Automatizar el aprovisionamiento de usuarios en aplicaciones en la nube

Problema empresarial

Las empresas están utilizando cada vez más aplicaciones en la nube en sus flujos de trabajo diarios. Cada una de estas aplicaciones tiene una lista de usuarios con conjuntos específicos de privilegios, y cuando dichos usuarios se incorporan a la empresa o la abandonan, el administrador debe aprovisionarlos o darlos de baja (respectivamente) en las aplicaciones que correspondan.

Esto se traduce en que los departamentos de TI deben encargarse de administrar todos los ID de usuario y contraseñas concretos de cada empleado en cada una de las aplicaciones de la nube a las que están asociados. Sin embargo, con el aprovisionamiento automático, los trabajadores pueden obtener las herramientas que necesitan en cuanto se unen a la empresa. Además de esto, este sistema permite a las empresas reducir los posibles riesgos de seguridad, ya que pueden dar de baja a un usuario de todas las aplicaciones en la nube cuando deja la empresa.

Para las empresas, es deseable reducir la sobrecarga administrativa que implica la labor de administración de usuarios en determinadas aplicaciones externas en la nube que utilizan los empleados. El objetivo es automatizar el aprovisionamiento de usuarios para crear, actualizar o eliminar información de sus perfiles desde un solo lugar, y que estos cambios se apliquen automáticamente a todas las aplicaciones en la nube.

Soluciones

A la hora de implementar el aprovisionamiento automático, dispones de diversas alternativas de terceros y del servicio Cloud Identity.

Aprovisionamiento automático de Cloud Identity

Cloud Identity ofrece un catálogo de conectores de aprovisionamiento automático que actúan a modo de puente entre dicho servicio y las aplicaciones en la nube de terceros.

Una vez que hayas configurado SAML para el inicio de sesión único (SSO), puedes aplicar el aprovisionamiento automático de usuarios para crear, modificar o eliminar sus identidades en todas tus aplicaciones en la nube. Los administradores pueden autorizar Cloud Identity para sincronizar un subconjunto de usuarios de Cloud Identity con una o más aplicaciones compatibles.

Ventajas

  • Se adapta al ciclo de vida completo de los empleados, ya que puedes crear, actualizar, eliminar o suspender sus perfiles de usuario.
  • Como permite que las empresas añadan o eliminen aplicaciones de su organización desde una ubicación central, facilita la administración completa del ciclo de vida de las aplicaciones.
  • Proporciona una experiencia de usuario coherente en todas las aplicaciones compatibles, incluidos los informes unificados, los registros de auditoría y el seguimiento pormenorizado de eventos.

Aprovisionamiento JIT de terceros

Muchas aplicaciones compatibles con SAML se pueden aprovisionar automáticamente mediante el método de aprovisionamiento JIT (del inglés "Just-in-Time", que significa "justo a tiempo"). Algunos proveedores de servicios configuran sus aplicaciones SAML para que su propia aplicación compruebe si los usuarios tienen una cuenta cuando acceden a ella y, en caso contrario, se encargue de crear una.

Ventajas

  • JIT requiere menos labor de configuración porque solo hace falta configurar la aplicación SAML.
  • Los clientes podrían influir en los proveedores de servicios para que respalden el aprovisionamiento JIT para las aplicaciones en las que Cloud Identity no cuenta con conectores de aprovisionamiento automático.

Desventajas

  • JIT no permite dar de baja a usuarios, por lo que se necesita una intervención manual para quitar las licencias de aplicaciones de los empleados que dejan una empresa.
  • No todas las aplicaciones de terceros en la nube son compatibles con el aprovisionamiento JIT.
  • En comparación con los predecibles conectores de aprovisionamiento automático de Cloud Identity, los conectores de terceros pueden variar en su funcionamiento y en lo que incluyen sus informes y registros.

Recomendaciones

Cuando una aplicación admite el aprovisionamiento automático en el catálogo de SAML de Cloud Identity, te recomendamos que utilices el conector de aprovisionamiento automático de dicho servicio.

Si el conector de aprovisionamiento automático que necesitas no figura en el catálogo, trabaja con tu proveedor de servicios para desarrollar el conector. JIT también es una opción viable si tu proveedor de servicios utiliza este método; sin embargo, este tipo de aprovisionamiento solo suele encargarse de la creación de perfiles de usuario y no de actualizarlos, suspenderlos o eliminarlos.

Proveedores de identidades de terceros

Si cuentas con un proveedor de identidades de terceros (IdP), puedes configurar el aprovisionamiento automático de usuarios para aplicaciones de terceros en el catálogo de Cloud Identity. La autenticación de usuarios se realiza en el proveedor de identidades de terceros y Cloud Identity administra las aplicaciones en la nube.

Para usar Cloud Identity para el aprovisionamiento automático, tus usuarios necesitan cuentas de Cloud Identity y deben iniciar sesión mediante el proveedor de identidades de terceros o con una contraseña en dichas cuentas.

Ejemplo

La empresa A utiliza Cloud Identity como proveedor de identidades principal y, además, utiliza productos de software como servicio (SaaS) para las tareas relacionadas con la administración de recursos de clientes (CRM), mensajería y gestión de incidencias de clientes. Su objetivo actual es automatizar el aprovisionamiento y las bajas de usuarios en estas aplicaciones en la nube con Cloud Identity como la única fuente fiable.

En su primer día en la empresa A, todos los empleados del departamento de Asistencia obtienen automáticamente una licencia para la aplicación de gestión de incidencias de clientes, y todo el personal de Ventas obtiene otra para la aplicación de CRM. Además, todo el mundo, independientemente del departamento, obtiene acceso a la aplicación de mensajería.

El departamento de TI de la empresa A quiere asegurarse de que solo el grupo correcto de personas de la organización del cliente puede acceder a determinadas aplicaciones de terceros. Esto implica sincronizar los perfiles de usuario de Cloud Identity con todas las aplicaciones de terceros vinculadas que están asignadas a usuarios particulares.

Cuando un usuario deja de tener acceso a una aplicación (es decir, si ya no necesita utilizarla o deja la empresa), su perfil se quita automáticamente de las aplicaciones de terceros vinculadas pertinentes. Gracias a esto, se evita que se bloqueen las licencias.

El departamento de TI configura sus aplicaciones en la nube para el aprovisionamiento automático a través de las siguientes tareas:

  • Realizar una lista de las aplicaciones en la nube que usan los empleados.
  • Localizar estas aplicaciones en los catálogos de SAML de Cloud Identity y de aprovisionamiento automático de usuarios.
  • Activar el SSO en cada una de estas aplicaciones para configurarlo (en caso de que no se haya configurado todavía).
  • Configurar el aprovisionamiento automático de usuarios para las aplicaciones.

Flujo de aprovisionamiento automático

La empresa A contrata a María. Antes de que empiece su primer día en el trabajo, un administrador crea su cuenta para añadirla a Cloud Identity; además de eso, también la incluye en una organización. De este modo, María puede acceder a las aplicaciones en la nube que estén asignadas a dicha organización.

Cloud Identity se encarga de crear una réplica de la identidad de María en todas esas aplicaciones en la nube.

Inicia sesión en aplicaciones en la nube mediante el SSO.

En su primer día, María inicia sesión en Cloud Identity. Mediante el SSO, solo tiene que utilizar sus credenciales de dicho servicio para acceder a las aplicaciones en la nube que necesita.

Inicia sesión en aplicaciones en la nube mediante el SSO.