Problema empresarial
Las empresas usan cada vez más aplicaciones en la nube en sus flujos de trabajo cotidianos. Cada app en la nube tiene una lista de usuarios con conjuntos de privilegios. Cada vez que los usuarios se unen a la empresa o la dejan, deben aprovisionarse o desaprovisionarse de todas las apps que correspondan.
Esto significa que los departamentos de TI administran los ID de usuario y contraseñas individuales que se asocian con diferentes apps en la nube para cada usuario. Cuando el aprovisionamiento está automatizado, los empleados obtienen las herramientas que necesitan apenas se unen a la empresa. Las empresas también deben reducir los posibles riesgos de seguridad mediante el desaprovisionamiento de los usuarios de todas las apps en la nube cuando abandonan la empresa.
Tu empresa debe reducir la sobrecarga relacionada con la administración de los usuarios en cada app de terceros en la nube que usan los empleados. El objetivo es automatizar el aprovisionamiento de usuarios para crear, actualizar o borrar información del perfil del usuario en un solo lugar y que se refleje en todas las apps en la nube.
Soluciones
Existen alternativas de Cloud Identity y de terceros para implementar el aprovisionamiento automático.
Aprovisionamiento automático de Cloud Identity
Cloud Identity tiene un catálogo de conectores de aprovisionamiento automatizados que actúan como puente entre Cloud Identity y las apps de terceros en la nube.
Una vez que hayas configurado SAML para el inicio de sesión único (SSO), puedes configurar el aprovisionamiento automatizado de usuarios a fin de crear, modificar o borrar la identidad de un usuario en todas las apps en la nube. Los administradores pueden autorizar a Cloud Identity para que sincronice un subconjunto de sus usuarios con una o más apps compatibles.
Ventajas
- Se adapta al ciclo de vida completo del usuario, ya que crea, actualiza, quita o suspende los perfiles de usuario.
- Se adapta a la administración del ciclo de vida completo de una app, ya que permite que las empresas agreguen o quiten aplicaciones de su organización en una ubicación central.
- Proporciona una experiencia del usuario coherente para todas las apps compatibles, ya que ofrece informes unificados, registros de auditoría y seguimiento de eventos detallado.
Aprovisionamiento justo a tiempo de terceros
Muchas apps que admiten SAML se pueden aprovisionar de forma automática a través del aprovisionamiento justo a tiempo (JIT). Algunos proveedores de servicios configuran sus apps de SAML para que, cuando un usuario acceda a la app, verifique si ya tiene una cuenta. Si no tienen una cuenta, se le creará una.
Ventajas
- Requiere menos configuración, ya que solo se requiere la configuración de la app de SAML.
- Los clientes podrían influir en los proveedores de servicios a fin de que admitan el aprovisionamiento JIT para las apps en las que Cloud Identity no tiene conectores de aprovisionamiento automatizado por el momento.
Desventajas
- No admite el desaprovisionamiento de los usuarios, que requiere una intervención manual para quitar las licencias de la app de los usuarios que abandonan una empresa.
- No todas las apps de terceros en la nube admiten el aprovisionamiento JIT.
- En comparación con los conectores de aprovisionamiento automatizado coherentes de Cloud Identity, el funcionamiento y el contenido de los informes y registros de los conectores de terceros pueden variar.
Recomendaciones
Cuando una app es compatible con el aprovisionamiento automatizado en el catálogo de SAML de Cloud Identity, te recomendamos usar el conector de aprovisionamiento automatizado de Cloud Identity.
Si el conector de aprovisionamiento automatizado que necesitas no está en el catálogo, solicita a tu proveedor de servicios que desarrolle el conector. Si tu proveedor de servicios admite JIT, esta también es una opción. Sin embargo, por lo general, solo controla la creación de perfiles de usuario y no aborda la actualización, la suspensión ni la eliminación de perfiles.
Proveedores de identidad de terceros
Si tienes un proveedor de identidad (IdP) de terceros, también puedes configurar el aprovisionamiento automatizado de usuarios en apps de terceros del catálogo de Cloud Identity. En este caso, la autenticación de usuarios se produce en el IdP de terceros, y Cloud Identity administra las apps en la nube.
Si deseas usar Cloud Identity para el aprovisionamiento automatizado, tus usuarios deben tener cuentas de Cloud Identity. Deben acceder a través de tu IdP de terceros o mediante una contraseña en sus cuentas de Cloud Identity.
Ejemplo
La empresa A usa Cloud Identity como su IdP principal. También usa productos de software como servicio (SaaS) para la administración de recursos de clientes (CRM), la mensajería y la administración de tickets de clientes. La empresa quiere automatizar el aprovisionamiento y el desaprovisionamiento de usuarios en estas apps en la nube con Cloud Identity como su única fuente de información (IdP).
En su primer día en la empresa A, todos los empleados de asistencia obtienen automáticamente una licencia para la app de administración de tickets de clientes y todos los vendedores obtienen una licencia para la app de CRM. Todos obtienen la app de mensajería.
El departamento de TI de la empresa A quiere asegurarse de que solo el conjunto adecuado de personas en la organización del cliente pueda acceder a ciertas aplicaciones de terceros. Esto incluye la sincronización de los perfiles de usuario de Cloud Identity con todas las aplicaciones de terceros vinculadas que se asignaron a usuarios específicos.
Cuando un usuario pierde acceso a una app (cuando abandona la empresa y ya no necesita la app), su perfil se borra de las aplicaciones de terceros vinculadas correspondientes, por lo que las licencias no se bloquean.
La TI configura sus apps en la nube para el aprovisionamiento automatizado:
- Crea una lista de las apps en la nube que usan sus empleados.
- Ubica estas apps en los catálogos SAML de Cloud Identity y de aprovisionamiento automatizado de usuarios.
- Configura el SSO para estas apps mediante la activación del SSO, uno por uno (si el SSO aún no está configurado).
- Configura el aprovisionamiento automatizado de usuarios para las apps.
Flujo de aprovisionamiento automatizado
La empresa A contrata a María. Antes de su primer día de trabajo, un administrador le crea una cuenta para agregarla a Cloud Identity. El administrador también la agrega a una organización. María podrá acceder a las apps en la nube asignadas a esa organización.
Cloud Identity repite la identidad de María en todas esas apps en la nube.
En su primer día, María accede a Cloud Identity. A través del SSO, puede acceder a las apps en la nube que necesita mediante sus credenciales de Cloud Identity.
Información relacionada
- Configura el SSO con Google como tu proveedor de identidad.
- Catálogo de apps SAML: Apps SAML preintegradas
- Conectores de aprovisionamiento automatizado: Apps preconfiguradas para el aprovisionamiento de usuarios
- Cuentas de Cloud Identity: Crear cuentas de usuario de Cloud Identity
- Especifica apps para una organización: Configura la aplicación SAML personalizada.