Proveedores de identidad - Servicios de autenticación centralizados
Lectura de 2 min aprox.
Un proveedor de identidad (Identity Provider, IdP) es un servicio encargado de gestionar de forma centralizada la información de autenticación de los usuarios y de demostrar a otros servicios que «este usuario es quien dice ser». Desde Okta y Microsoft Entra ID (antes Azure AD) que despliegan las empresas, hasta las cuentas de Google y los Apple ID orientados a particulares, los IdP constituyen el núcleo de la infraestructura de autenticación moderna sin importar la escala. Sin un IdP, los usuarios tendrían que crear y gestionar una cuenta distinta para cada servicio, lo que provoca fatiga de contraseñas y un aumento de los riesgos de seguridad.
La relación entre el IdP y el SP
El IdP es la parte que proporciona la autenticación, mientras que el SP (Service Provider, proveedor de servicios) es la parte que la recibe. Cuando un usuario accede a un SP, este delega la autenticación en el IdP, y el IdP devuelve al SP el resultado de su verificación de identidad (una aserción). Este mecanismo hace posible el inicio de sesión único (SSO), con el que un usuario puede usar varios SP iniciando sesión en el IdP una sola vez.
Principales servicios de IdP
| IdP | Público principal | Características |
|---|---|---|
| Okta | Empresas | Más de 7000 integraciones de aplicaciones. Compatible con confianza cero |
| Microsoft Entra ID | Empresas que usan Microsoft 365 | Integración con AD. Acceso condicional |
| Google Workspace | Desde pymes hasta grandes empresas | Integración perfecta con los servicios de Google |
| Auth0 (Okta) | Desarrolladores y startups | API flexible. Altamente personalizable |
El papel del IdP en SAML y OIDC
Existen dos protocolos principales que el IdP utiliza para transmitir los resultados de la autenticación al SP: SAML y OpenID Connect (OIDC). SAML se basa en XML y está orientado a las empresas, mientras que OIDC se basa en JSON/JWT y se adapta a las aplicaciones web y móviles modernas. En ambos protocolos, el papel del IdP es «verificar la identidad del usuario y emitir el resultado de la autenticación», pero el formato de los datos y el método de comunicación difieren.
Emite aserciones SAML en formato XML. Se envían al SP mediante redirección del navegador. Muy compatible con los sistemas empresariales existentes.
Emite tokens de ID en formato JWT. Se envían al SP mediante una API REST. Muy compatible con aplicaciones móviles y SPA.
El riesgo de que el IdP se convierta en un punto único de fallo
Centralizar la autenticación en un IdP contribuye a una mayor comodidad y seguridad, pero conlleva el riesgo de un punto único de fallo (SPOF): si el propio IdP deja de funcionar, los usuarios ya no pueden iniciar sesión en ninguno de los servicios conectados. En la brecha de Okta de 2023, se robaron tokens de sesión de los clientes a través del sistema de soporte, lo que afectó a numerosas empresas. Al seleccionar un IdP, debes evaluar cuidadosamente su SLA de disponibilidad, su estructura de respuesta a incidentes y la disponibilidad de métodos de autenticación de respaldo. Nuestra lista de verificación de seguridad para startups también explica los puntos clave para elegir un IdP.
Federación y servicios de directorio
La federación (Federation) es un mecanismo mediante el cual distintas organizaciones confían en la información de autenticación de las demás. Por ejemplo, permitir que un usuario autenticado por el IdP de una empresa asociada acceda al SP de tu propia empresa entra en esta categoría. Los servicios de directorio (como Active Directory y LDAP) son bases de datos que almacenan la información de los usuarios dentro de una organización, y el IdP consulta este directorio para realizar la autenticación. IAM (Identity and Access Management, gestión de identidades y accesos) es un concepto más amplio que incluye no solo la autenticación, sino también la autorización (la gestión de los permisos de acceso).
Conceptos erróneos comunes
Existe el concepto erróneo de que «desplegar un IdP hace que tu seguridad sea inquebrantable», pero un IdP solo centraliza la puerta de entrada a la autenticación. Si la propia cuenta del IdP no está protegida con autenticación multifactor (MFA), una vez vulnerada, todos los servicios quedan en peligro. Al desplegar un IdP, es esencial hacer obligatoria la MFA, configurar políticas de acceso condicional y establecer la supervisión de registros de forma simultánea. Consulta también nuestro artículo sobre los riesgos de los permisos de OAuth para conocer las precauciones al integrar un IdP.libros sobre seguridad de la autenticación (Amazon) también son una referencia útil.
Casos de uso reales
«En nuestra empresa de 500 empleados, desplegamos Okta como IdP cuando el número de SaaS superó las 40. Dejó de ser necesario iniciar sesión por separado en cada servicio, y el esfuerzo dedicado a la gestión de cuentas durante las altas y bajas se redujo en un 80 %. Como podemos revocar al instante el acceso de un empleado que se marcha desde el propio IdP, gestionar nuestra política de contraseñas corporativa también se ha vuelto muchísimo más sencillo.»
¿Te resultó útil este artículo?