Seguridad en Redes y Datos

Identity and
Access Management

La disciplina que define quién puede hacer qué, dónde y cómo.

Explorar conceptos Hacer el cuestionario
Scroll
Fundamentos

¿Qué es IAM?

Tres pilares fundamentales que sostienen la gestión de identidad y acceso en cualquier organización.

Identity

Relación entre una identidad real y su representación digital. Normalmente representada por un usuario y su contraseña.

Otras representaciones: token, certificado digital, atributos biométricos.

Access

Permisos de acceso a recursos e información. Normalmente lo vemos como listas de permisos o ACLs.

Otras formas: RBAC, ABAC, políticas basadas en atributos.

Management

Gestión integral de identidades y accesos mediante procesos, productos y políticas que nos permiten administrarlos de forma segura.

Incluye auditoría, cumplimiento normativo y gobierno de identidad.

Arquitectura

Componentes de IAM

Los bloques fundamentales que construyen un ecosistema de gestión de identidad robusto.

01

Políticas

Reglas que gobiernan el acceso y comportamiento dentro del sistema IAM.

02

Usuarios

Identidades individuales que representan personas o entidades del sistema.

03

Grupos

Colecciones de usuarios que comparten permisos y características comunes.

04

Roles

Conjuntos de permisos asignados por función dentro de la organización (RBAC).

05

Permisos

Derechos específicos sobre recursos: lectura, escritura, ejecución, administración.

06

Recursos

Objetos protegidos: archivos, aplicaciones, APIs, bases de datos y servicios.

07

OUs / Group Policy

Unidades organizativas y políticas de grupo para administración jerárquica.

08

Auditoría

Registro y monitoreo continuo de accesos para cumplimiento y trazabilidad.

Identidad

Tipos de Identidad

Múltiples formas de establecer y verificar la identidad de una entidad en el sistema.

Usuario / Contraseña

El mecanismo más común. Combina un identificador único con un secreto compartido.

Token

Dispositivo físico o software que genera códigos temporales de un solo uso (OTP/HOTP/TOTP).

Certificado Digital

Documento electrónico emitido por una CA que vincula una clave pública con una identidad.

Dirección IP

Identificación basada en la ubicación de red. Útil como factor contextual adicional.

Atributos

Cualquier conjunto de características (departamento, ubicación, horario) que identifique unívocamente una entidad.

Ciclo de Vida

Ciclo de Vida de la Identidad

Fase 1

Onboarding

Creación de la identidad digital al ingresar a la organización.

Fase 2

Asignación

Provisionamiento de accesos y permisos según el rol y responsabilidades.

Fase 3

Operación

Uso activo con monitoreo continuo de accesos y detección de anomalías.

Fase 4

Modificación

Actualización de permisos ante cambios de rol, promociones o transferencias.

Fase 5

Offboarding

Revocación y eliminación segura de la identidad al finalizar la relación laboral.

Tecnologías

Implementaciones

Tecnologías y protocolos que materializan los conceptos de IAM en entornos reales.

User / Pass

Básico

Autenticación tradicional basada en credenciales. Simple pero vulnerable si no se complementa con MFA.

LDAP

Protocolo

Protocolo ligero de acceso a directorios. Base de servicios como OpenLDAP y Active Directory.

Active Directory

Microsoft

Servicio de directorio de Microsoft. Dominios, OUs, Group Policy y SSO integrado en ecosistema Windows.

Kerberos

Autenticación

Protocolo de autenticación con tickets. Utiliza criptografía de clave simétrica y un KDC central.

PKI

Infraestructura

Infraestructura de llave pública. Certificados digitales, autoridades certificadoras y cadenas de confianza.

RADIUS

AAA

Autenticación, autorización y contabilidad para accesos remotos a la red corporativa.

RBAC

Modelo

Control de acceso basado en roles. Los permisos se asignan a roles y los roles a usuarios.

Ecosistema

Productos

Soluciones del mercado que implementan IAM en distintos niveles y enfoques.

Thycotic

PAM

Gestión de cuentas privilegiadas. Bóveda de contraseñas, rotación automática y sesiones grabadas.

Centrify

Zero Trust

Plataforma de privilegios Zero Trust. Acceso bajo privilegio mínimo con MFA adaptativo.

Active Directory

Líder

El estándar de facto en entornos empresariales. Integración nativa con todo el ecosistema Microsoft.

OpenLDAP

Open Source

Implementación open source de LDAP. Flexible, extensible y ampliamente adoptada en entornos Linux.

OpenIAM

Open Source

Suite completa de IAM open source. Provisionamiento, SSO, RBAC y gobierno de identidad integrados.

Realidad

Desafíos

Los retos más comunes al implementar y mantener una solución de IAM empresarial.

Integración

Termina definiendo la solución. Conectar sistemas legacy, múltiples directorios y aplicaciones heterogéneas es el verdadero desafío.

Costo de Implantación

Puede ser difícil relevar y normalizar todos los permisos existentes. El esfuerzo inicial suele ser subestimado.

Gestión de Usuarios Privilegiados

No siempre se puede prescindir de Administrator o root. El PAM (Privileged Access Management) es crítico.

Avanzado

Implementaciones Complejas

Escenarios avanzados donde IAM escala más allá de las fronteras organizacionales.

Autenticación Federada

Permite que usuarios de una organización accedan a recursos de otra sin compartir credenciales. Basada en protocolos como SAML y WS-Federation.

  • SSO entre organizaciones
  • Confianza entre dominios
  • Estándares como SAML 2.0

OAuth 2.0

Framework de autorización que permite a aplicaciones obtener acceso limitado a recursos sin exponer credenciales. El estándar detrás de "Iniciar sesión con Google/Facebook".

  • Access tokens y refresh tokens
  • Flujos: authorization code, PKCE
  • Scopes para permisos granulares
Referencias

Documentación

Estándares, protocolos y specs que definen el ecosistema IAM actual.

RFC 4511

LDAP v3

Protocolo Ligero de Acceso a Directorios. Define el modelo de datos y operaciones para servicios de directorio.

IETF Datatracker OASIS Standard

SAML 2.0

Security Assertion Markup Language. Intercambio de datos de autenticación y autorización entre dominios.

OASIS Docs RFC 6749

OAuth 2.0

Framework de autorización para conceder acceso limitado a recursos HTTP sin compartir credenciales.

IETF Datatracker OpenID Foundation

OpenID Connect

Capa de identidad sobre OAuth 2.0. Permite verificar la identidad del usuario final mediante un Authorization Server.

openid.net RFC 7644

SCIM

System for Cross-domain Identity Management. Esquema y API REST para automatizar el provisioning de identidades.

IETF Datatracker RFC 4120

Kerberos v5

Protocolo de autenticación de red basado en tickets con criptografía de clave simétrica y un KDC central.

IETF Datatracker

IAM es el corazón de la seguridad empresarial

Desde el simple usuario y contraseña hasta la autenticación federada con OAuth 2.0, la gestión de identidad y acceso evoluciona con las amenazas y las necesidades del negocio.

Identidad — Saber quién
Acceso — Controlar qué
Gestión — Gobernar cómo