Identity Management, una breve introducción a conceptos clave: Autorización

Autorización

Autorización. Si bien este concepto es ampliamente aplicado en el ámbito del día a día en elementos tan simples como el ingreso a los hogares de cada uno de nosotros, y las actividades que realizamos tanto nosotros como nuestros posibles invitados dentro del mismo; en el ámbito del control de accesos tiene una importancia más relevante, ya que en conjunto con la identidad es uno de los pilares conceptuales que permiten que exista una manera confiable de gestionar los recursos y quién o qué puede acceder a ellos.

En términos simples la autorización refiere a conceder accesos a determinados recursos y a realizar determinadas acciones sobre los mismos en función de sus atributos, lo que se traduce en qué permisos tiene sobre dichos activos. Dicho de otro modo: la autorización es en sí ejercer un control de accesos.

Así, para poder ejercer una correcta gestión de accesos, se deben de tener respuesta a las preguntas siguientes como mínimo.

  • ¿Quién/qué realizó la solicitud?
  • ¿Qué está solicitando?
  • ¿Qué reglas aplican cuando se decide sobre dicha solicitud?
  • ¿Para quién/qué se está realizando la solicitud?

En este sentido, es importante tener definidos otros conceptos que entran en juego para la comprensión del tema que estamos abordando. Entre ellos encontramos los siguientes:

  • Principal: es una persona o aplicación que puede hacer una solicitud para una acción u operación.
  • Entidad: es la identidad usada para autorizar los accesos que generalmente viene dada con una agrupación de roles o una cuenta de usuario individual.
  • Sujeto (subject): es la entidad activa que realiza la petición cuando un sistema ejecuta algún programa.
  • Objecto (object): es la entidad pasiva en una solicitud de acceso.
  • Derechos de acceso: definen como un principal obtiene acceso a un objeto.
  • Separación de deberes (SOD): se refiere a generar un conjunto de políticas que prevengan que un usuario tenga demasiados permisos y que a su vez se auto otorguen en función de tener bien definidos los mecanismos por los que se otorgan accesos.

Dada la constante evolución de las entidades capaces de solicitar accesos los cuales ya no son exclusivos de las personas, se desarrollan distintos enfoques para poder realizar gestionar los accesos. Algunos ejemplos son los siguientes:

  • Control de accesos basados en atributos (ABAC): el cual como su nombre lo menciona está basado en que el acceso se otorgue o niegue en función de algún atributo determinado.
  • Control de accesos basado en identidades (IBAC): para este caso el acceso va directamente ligado a la identidad que solicita el acceso y si esta tiene o no el permiso para que su solicitud sea aprobada.
  • Control de accesos basado en roles (RBAC): El cual está basado en la definición de roles que en su expresión más simple los roles contienen un conjunto de permisos (plano). Pueden homologarse a la jerarquía organizacional (jerárquico); si se tiene bien definida la separación de deberes se considera (restringido) y agregando a lo anterior las certificación o revisión de los roles (simétrico) tendríamos el esquema más completo de este enfoque.

Pese a que un esquema RBAC simétrico es el entorno ideal para el control de acceso general, no se recomienda que este último nivel sea el primer alcance para implementar control de accesos sino que se escale con el tiempo, esto a efecto de tener una implementación más temprana.

Si bien esto es solo una breve descripción de estos conceptos, se debe recalcar que son elementos clave en la gestión de accesos e identidades.

Recuerda en Clear Intelligence podemos ayudarte a explotar estas tecnologías para la mejora continua de tus procesos, haciendo que tu organización sea más segura y eficiente. Para realizar un análisis más a detalle de tus necesidades e intereses déjanos tus datos en el siguiente formulario y nos comunicaremos contigo a la brevedad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *