Definición de la administración de identidades
Administración de identidades es cómo se administran los objetos de identidad durante el ciclo de vida de la identidad. Esta administración puede ser manual o automatizada. Sin embargo, tiene que hacerse. Este es un ejemplo sencillo de lo que sucede sin gobernanza y administración de las identidades.
Historia: la vida de una identidad
Tiene un usuario por el nombre de Juan. A Juan se le asigna una cuenta en tu empresa y trabaja durante varios años. Con ese tiempo, el usuario tiene acceso de administrador para implementar una aplicación. Más tarde, Juan deja la empresa en buenos términos; sin embargo, la cuenta nunca se elimina del sistema. Un administrador olvidó enviar el papeleo para cerrar la cuenta. No hay ningún sistema de gobernanza para observar que la cuenta no se usa y que Juan ya no aparece en los sistemas de RR. HH. Un año más tarde, Juan cae víctima de un correo electrónico de suplantación de identidad (phishing) y tiene su nombre de usuario personal y contraseña robado. Siendo como muchas personas, Juan usó una contraseña similar para su vida personal y sus cuentas profesionales. Adivina qué, ahora tienes un escenario en el que los sistemas podrían dividirse. ¡Y el ataque proviene de lo que parece ser una cuenta válida!
Administración de identidades proporciona
- Un sistema que es altamente configurable en torno a los procesos empresariales
- Agilidad para escalar los recursos según la demanda
- Ahorro de costos a través de la distribución y automatización de la administración
- Flexibilidad en torno a la sincronización, la proliferación y el control de cambios
Tareas comunes de administración de identidades
Hay muchas tareas comunes realizadas durante la administración de identidades.
Proliferación de Identidades - trata el almacenamiento de objetos de identidad en el entorno. A menudo, las organizaciones tienen identidades en lugares como Active Directory, otros servicios de directorio y almacenes de identidades específicos de la aplicación.
Provisionamiento y desprovisionamiento: son realmente dos funcionalidades independientes. El aprovisionamiento habla sobre cómo se crean los objetos de identidad dentro de un sistema. La revocación de acceso se centra en eliminar el acceso de una identidad (eliminación, deshabilitación del principio de seguridad o eliminación del acceso).
Actualizaciones de identidad - abarca cómo se actualiza la información de identidad en todo el entorno. La idea es alejarse de un esfuerzo manual a un enfoque más automatizado y simplificado.
sincronización: garantiza que los sistemas de identidad de un entorno estén actualizados con la información de identidad más reciente. Esta información suele ser fundamental para determinar el acceso. Los aspectos clave que influyen en esta funcionalidad son la forma en que se realiza la sincronización, ya sea manual, basada en tiempo o controlada por eventos.
de administración de contraseñas: se centra en dónde y cómo se establecen las contraseñas en toda la infraestructura de identidad. En la mayoría de las organizaciones, service Desk sigue siendo el punto focal de las contraseñas olvidadas.
administración de grupos: se centra en cómo una organización administra los grupos (por ejemplo, Active Directory o LDAP) dentro de su entorno. Los grupos son uno de los formularios más comunes para determinar los permisos de acceso a los recursos y son costosos de administrar y operar.
Gestión de derechos de aplicaciones - define cómo se otorga acceso a las identidades para aplicaciones. Se centra en proporcionar derechos de aplicación generales que se aplican como una funcionalidad contenida en el pilar autorización. Por otro lado, los derechos específicos se administran como atributos relacionados con una identidad.
interfaz de usuario: es cómo el usuario final puede solicitar o realizar actualizaciones de su información de identidad. En muchos entornos, los usuarios continúan contactando con service Desk para obtener actualizaciones de su información de identidad.
control de cambios: funcionalidad se centra en cómo fluyen los cambios a través del entorno si un profesional de Service Desk lo completa manualmente. Puede haber automatización con o sin flujo de trabajo, lo que impulsa el proceso de cambio. Algunas organizaciones siguen enviando correos electrónicos para completar solicitudes, mientras que otras tienen procesos enriquecidos y maduros para ejecutar el cambio.
Automatización de administración de identidades
| PowerShell | CLI (interfaz de línea de comandos) |
|---|---|
| PowerShell multiplataforma se ejecuta en Windows, macOS, Linux | Interfaz de línea de comandos multiplataforma, instalable en Windows, macOS, Linux |
| Se requiere Windows PowerShell o PowerShell | Se ejecuta en Windows PowerShell, símbolo del sistema o Bash y otros shells de Unix |
| Lenguaje de guionaje | Acción | Comando |
|---|---|---|
| Azure CLI | Creación de un usuario | az ad user create --display-name "New User" --password "Password" --user-principal-name NewUser@contoso.com |
| Microsoft Graph | Creación de un usuario | New-MgUser -DisplayName "New User" -PasswordProfile Password -UserPrincipalName "NewUser@contoso.com" -AccountEnabled $true -MailNickName "Newuser“ |
Al seleccionar la herramienta adecuada, tenga en cuenta la experiencia pasada y el entorno de trabajo actual. La sintaxis de la CLI de Azure es similar a la del scripting de Bash. Si trabaja principalmente con sistemas Linux, la CLI de Azure se siente más natural. PowerShell es el motor de scripting de Microsoft. Si trabaja principalmente con sistemas Windows, PowerShell es una opción natural. Los comandos siguen un esquema de nomenclatura verbo-sustantivo y los datos se devuelven como objetos.
Microsoft Graph
Microsoft Graph expone las API REST y las bibliotecas cliente para acceder a los datos de los siguientes servicios en la nube de Microsoft, como el identificador de Entra de Microsoft, Microsoft 365, los dispositivos y muchos otros.
Microsoft Graph API ofrece un único punto de conexión,
https://graph.microsoft.com, para proporcionar acceso a información y datos enriquecidos centrados en personas en la nube de Microsoft, incluidos Microsoft 365, Windows 10 y Enterprise Mobility + Security. Puede usar api rest o SDK para acceder al punto de conexión y compilar aplicaciones que admitan escenarios de Microsoft 365. El acceso puede abarcar desde la productividad, hasta la colaboración, hasta la educación. Microsoft Graph también incluye un conjunto eficaz de servicios que administran la identidad de usuario y dispositivo. Puede determinar y configurar el acceso, el cumplimiento, la seguridad y ayudar a proteger a las organizaciones frente a la fuga o pérdida de datos.Los conectores de Microsoft Graph funcionan en la dirección entrante, entregando datos externos a la nube de Microsoft en servicios y aplicaciones de Microsoft Graph, para mejorar las experiencias de Microsoft 365, como Búsqueda de Microsoft. Existen conectores para muchos orígenes de datos usados habitualmente, como Box, Google Drive, Jira y Salesforce.
Microsoft Graph Data Connect proporciona un conjunto de herramientas para simplificar la entrega segura y escalable de datos de Microsoft Graph a almacenes de datos populares de Azure. Los datos almacenados en caché sirven como orígenes de datos para las herramientas de desarrollo de Azure que puede usar para compilar aplicaciones inteligentes.
Juntos, Microsoft Graph API, conectores y Data Connect potencian la plataforma de servicios en la nube de Microsoft. Con la capacidad de acceder a los datos de Microsoft Graph y otros conjuntos de datos, puede derivar información y análisis, ampliar Azure y Microsoft 365 mediante la creación de aplicaciones inteligentes y únicas.