes i solucions per Identity and Access Management (IAM), hem intentat convèncer als nostres clients en més d’una ocasió sobre com IAM pot ajudar a complir amb les reglamentacions, obtenir estalvi de costos, millorar l’experiència del client, etc. De vegades comptem aquestes coses usant acrònims i noms molt sonors de protocols i productes. Però, per contra, no moltes vegades tenim clars conceptes com gestió d’identitat i accés, arribant generalment a confondre i fusionar els dos termes. Per això intentarem aclarir-los una mica.

Què és identitat?

Tots disposem d’una identitat. Més concretament en el món digital, les nostres identitats es manifesten en forma d’atributs, entrades en una base de dades que ens defineixen dins d’un sistema determinat. La tendència dels serveis en línia és recopilar tots aquests atributs perquè siguin més útils, per, per exemple, crear una experiència d’usuari personalitzada, basada en les dades recopilades sobre els nostres atributs estàtics, definits en el moment del registre en aquest servei o dinàmics durant el consum del mateix.

Els atributs ens diferencien d’altres usuaris dins d’un mateix sistema. Aquests atributs podrien ser una adreça de correu electrònic, un número de telèfon, etc. Podem catalogar de manera general dos tipus d’atributs que seran tractats de diferent manera: els estàtics que generalment no canvien, com podria ser el gènere, origen ètnic, etc. I els atributs dinàmics que si canvien amb el temps, com lloc de treball, adreça postal, estat civil, edat, etc.

Gestió de identitat

La identitat digital d’una persona s’estableix quan aquest es registra en un sistema. Durant aquest procés, es recopilen i emmagatzemen a la base de dades determinats atributs. El procés de registre i nombre d’atributs a tractar poden ser bastant diferents depenent del tipus d’identitat digital que es pretén atorgar. La identitat electrònica emesa per algun centre oficial utilitzarà un procés molt complet de recopilació i tractament, mentre que el registre en una xarxa social pot realitzar-se amb atributs d’identitat completament falsos i per tant no verificats.

El procés de gestió d’identitat pretén tractar els atributs que defineixen a l’individu. Per això, els responsables de crear, actualitzar o fins i tot eliminar atributs relacionats amb el nostre registre poden ser perfils tan diversos com el director de recursos humans de l’empresa, l’administrador de TI, el gestor de serveis d’un lloc de comerç electrònic, etc.

¿Atribut és igual a autorització?                                                        

Un atribut o conjunt d’atributs poden ser utilitzats per desencadenar un procés d’avaluació d’autorització, però en cap moment han de representar una autorització en si mateixa, ja que aquesta última és el resultat de l’avaluació dels atributs i és atorgada en base a unes regles que poden variar depenent d’altres paràmetres, com poden ser altres atributs i / o autoritzacions. Per tant, és bastant crucial que els atributs que atorguen poder a l’usuari es manegen i mantinguin acuradament, ja que d’això depenen les capacitats que s’atorguin a l’usuari dins del sistema.

Què volem dir amb “accés”?

 Les decisions d’accés són decisions de tipus binari Si / No. Quan s’implementa un control d’accés, aquest ha de prendre la decisió de permetre o no que un usuari pugui ingressar en el sistema o consumir un recurs.

Normalment solen existir diversos punts de control d’accés dins d’un sistema o servei. Per exemple, podria ser necessari determinar si l’usuari pot o no identificar-se; posteriorment es podria determinar quines operacions pot realitzar i, per tant, s’estableixen alguns punts de control d’accés visuals per a l’usuari, que requereixen accions per part seva. L’exemple més bàsic seria l’autenticació bàsica i el cas més extrem el constituiria un segon o tercer factor.

Què volem dir amb “autenticació”?

 L’autenticació és un procés on s’establirà la identitat de l’usuari. Hi ha moltes formes diferents d’autenticar a l’usuari. En el nivell més baix, l’usuari pot autenticar amb un procés de login bàsic únicament amb el seu nom. A l’altre extrem de l’espectre, l’usuari podria iniciar-vos al servei utilitzant la seva identitat electrònica emesa pel govern (DNIe o similar). Entre aquests dos exemples, hi ha una àmplia gamma de processos i tecnologies per a l’autenticació.

Finalment la gestió d’accés

Arribat a aquest punt ens podríem estar preguntant: “quan s’estableix la identitat de l’usuari, aquest pot accedir al servei?” La resposta és no. En cap cas l’autenticació serà igual a l’autorització: com veurem tot seguit, són conceptes diferents encara que complementaris.

En punts anteriors hem vist que el resultat de l’autenticació són determinats atributs de l’usuari en qüestió que anomenarem identitat. Per contra, l’autorització és el resultat de l’avaluació d’aquesta identitat en base a unes regles establertes i únicament ha de retornar un valor binari.

Una política d’autorització és una eina que es pot utilitzar per crear un punt de decisió formal i únic. En el món de IAM, la política d’autorització pot implementar-se en un servei centralitzat, a nivell local, o en tots dos. La funció d’un proveïdor d’identitat és fer un bon recull d’atributs d’identitat disponibles i prendre decisions d’accés d’alt nivell en nom del servei o identitat que li ho sol·liciti.

Per tot l’anterior, no és aconsellable crear un marc de polítiques d’autorització a nivell de servei, ja que crea complexitats, despeses generals de manteniment, és difícil de modificar ràpidament i, el pitjor de tot, pot ser propens a errors. Així que finalment podríem determinar la diferència entre la gestió d’identitats i la gestió d’accés com:

  • Identity management: tracta sobre la gestió dels atributs relacionats amb l’usuari.
  • Access management: tracta d’avaluar els atributs basant-se en polítiques definides i prendre decisions binàries.

José Luis Juárez / Consultor de seguretat IT / vintegrisTECH

Leave a Reply