La administración de identidades y accesos (generalmente denominada IAM) es la práctica de otorgar a las personas correctas acceso individual a los recursos correctos por las razones correctas. Esta serie explora la práctica general de IAM y las personas que están sujetas a ella, incluidas las siguientes opciones:
- Identidades corporativas: Son las identidades que administras para los empleados de tu organización. Estas identidades se usan a fin de acceder a estaciones de trabajo o al correo electrónico, o para usar aplicaciones corporativas. Las identidades corporativas también pueden incluir a quienes no son empleados, como contratistas o socios, que necesitan acceso a recursos corporativos.
- Identidades de clientes: Son las identidades que administras para los usuarios a fin de interactuar con tu sitio web o con las aplicaciones orientadas al cliente.
- Identidades del servicio: Son las identidades que administras para permitir que las aplicaciones interactúen con otras aplicaciones o con la plataforma subyacente.
Es posible que debas otorgar acceso a los siguientes recursos:
- Servicios de Google, como Google Cloud, Google Analytics o Google Workspace
- Recursos en Google Cloud, como proyectos, buckets de Cloud Storage o máquinas virtuales (VM)
- Aplicaciones o recursos personalizados administrados por esas aplicaciones
Las guías de esta serie dividen el debate sobre la IAM en las siguientes partes:
- La administración de identidades corporativas, de clientes y de servicios forma la base de la IAM. Estos temas están en las casillas 4, 5 y 6 (en verde).
- En función de la administración de identidades, las casillas 2 y 3 (en azul) indican temas de administración de acceso. Estos temas incluyen la administración del acceso a los servicios de Google, a los recursos de Google Cloud y a tus cargas de trabajo y aplicaciones personalizadas.
- La casilla 1 (en amarillo) indica los temas de administración de acceso que están fuera del alcance de estas guías. Si quieres obtener información sobre la administración de acceso para Google Workspace, Google Marketing Platform y otros servicios, consulta la documentación específica de cada producto.
Identity Management
La administración de identidades se centra en los siguientes procesos:
- Aprovisiona, administra, migra y desaprovisiona identidades, usuarios y grupos.
- Habilita la autenticación segura para los servicios de Google y tus cargas de trabajo personalizadas.
Los procesos y las tecnologías difieren en función de si se trata de identidades corporativas, identidades de aplicaciones o identidades de clientes.
Administra identidades corporativas
Las identidades corporativas son las identidades que administras para los empleados de tu organización. Los empleados usan estas identidades a fin de acceder a las estaciones de trabajo y al correo electrónico o para usar aplicaciones corporativas.
En el contexto de la administración de identidades corporativas, los siguientes son requisitos típicos:
- Mantener un solo lugar para administrar las identidades de toda la organización
- Permitir que los empleados usen una identidad única y un inicio de sesión único en varias aplicaciones en un entorno de computación híbrido
- Aplicar políticas, como la autenticación de varios factores o la complejidad de contraseñas, para todos los empleados
- Cumplir con los criterios de cumplimiento que se podrían aplicar a la empresa
Google Workspace y Cloud Identity son productos de Google que te permiten abordar estos requisitos y administrar identidades y políticas de forma centralizada.
Si usas los servicios de Google en un contexto de nubes híbridas o múltiples, es posible que debas integrar las capacidades de IAM de Google a soluciones de administración de identidad externas o proveedores de identidad, como Active Directory. En el documento Arquitecturas de referencia, se explica cómo Google Workspace o Cloud Identity te permiten obtener una integración de ese tipo.
Es posible que algunos de los empleados usen cuentas de Gmail o, también, otras cuentas de usuario para acceder a los recursos corporativos. Sin embargo, el uso de estos tipos de cuentas de usuario podría no cumplir con tus requisitos o políticas individuales, por lo que puedes migrar a estos usuarios a Google Workspace o Cloud Identity. Para obtener más detalles, consulta Evalúa tus cuentas de usuario existentes y Evalúa planes de integración.
Para ayudarte a adoptar Google Workspace o Cloud Identity, consulta nuestras guías de evaluación y planificación a fin de obtener orientación sobre cómo acceder a los requisitos y cómo abordar el proceso de adopción.
Administra identidades de aplicaciones
Las identidades de aplicaciones son las identidades que administras para permitir que las aplicaciones interactúen con otras aplicaciones o con la plataforma subyacente.
