El arte de SAML/SSO y MFA
El lenguaje de marcado de aserción de seguridad o SAML es bien conocido por su función y no necesariamente por su nombre o apodo. Los administradores de TI lo usan en un día determinado, posiblemente varias veces. Con SAML, la gestión de múltiples dispositivos se vuelve más fácil y menos estresante y tediosa. En pocas palabras, puede iniciar sesión en una computadora y acceder y realizar funciones de seguridad en otras computadoras. En este clima actual de preocupaciones por la integridad de los datos y prevención de fugas de datos, es fundamental poder autenticar y autorizar credenciales. SAML hace que la seguridad de la red sea más fácil de administrar.
SSO o Single Sign On es lo que cualquier ejecutivo o personal de primera línea quiere y necesita para una colaboración fácil, un flujo de trabajo optimizado y operaciones fluidas a medida que más personal trabaja de forma remota. Por ejemplo, si su base de datos central de administración de inventario está basada en la nube y su punto de venta minorista tiene un servidor local pero tienen una API que los hace comunicarse entre sí junto con un tablero que se comunica con un servidor de archivos local con finanzas y usted tiene un Credencial de inicio de sesión único para todos los inicios de sesión, así no tendrá que recordar contraseñas constantemente o crear nombres de usuario e inicios de sesión seguros para cada punto de contacto en su empresa donde viven las operaciones y las métricas de rendimiento.
Algunos expertos en seguridad se estremecen ante la idea de que un CEO guarde una nota adhesiva en un cajón con contraseñas, pero antes de que se ría, recuerde que muchos profesionales de seguridad de redes no siempre usan un protector de contraseña o un autenticador y son propensos a perder teléfonos celulares en ferias comerciales. Tienes una llave para la puerta de tu casa y esto te permite entrar siempre. No hagas las cosas complicadas.
Imagínese en un aeropuerto sentado con su computadora portátil con tiempo para matar antes de abordar su vuelo de negocios. En su computadora portátil, tiene un ícono en el que hace clic para abrir, ingresa sus credenciales de inicio de sesión único y bingo, se encuentra instantáneamente en la unidad de su hogar en la oficina y en el servidor en el colo. Está trabajando a la velocidad de la luz y sin perder el ritmo con respecto al último informe recién actualizado y guardado en el servidor en la carpeta marcada como informes de ventas. Tener un cliente web dav y poder acceder de forma instantánea, segura y remota a sus archivos es un cambio de juego. Puede mantenerse ágil, productivo y eficiente con su tiempo. No es necesario que envíe un mensaje de texto al soporte de escritorio de TI en la sede central para averiguar quién cambió las contraseñas de repente o por qué está bloqueado en este momento.
Existe una autenticación de dúo con la que la mayoría de los usuarios de Gmail están familiarizados al ingresar un número de teléfono para obtener un texto con un código que ingresa para que pueda agregar otra capa de protección para iniciar sesión en su cuenta de correo electrónico. MFA o Multi Factor Authentication agrega aún más capas y protecciones adicionales, especialmente si los datos que está compartiendo son críticos, clasificados y/o solo para ciertos ojos. Muchos contratistas en el sector gubernamental, así como en el cuidado de la salud y la investigación y el desarrollo conocen bien MFA, al igual que en la banca, donde tiene una caja de seguridad encerrada en una bóveda detrás de las puertas cerradas de un banco que también tiene un guardia de seguridad armado en la puerta. Los bancos y las instituciones financieras utilizan MFA todo el tiempo.
Puede vivir peligrosamente y tener todos sus inicios de sesión guardados en su navegador, pero ¿qué pasa si pierde su computadora portátil o abre un enlace en un correo electrónico que hace que su máquina quede inhabilitada y tenga que ser desconectada de la red de inmediato... entonces qué? Debe acostumbrarse a borrar su caché, eliminar cookies, actualizar los inicios de sesión y almacenarlos de forma segura en algún lugar de su propia bóveda de algún tipo, ya sea una plataforma como LassPass o al mismo tiempo que su arquitectura de red empresarial y el protocolo de seguridad de datos incluyen SSO. No desea que los miembros del personal sean los amos de su universo. No haga que su departamento de TI pierda el sueño todas las noches al hacer que persigan a todos y cada uno de los miembros del personal para obtener credenciales de inicio de sesión actualizadas. Eso debe gestionarse de arriba hacia abajo. Pueden tener sus propias contraseñas, pero cada plataforma y software utilizado debe tener una cuenta de administrador principal que pueda acceder a todo y que SAML y SSO deben vivir con TI y la gerencia ejecutiva. Despedir a un empleado no debe ser un simulacro de incendio para recuperar su red o preocuparse de quién todavía tiene acceso a qué. Director Activo integrado con Recursos compartidos del servidor de archivos de Windows deben administrarse simultáneamente, y el personal de incorporación o de término debe tener el mismo protocolo coherente cada vez. Debe poder desconectar, por así decirlo, todos los inicios de sesión en todos los puntos de contacto con el sistema según el nivel o la autorización que tenía el empleado. Si lo tiene relacionado con los permisos SSL o NTFS, entonces no es una pesadilla administrarlo. Agregar otra capa de MFA que pueda controlar internamente también es una protección esencial.
Por un lado, tiene facilidad de uso para el empleado y, por otro lado, tiene facilidad de control por parte de la administración. Su base de usuarios estará muy feliz de poder iniciar sesión en todos los aspectos de las operaciones con una credencial de inicio de sesión, incluso si eso significa que tienen que ingresar un código que se genera en su teléfono celular con una alerta de texto al iniciar sesión. Nuevamente, esto el nivel de seguridad depende de a qué se accede y qué permiso se ha otorgado al miembro del personal.
¿Qué constituye un paro laboral? ¿Alguien no puede obtener su correo electrónico? Eso es un inconveniente, pero no es una razón para cruzar los brazos en su regazo y planear tomar el tren temprano a casa. Con SAML y/o SSO, todo lo que necesita es un navegador y está de vuelta en el negocio accediendo a la información que necesita. Siempre es un buen protocolo y política tener algún tipo de autenticación multifactor en su teléfono y dispositivos móviles como tabletas, etc. Piense en ello como una cuenta de ID de Apple. Tiene esa capa adicional de tener que usar su huella digital al descargar una aplicación y luego para comprar y configurar una cuenta, aún necesita ingresar su ID de Apple. Quiere capas entre usted y otra persona que intente robar su identidad, piratear su red o corromper sus archivos. También desea que sea fácil y rápido acceder a sus archivos. Utilizar MyWorkDrive con cualquier SAML compatible solución con una configuración simplificada de Azure AD, Okta y Onelogin. ¡Agregue MFA o DUO según lo necesite y comience a trabajar desde cualquier lugar!