Llegamos a ustedes gracias a:



Reportajes y análisis

Gestión de aplicaciones desde la nube

[17/01/2014] Desde una perspectiva de TI, Post Holdings, la empresa detrás de marcas de cereales incluyendo Fruity Pebbles y Grape-Nuts, recientemente se convirtió en un emprendimiento de 100 años de edad con mil millones de dólares.
Eso es porque el año pasado la compañía se separó de Ralcorp Holdings y se quedó, literalmente, sin departamento de TI. Eso se convirtió en una oportunidad para que el equipo de TI recién contratado, que fue enfrentado a elegir las nuevas postulaciones para 1.300 trabajadores, "empezara de cero", señala Brian Hofmeister, director de infraestructura de la empresa en Post Holdings.
Dado que el equipo de TI decidió llevar el 100% de todas sus aplicaciones a la nube, deducir qué tipo de herramienta de gestión de identidad y acceso se utilizaría no fue tan difícil, explica. Post se fijó en Okta, un único servicio de inicio de sesión para las aplicaciones en la nube.
Okta está entre un puñado de nuevas empresas -incluyendo Ping Identity, OneLogIn y Symplified- que ofrecen productos basados en la nube para ayudar a que los departamentos de TI y los trabajadores puedan gestionar la autorización y registros de ingresos o log-ins a las aplicaciones basadas en la nube. Se pueden clasificar en una categoría conocida como la identidad y gestión de acceso como servicio (IdaaS, por sus siglas en inglés).
Gartner espera que el segmento de mercado IDaaS crezca. Al final del año pasado, los investigadores estimaban que el mercado valía unos 180 millones de dólares, y se esperaba que llegue a los 265 millones de dólares para finales del año pasado.
Estos servicios no son solo para las organizaciones como Post que han pasado todo a la nube. Los grupos de TI están haciendo malabarismos con las aplicaciones basadas en la nube junto con sus aplicaciones de correo locales, así que hay a menudo una necesidad de manejar ambas opciones.
Además de los nuevos proveedores de servicios de IDaaS, la identidad tradicional y la gestión de acceso (IAM), incluidos los proveedores como CA Technologies, SailPoint e IBM, están empezando a apoyar aplicaciones de la nube. Esto está sucediendo a través de aplicaciones nativas o por medio de asociaciones que permiten a los clientes integrar aplicaciones empresariales en la nube en sus procesos existentes de IAM.
Eso deja a las empresas con un número de opciones para la gestión de aplicaciones de nube.
La nueva generación
Servicios como Okta, Ping y OneLogIn permiten que los administradores de TI vinculen aplicaciones de la nube en un solo directorio para que los trabajadores puedan tener un nombre de usuario y contraseña que les permita acceder a todas sus aplicaciones. Los usuarios finales visitan un portal donde se pueden ver todas las aplicaciones de la nube que están autorizados a usar, y abrir una sesión solo una vez para tener acceso a todas ellas.
Por lo general, las empresas vinculan los servicios IDaaS de la nube en una instancia existente de Active Directory o directorio LDAP, en lugar de volver a crear un directorio. Debido a que todas las aplicaciones están vinculadas a un solo directorio, los administradores de TI pueden deshabilitar usuarios de todos los servicios corporativos de forma fácil y rápida, si un trabajador deja la empresa, o si los derechos de acceso se transforman debido a una promoción, por ejemplo.
OneLogIn ofrece un control de acceso basado en roles, por lo que puede asignar aplicaciones a los roles dentro de la empresa. A continuación, puede adjuntar los roles a los trabajadores individuales, que luego reciben automáticamente el acceso solo a las aplicaciones que deben utilizar.
Algunos servicios también registran actividad como credenciales de acceso a la aplicación. Esto puede crear una pista de auditoría o, simplemente, ayudar a que TI determine si los trabajadores están utilizando las aplicaciones por las que se está pagando.
