Información general sobre la gestión de identidades y accesos

La gestión de identidades y accesos es una práctica que consiste en dar a cada usuario el acceso adecuado a los recursos pertinentes por los motivos correctos. En esta serie se profundiza tanto en la gestión de identidades y accesos general como en los usuarios a los que se les aplica, como los siguientes:

  • Identidades empresariales: identidades que gestionas para los empleados de tu organización. Sirven para iniciar sesión en las estaciones de trabajo, acceder al correo electrónico o utilizar las aplicaciones empresariales. Las identidades empresariales también pueden incluir a usuarios que no son empleados, como contratistas o partners que deben acceder a los recursos empresariales.
  • Identidades de clientes: identidades que gestionas para que los usuarios puedan interactuar con tu sitio web o las aplicaciones dirigidas a los clientes.
  • Identidades de servicios: identidades que gestionas para que las aplicaciones puedan interactuar con otras aplicaciones o la plataforma subyacente.

Quizá debas dar acceso a los recursos siguientes:

  • Servicios de Google, como Google Cloud, Google Analytics o Google Workspace
  • Recursos de Google Cloud, como proyectos, segmentos de Cloud Storage o máquinas virtuales
  • Aplicaciones personalizadas o los recursos que gestionan

La serie consta de varias guías donde se explican estas partes de la gestión de identidades y accesos:

Relación entre las guías de esta serie

  • La base de la gestión de identidades y accesos está en gestionar las identidades empresariales, de clientes y de servicios. Estos temas ocupan los cuadros 4, 5 y 6 (en color verde).
  • Sobre la base de la gestión de identidades, los cuadros 2 y 3 (en color azul) indican los temas relativos a la gestión de accesos, como gestionar el acceso a servicios de Google y recursos de Google Cloud, además de a cargas de trabajo y aplicaciones personalizadas.
  • En el cuadro 1 (en color amarillo) se señalan temas sobre gestión de accesos que no se incluyen en estas guías. Para obtener información sobre la gestión de accesos a Google Workspace, Google Marketing Platform y otros servicios, consulta la documentación de cada producto.

Gestión de identidades

La gestión de identidades se centra en los procesos siguientes:

  • Aprovisionar, gestionar, migrar y dar de baja identidades, usuarios y grupos.
  • Habilitar la autenticación segura en los servicios de Google y las cargas de trabajo personalizadas.

Tanto los procesos como las tecnologías que usas dependen de si gestionas identidades empresariales, de aplicaciones o de clientes.

Gestionar las identidades empresariales

Las identidades empresariales son aquellas que gestionas para los empleados de tu organización. Estos las usan para iniciar sesión en las estaciones de trabajo, acceder al correo electrónico o utilizar las aplicaciones empresariales.

Al gestionar identidades empresariales, estos son los requisitos más habituales:

  • Mantener una ubicación única donde gestionar las identidades de toda la organización.
  • Permitir que los empleados usen la misma identidad y el inicio de sesión único en las distintas aplicaciones de los entornos de computación híbridos.
  • Imponer políticas obligatorias que deben acatar todos los empleados, como autenticación multifactor o seguridad de las contraseñas.
  • Satisfacer los criterios de cumplimiento que se aplican a tu empresa.

Los productos Google Workspace y Cloud Identity de Google te permiten cumplir esos requisitos, así como gestionar las identidades y las políticas de forma centralizada.

Si utilizas los servicios de Google en contextos híbridos o multinube, para cumplir dichos requisitos, puede que debas integrar las funciones de gestión de identidades y accesos de Google con soluciones externas de gestión de identidades u otros proveedores de identidades, como Active Directory. En el documento Arquitecturas de referencia se explica cómo hacer esa integración con Google Workspace o Cloud Identity.

Es posible que algunos empleados utilicen cuentas de Gmail o de otros servicios parecidos para acceder a los recursos empresariales, pero esos tipos de cuentas pueden incumplir tus requisitos o políticas. En ese caso, migra a esos usuarios a Google Workspace o Cloud Identity. Para obtener más información, consulta los artículos sobre cómo evaluar las cuentas de usuario que ya se usan y los planes de incorporación.

Para que te resulte más fácil adoptar Google Workspace o Cloud Identity, nuestras guías de evaluación y planificación te ofrecen instrucciones para conocer tus requisitos e iniciar el proceso de adopción.

Gestionar las identidades de aplicaciones

Las identidades de aplicaciones son aquellas que gestionas para que las aplicaciones puedan interactuar con otras aplicaciones o la plataforma subyacente.

