IBM es para la informática empresarial lo que la NASA es para los viajes espaciales: esencialmente sinónimo de décadas, no de años.
Si bien se podría argumentar que IBM está jugando detrás de empresas como Amazon, Microsoft y Google en las guerras de la nube, siempre son un competidor legítimo para el software empresarial independientemente de la plataforma.
Como tal, no sorprende que IBM Cloud Identity no solo aborde la categoría de productos de gestión de identidad (IDM), IBM trae una variedad de herramientas y características maduras en un paquete que se compara favorablemente con todos los competidores de IDM que hemos revisado, y lo hace sin arruinarse.
Más específicamente, los precios de Cloud Identity de IBM comienzan en $ 2.50 por usuario por mes muy amigables con el soporte de MFA que le devuelve otros $ 2.50 por usuario cada mes; incluso combinado, eso es un buen valor.
Los flujos de trabajo de aprovisionamiento, autoservicio de usuario y solicitud de acceso tienen un costo adicional de $ 4 mensuales.
Pero IBM endulza aún más el trato al incluir Cloud Identity para los usuarios de Maas360, que es la solución de gestión de dispositivos móviles (MDM) de Big Blue.
Eso comienza en $ 4 mensuales por dispositivo o $ 8 mensuales por usuario.
Identidades y Directorios
No es de extrañar que IBM admita una variedad de métodos para traer identidades de directorios corporativos existentes.
Existe soporte tanto para una herramienta de integración de directorios liviana (IBM Verify Bridge para Directory Sync) como para IBM Security Access Manager basado en dispositivos, que es la solución IDM local de IBM (para la cual la licencia se incluye como parte de IBM Cloud Identity) .
La solución que mejor se adapta a su empresa depende en gran medida del nivel de sofisticación requerido, como cuántos directorios necesita incorporar identidades y cuánto control se requiere sobre estos atributos.
Una queja que tengo es que IBM no ofrece una solución de integración de directorios que sea realmente intuitiva y fácil de usar.
La mayoría de las soluciones IDM en mis pruebas (y ciertamente todos los principales competidores) ofrecen una solución basada en agentes que un administrador a tiempo parcial con calificaciones técnicas mínimas podría ejecutar en menos de una hora.
IBM Verify Bridge está cerca de ser esa herramienta, pero después de la instalación, al usuario ni siquiera se le proporciona un acceso directo en el menú Inicio, y mucho menos un asistente de configuración.
Más bien, el proceso de configuración se maneja utilizando un archivo JSON (JavaScript Object Notation) ubicado en el directorio de instalación de la herramienta.
Esto está bien para desarrolladores o administradores experimentados (que está en línea con el cliente objetivo de IBM) pero es mucho pedir a los usuarios menos técnicos.
Las capacidades de IBM para administrar cómo fluyen los atributos entre directorios no están al nivel del ganador de Editors 'Choice, Okta, que proporciona un control completo por script sobre los atributos, pero puede realizar una transformación básica como la modificación de mayúsculas y minúsculas (forzar a superior o inferior), agregando o anteponiendo una cadena, o codificando o decodificando el valor.
Los atributos también se pueden asignar entre diferentes fuentes de identidad, lo que brinda control sobre cómo el atributo firstName de su directorio LDAP se relaciona con el atributo first_name de un proveedor de identidad en la nube.
Aplicaciones y autenticación
Como la mayoría de su competencia IDM, IBM Cloud Identity admite la autenticación de inicio de sesión único (SSO) en aplicaciones web utilizando SAML y OAuth 2.0, y proporciona un catálogo de aplicaciones para facilitar y configurar la autenticación en estas aplicaciones web.
Al igual que con cualquier suite IDM, este catálogo de aplicaciones depende en gran medida de la aplicación de terceros, incluida la compatibilidad con un protocolo de autenticación sólido, y se actualiza constantemente a medida que las aplicaciones maduran o incluso cambian de manos.
Una aplicación típica requerirá alguna configuración en ambos extremos (Cloud Identity y la aplicación web) para habilitar la autenticación SSO y, por lo general, incluirá la configuración de varias URL, certificados y atributos necesarios para el proceso de autenticación.
Una vez que se ha configurado una aplicación para la autenticación, el siguiente paso es administrar los derechos o qué usuarios tienen acceso a la aplicación.
IBM Cloud Identity ofrece algunas opciones en este campo.
El acceso a las aplicaciones utilizadas en toda la empresa se puede proporcionar rápida y fácilmente a todos los usuarios y grupos mediante una única casilla de verificación.