Todo en la nube para todos
Una unidad de Reed Group, una agencia de contratación del Reino Unido, se encontraba en una situación similar a la de Post y también terminó con un proveedor IDaaS. En el 2007, Reed se diversificó en un nuevo negocio, un sitio web de empleos llamado Reed Online. Esta rama creció a alrededor de 235 personas con necesidades muy diferentes que el resto de la empresa.
Reed Online inició recientemente una revisión de TI. Como Post, Reed Online le da prioridad a las aplicaciones basadas en la nube, aunque su exigencia superior es que la aplicación sea accesible a través de un navegador, no necesariamente que sea basada en la nube. Google Apps, Jive, Salesforce y SAP Business ByDesign se encuentran entre las aplicaciones que Reed utiliza.
"Sabíamos que las cosas como las políticas de contraseñas que teníamos eran internamente frustrantes para los usuarios", comenta Mark Ridley, director de tecnología de Reed Online. "HR tenía una contraseña, Lotus Notes tenía otra, Windows tenía otra".
Empezó a mirar alrededor por un único servicio de inicio de sesión y eligió OneLogIn. El valor de un servicio de este tipo se hizo evidente, añade. Una sola contraseña no solo facilitaría la vida de los trabajadores, se podría poner en práctica una política de cambio de contraseña que se podría controlar y auditar. El sistema también permitiría inicio de sesión seguro para los usuarios cuando se encuentran fuera de la oficina.
El ahorro de costos también fue una razón por la que Reed Online decidió utilizar IDaaS para manejar el inicio de sesión para los servicios en la nube. Ridley calculó el costo de administrar las contraseñas de su sistema de recursos humanos. "Nos estaba costando unos pocos miles de dólares al año" solo para manejar las peticiones de contraseñas olvidadas, señala. Multiplique eso por todas las aplicaciones que Reed empezaría utilizar y tenía sentido pasarse a IDaaS.
Conexión de instalaciones de la empresa a la nube
Tanto Reed como Post están casi completamente en la nube, pero otras empresas tendrán que ofrecer a los usuarios inicio de sesión único para ambas aplicaciones de la nube y las locales.
Muchos de los proveedores -nuevos y viejos- están comenzando a ofrecer esa capacidad.
Como Centrify. El proveedor, con alrededor de cinco mil clientes que van desde lo muy grande a lo muy pequeño, tiene su inicio mediante la integración de cientos de aplicaciones locales que no son de Microsoft en Active Directory.
"El mismo problema que abordamos en las aplicaciones de las instalaciones, existen en la nube", señala Tom Kemp, director general de Centrify. "Así que hemos construido un servicio de nube que está enlazado al Active Directory local para proporcionar la misma capacidad y hacer un entorno heterogéneo desde el punto de vista de auditoría y autenticación".
SailPoint es otro proveedor que comenzó haciendo IAM para aplicaciones de correo locales, pero ahora está añadiendo soporte para aplicaciones de nube. "Cortamos los dientes en los entornos empresariales grandes y complejos", señla Kevin Cunningham, presidente y fundador de SailPoint.
Los primeros proveedores de la nube están trabajando en la otra dirección, también están tratando de convertirse en ventanillas únicas mediante la adición de soporte para aplicaciones de correo locales, a menudo a través de asociaciones. Por ejemplo, OneLogIn tiene una relación con Aveksa, ahora propiedad de RSA, para ofrecer a los clientes la capacidad IAM para aplicaciones locales.
La Universidad de Portland quería ofrecer inicio de sesión único tanto para las aplicaciones locales como para las basadas en la nube, con un total de alrededor de 30 aplicaciones. "Esta ha sido una pesadilla constante por un par de años", señala Thomas Ank, que trabajó como ingeniero de redes senior de la universidad, pero se ha unido a Tech Heads como consultor. La universidad ha tenido que gestionar las contraseñas de forma diferente para muchas de las aplicaciones, y TI ha estado empantanado con las solicitudes de restablecimiento de contraseña.
Ank se propuso reducir el trabajo manual y añadir algunas nuevas funcionalidades para los usuarios.