Al gestionar identidades de aplicaciones, estos son los requisitos más habituales:

  • Llevar a cabo la integración con APIs y soluciones de autenticación de terceros.
  • Habilitar la autenticación entre distintos entornos cuando hay una arquitectura híbrida o multinube.
  • Impedir la filtración de credenciales.

Gracias a Google Cloud, puedes gestionar las identidades de aplicaciones y cumplir estos requisitos. Para ello, utiliza cuentas de servicio de Google Cloud y de Kubernetes. Para obtener más información sobre estas cuentas y las prácticas recomendadas a la hora de usarlas, consulta la descripción de las cuentas de servicio.

Gestionar las identidades de clientes

Las identidades de clientes son aquellas que gestionas para que los usuarios puedan interactuar con tu sitio web o las aplicaciones dirigidas a los clientes. La gestión de identidades de clientes y de sus accesos también se denomina gestión de identidades y accesos de clientes (CIAM).

Al gestionar identidades de clientes, estos son los requisitos más habituales:

  • Permitir que los clientes se registren para crear cuentas, pero con medidas de protección contra usos inadecuados, como detectar y bloquear la creación de cuentas de bots.
  • Facilitar el inicio de sesión social y la integración con otros proveedores de identidades.
  • Exigir la autenticación multifactor y ciertos requisitos de seguridad de las contraseñas.

Google Identity Platform te permite gestionar las identidades de clientes y cumplir esos requisitos. Para obtener más información sobre las funciones de esta plataforma y aprender a integrarla con tus aplicaciones personalizadas, consulta la documentación de Identity Platform.

Gestión de accesos

La gestión de accesos se centra en los procesos siguientes:

  • Dar a las identidades acceso a recursos concretos o revocarlo.
  • Gestionar roles y permisos.
  • Delegar funciones administrativas en usuarios de confianza.
  • Desplegar controles de acceso obligatorios.
  • Auditar los accesos de las identidades.

Gestionar los accesos a servicios de Google

Puede que tu organización utilice varios servicios de Google; por ejemplo, Google Workspace para colaborar, Google Cloud para desplegar cargas de trabajo personalizadas y Google Analytics para medir los resultados de la publicidad.

Google Workspace o Cloud Identity te permiten controlar de forma centralizada qué identidades empresariales pueden usar los servicios de Google. Fija un nivel básico de control de acceso restringiendo el acceso a determinados servicios. Luego, utiliza las funciones de gestión de accesos de cada uno de esos servicios para configurar un control más específico.

Para obtener más información, lee el artículo sobre cómo controlar quiénes acceden a Google Workspace y los servicios de Google.

Gestionar los accesos a Google Cloud

En Google Cloud, puedes usar la gestión de identidades y accesos para dar a las identidades empresariales acceso específico a ciertos recursos. De ese modo, respetas el principio de seguridad de los mínimos accesos, ya que solo les das permiso para acceder a los recursos que especifiques.

Para obtener más información, consulta la documentación de la gestión de identidades y accesos.

Gestionar los accesos a tus cargas de trabajo y aplicaciones

Las cargas de trabajo y aplicaciones personalizadas varían según los usuarios a los que están dirigidas:

  • Algunas cargas de trabajo están destinadas a los usuarios de la empresa, como aplicaciones internas de línea de negocio, paneles de control o sistemas de gestión de contenido.
  • Otras aplicaciones están concebidas para los clientes, como un sitio web, un portal de autoservicio para clientes o backends para aplicaciones móviles.

El método adecuado para imponer controles de acceso obligatorios, gestionar los accesos y someterlos a auditorías depende del público al que te diriges y de cómo despliegas la aplicación.

Para obtener más información sobre cómo proteger las aplicaciones y otras cargas de trabajo que utilizan los usuarios de la empresa, consulta la documentación de Identity‑Aware Proxy (IAP). También puedes integrar el inicio de sesión de Google directamente mediante protocolos estándar, como OAuth 2.0 u OpenID Connect.

Si quieres aprender a exigir ciertas medidas para acceder a las API, consulta la documentación de Istio y Cloud Endpoints. Ambos productos te valen tanto para los usuarios de la empresa como para los finales.

Siguientes pasos

  • Para conocer los conceptos y las funciones de la gestión de identidades, lee la sección Conceptos.
  • Para obtener información preceptiva a la hora de crear tu arquitectura o diseño, lee la sección Prácticas recomendadas.
  • Para aprender a evaluar tus requisitos e identificar el diseño adecuado, lee la sección Evaluación y planificación.