La mayoría de las aplicaciones requerirán un control de acceso más detallado y / o una gestión de licencias, que puede ser manejada por un administrador asignando manualmente el acceso a usuarios individuales o grupos.
Alternativamente, las aprobaciones de aplicaciones se pueden habilitar para permitir que los usuarios soliciten acceso a la aplicación a través de su portal de SSO y que las solicitudes de aprobación pasen por el propietario de la aplicación, el administrador del usuario o ambos (las notificaciones de solicitud de aprobación llegan tanto al correo electrónico del aprobador como a la notificación de IBM Cloud Identity) .
El verdadero poder de un IDM surge cuando aprovecha las políticas de autenticación.
Las políticas de autenticación en su forma más básica se basan en reglas, lo que permite a los administradores definir un conjunto de condiciones y acciones que, a su vez, definen qué aros de autenticación debe navegar un usuario para obtener acceso a una aplicación en función de cosas como su pertenencia a un grupo, geolocalización o estado de registro del dispositivo.
Las políticas de autenticación que tienen habilitado el acceso adaptativo obtienen la capacidad de aplicar acciones basadas en un nivel de riesgo, que es una puntuación basada en aprendizaje automático (ML) calculada utilizando la enorme cantidad de datos de autenticación que IBM tiene a su disposición.
Las políticas de autenticación que aprovechan el aprendizaje automático se están volviendo cada vez más populares en las suites IDM y son ofrecidas por varios de los principales competidores en la categoría, incluidos los ganadores de Editors 'Choice, Azure AD de Microsoft, Okta, así como los prometedores, como Idaptive.
La principal advertencia para el aprendizaje automático de cualquier tipo es que el análisis es tan bueno como los datos disponibles para analizar.
La huella de IBM los convierte en una opción legítima en este campo, ya que tienen una amplia gama de servicios a partir de los cuales pueden agregar datos de autenticación.
Las políticas de autenticación son una herramienta importante para mejorar su postura de seguridad, pero brindan un beneficio limitado sin incorporar la autenticación multifactor (MFA).
IBM Cloud Identity (junto con el complemento Verify) admite una serie de factores de MFA que incluyen contraseñas de un solo uso enviadas a través de correo electrónico o mensaje SMS, contraseñas de un solo uso basadas en el tiempo mediante una aplicación de autenticación y la aplicación móvil IBM Verify.
Vale la pena mencionar la aplicación IBM Verify, ya que además puede requerir que un usuario confirme su identidad utilizando sensores basados ??en dispositivos para confirmar información biométrica como la cara o la huella digital del usuario.
La aplicación móvil Verify también proporciona algunos detalles sobre la solicitud de autenticación que se confirma, lo que ayuda al usuario a confirmar la legitimidad de la solicitud de autenticación.
Integral y listo para la empresa
Cloud Identity tiene todas las características que esperamos de una solución de IBM, incluida la integración con su MDM, que es un punto clave para muchos clientes, ya que la combinación de IDM y MDM es necesaria para construir una plataforma de seguridad móvil eficaz.
MaaS360 de IBM se integra estrechamente con IBM Cloud Identity (de hecho, se pueden agrupar, como se mencionó anteriormente).
Sin embargo, lamentablemente, IBM Cloud Identity no puede integrarse en este momento con suites MDM de terceros como AirWatch, MobileIron o Microsoft Intune de VMware, aunque IBM afirma que esta funcionalidad estará disponible en un futuro próximo.
IBM ofrece herramientas para ayudar a respaldar la autenticación IDM para aplicaciones locales utilizando Application Gateway (que tiene el beneficio adicional de manejar la autenticación antes de que las solicitudes de los usuarios lleguen a su aplicación o incluso a su firewall corporativo y se puede implementar en un entorno local o basado en la nube).
entorno del contenedor).
En general, aunque ciertamente no es la solución más fácil que probamos en el espacio de administración de identidades, cumple todos los requisitos que las empresas están buscando y logra hacerlo a un precio muy atractivo.
Especificaciones de IBM Cloud Identity
| Portal SSO personalizable por el usuario | sí |
| Autoservicio de usuario | sí |
| Varias políticas de SSO | sí |
| Sincronización de contraseña | sí |
| Aprovisionamiento de SaaS | sí |
| Conector de directorio | sí |
| Integración de múltiples directorios | sí |
| Autenticación para aplicaciones locales | sí |
| Proveedores de terceros de múltiples factores | sí |
| Integración MDM de terceros | No |
| Biblioteca de informes | sí |