Él tenía un puñado de requisitos basados en solicitudes de los usuarios, incluyendo inicio de sesión único, un portal para acceder a todas las aplicaciones, herramientas de gestión de contraseñas de usuario y la capacidad de los usuarios para cerrar el navegador y volver a abrirlo sin tener que iniciar sesión de nuevo.
Después de ver una serie de proveedores que incluían OneLogIn e Identity Manager de Microsoft, la universidad eligió SaaSID, una compañía del Reino Unido. La universidad ahora ofrece a sus cinco mil estudiantes y profesores, un portal donde se puede iniciar sesión una vez y acceder a aplicaciones basadas en la nube, como Google Apps, así como a aplicaciones locales.
SaaSID ofrece algunas características adicionales que la universidad -la cual implementó el producto en agosto- espera utilizar, explica Ank. Por ejemplo, los administradores de TI pueden desactivar las funciones en aplicaciones basadas en la web para que los usuarios no puedan acceder a ellas. Se está considerando el uso de esta característica para permitir que solo las personas seleccionadas envíen el contenido a ciertas páginas de Facebook. Ya se está usando para evitar que los usuarios tengan acceso a algunas aplicaciones de Google que TI no quiere que sean utilizadas por los estudiantes a través de sus cuentas de la universidad.
El CFA Institute, una asociación de profesionales de la inversión, que también ofrece cursos, también quería una solución que pudiera manejar tanto el software de las instalaciones como el basado en la nube. Ha estado utilizando una combinación de tecnologías de Radiant Logic y Quest, además de un inicio de sesión de aplicaciones construidas con .Net para autenticar y permitir el acceso de 550 empleados.
El sistema también soporta a los 100 mil miembros de la organización, así como a 200 mil candidatos anuales que interactúan con el programa de examen del instituto. Cada uno de esos grupos necesita autorización para acceder a diferentes contenidos y aplicaciones a través de la página Web del CFA Institute.
Las tecnologías existentes del CFA Institute no estaban creciendo con la organización. "En realidad no se acomodaban a la forma en que estamos expandiendo nuestros servicios para nuestros clientes, y realmente no tenían cabida por el hecho de que tenemos perfiles para nuestros clientes internos y externos", señala Elaine Cheng, CIO en el Instituto.
CFA consideró una serie de alternativas, entre ellas una de Dell, pero en julio escogió una oferta combinada de CA y Simeio. Esas empresas tienen una asociación donde Simeio ofrece versiones basadas en nube de la identidad, acceso y gobernanza de productos de CA. CFA está empezando el proceso de diseño para el sistema que es probable que se ejecute completamente desde la nube, pero puede tener un componente en las instalaciones.
CFA espera que una serie de procesos -incluyendo el acceso, el aprovisionamiento, la auditoría y la adición de nuevas aplicaciones- sean más automatizados, ahorrándole tiempo al personal.
Precauciones para organizaciones muy grandes
Ir con los proveedores IDaaS tiene más sentido para las pequeñas y medianas empresas que aún no han puesto en práctica un sistema de IAM o que prefieren la nube para sus aplicaciones, señala Andras Cser, analista de Forrester. Las empresas más grandes pueden encontrar que los proveedores IDaaS son demasiado caros, agrega.
Para las organizaciones que manejan un gran volumen de usuarios, los vendedores IDaaS no siempre tienen sentido, señala Cser. "Si la población de usuarios es mucho más de 10 mil usuarios, estas soluciones basadas en la nube pueden llegar a ser prohibitivamente caras", agrega. Para las empresas, la compra y gestión de un producto en el mismo recinto es típicamente un mejor trato, añade.
Además, los servicios en la nube por lo general no ofrecen el tipo de personalización que las empresas más grandes necesitan generalmente, señala.
Post de Hofmeister está de acuerdo. "Si tiene algo en las instalaciones, puede modificarlo y personalizarlo a su gusto", anota. En el mundo virtual, " tiene que conformarse con ciertas cosas". Por ejemplo, a Hofmeister le gustaría tener usuarios con mayores provisiones. Con el software en las instalaciones de la empresa, sus desarrolladores podrían haber sido capaces de trabajar en eso por sí mismos, sin embargo la empresa ha buscado a Okta para esa función y tiene que esperar para ello.