En el contexto de la administración de identidades de aplicaciones, los siguientes son requisitos típicos:
- Integrar la API de terceros y soluciones de autenticación
- Habilitar la autenticación entre entornos de nubes híbridas o múltiples
- Evitar filtraciones de credenciales
Google Cloud te permite administrar las identidades de las aplicaciones y abordar estos requisitos mediante las cuentas de servicio de Google Cloud y las cuentas de servicio de Kubernetes. Para obtener más información sobre las cuentas de servicio y las prácticas recomendadas de uso, consulta la Información sobre las cuentas de servicio.
Administra identidades de clientes
Las identidades de cliente son las identidades que administras para que los usuarios interactúen con tu sitio web o las aplicaciones orientadas al cliente. También se denomina administración de identidades y accesos de clientes (CIAM) a la administración de identidades de clientes y su acceso.
En el contexto de la administración de identidades de clientes, los siguientes son requisitos típicos:
- Permitir que los clientes se registren para obtener una cuenta nueva, pero protegerse contra el abuso, lo que puede incluir la detección y el bloqueo de la creación de cuentas de bots
- Admitir el inicio de sesión social y la integración con proveedores de identidad de terceros
- Admitir la autenticación de varios factores y aplicar requisitos de complejidad de contraseñas
Identity Platform de Google te permite administrar las identidades de los clientes y abordar estos requisitos. Para obtener más detalles sobre el conjunto de atributos y cómo integrar Identity Platform a tus aplicaciones personalizadas, consulta la documentación de Identity Platform.
Administración de acceso
La administración de acceso se centra en los siguientes procesos:
- Otorgar o revocar el acceso a recursos específicos para las identidades
- Administrar funciones y permisos
- Delegar capacidades administrativas a personas de confianza
- Aplicar el control de acceso
- Auditar accesos que realizan las identidades
Administra el acceso a los servicios de Google
Es posible que tu organización dependa de una combinación de servicios de Google. Por ejemplo, puedes usar Google Workspace para la colaboración, Google Cloud a fin de implementar cargas de trabajo personalizadas y Google Analytics para medir las métricas de éxito de publicidad.
Google Workspace o Cloud Identity te permiten controlar de forma centralizada qué identidades corporativas pueden usar los servicios de Google. Cuando restringes el acceso a ciertos servicios, estableces un nivel de control de acceso de base. Luego, puedes usar las capacidades de administración de acceso de los servicios individuales para configurar un control de acceso más detallado.
Para obtener más detalles, lee cómo controlar quién puede acceder a Google Workspace y a los servicios de Google.
Administra el acceso a Google Cloud
En Google Cloud, puedes usar IAM para otorgar a las identidades corporativas acceso detallado a recursos específicos. Mediante IAM, puedes implementar el principio de seguridad de privilegio mínimo, en el que otorgas permisos a identidades para acceder solo a los recursos que especifiques.
Si deseas obtener más información, consulta la documentación de IAM.
Administra el acceso a tus cargas de trabajo y aplicaciones
Tus cargas de trabajo y aplicaciones personalizadas pueden diferir en función del público al que están dirigidas:
- Algunas cargas de trabajo se pueden dirigir a usuarios corporativos, por ejemplo, aplicaciones de línea de negocios internas, paneles o sistemas de administración de contenido.
- Otras aplicaciones se pueden dirigir a tus clientes, por ejemplo, tu sitio web, un portal de autoservicio para clientes o backends para aplicaciones para dispositivos móviles.
La forma correcta de administrar y auditar el acceso y aplicar el control de acceso depende del público y la forma en que implementas la aplicación.
Para obtener más información sobre cómo proteger las aplicaciones y otras cargas de trabajo orientadas a los usuarios corporativos, consulta la documentación de IAP.
También puedes hacer lo siguiente: Integra directamente el Acceso con Google o usar protocolos estándar como OAuth 2.0 u OpenID Connect.
Puedes averiguar cómo aplicar el acceso a las API en la documentación de Istio y Cloud Endpoints. Puedes usar ambos productos, ya sea que tus aplicaciones estén dirigidas a usuarios corporativos o a usuarios finales.
Próximos pasos
- Lee la sección Conceptos para comprender los conceptos y las capacidades de la administración de identidades.
- Consulta la sección Prácticas recomendadas para obtener información sobre la orientación prescriptiva que debes considerar en tu arquitectura o diseño.
- Consulta la sección Evaluación y planificación para obtener información sobre cómo evaluar los requisitos y, también, identificar un diseño adecuado.