Dicho esto, ha encontrado que Okta ha estado muy dispuesto a agregar nuevas capacidades basadas en las peticiones de Post.
Otra preocupación: Es posible que los servicios puedan bajar. Ninguno de los clientes con los que hablamos ha experimentado algún tiempo de inactividad con sus proveedores, pero es un nuevo mercado sin ningún tipo de usuarios desde hace mucho tiempo.
Para protegerse contra esta posibilidad, Reed Online ha puesto en marcha un protocolo para sus aplicaciones más importantes, incluyendo Google Apps y Salesforce, por lo que en caso de un corte de la nube, TI puede ver las contraseñas a través de Active Directory y enviarlas o restablecerlas a los usuarios.
Las cuestiones de seguridad
Probablemente el problema potencial más importante de estos servicios es que a pesar del hecho de que están diseñados para aumentar la seguridad -los administradores de TI pueden requerir un cierto nivel de seguridad de la contraseña- algunas personas se preguntan si en cambio son inherentemente inseguras.
"La gestión de la identidad ha sido rezagada en mercados como SaaS debido a la sensibilidad en torno a los datos que estamos manejando", señala Cunningham de SailPoint. "Los clientes no necesariamente se sienten cómodos poniendo las llaves del reino por ahí en un entorno alojado. Tenemos visibilidad sobre lo que todos tienen acceso. Si esa información fuera comprometida, la sensación es que los malos saben a quién acudir en las organizaciones para sobornarlos con el fin de obtener acceso a la información que desean".
Hay otra razón por la que algunas personas se preocupan acerca de la seguridad en torno a los productos de sign-on único. "Algunas filosofías son tales que dicen 'mira, tal vez el inicio de sesión único no es en una buena idea, porque si ese entorno se ve comprometido, tiene una manera de entrar en todas sus aplicaciones críticas'", señala Sasan Hamidi, CISO de Interval International, una empresa que ofrece un intercambio de tiempo compartido.
Mientras que él no ve que el problema sea un factor disuasivo suficiente para no utilizar IDaaS, indica que escucha a otros CIO y CTO expresar inquietudes sobre este tema. Ellos dicen que, sin un solo entorno de inicio de sesión, si un sistema está en peligro, al menos, el problema se limita a ese sistema, explica.
Ank, de la Universidad de Portland, anota que la lógica es deficiente, y señala los aspectos negativos de las prácticas existentes. Incluso sin un solo producto de inicio de sesión, sus estudiantes a menudo emplean prácticas de contraseñas pobres, como usar la misma contraseña para todos sus servicios; por lo demás, si un servicio se ve comprometido podría ser demasiado. Incluso si los estudiantes hacen uso de contraseñas diferentes, se están autenticando en una base de datos back-end común que sí podría verse comprometida.
Seguridad en la nube
Ank siente que un producto de inicio de sesión único es más una prestación de seguridad que una pérdida. "Si estamos utilizando sign-on único, nuestra capacidad de mitigar las contraseñas perdidas mejora. Tenemos un solo lugar para cerrar esa cuenta", señala.
Otra cuestión es la forma en que los servicios interactúan con los directorios existentes desde un punto de vista de la seguridad. Por ejemplo, IDaaS de Centrify actúa como una puerta de enlace, que conecta a una base de datos existente de Active Directory. Algunos otros servicios, sin embargo, replican todos o algunos de los datos de Active Directory al servicio en la nube.
Algunas organizaciones se preocupan por almacenar ese tipo de datos en la nube. Por razones de seguridad, prefieren almacenar credenciales en su propia base de datos de Active Directory en lugar de dejar que su proveedor de terceros copie la información.
Okta siempre almacena cierta información del usuario final en línea, incluyendo el nombre, el apellido, el nombre de usuario Okta y la dirección de correo electrónico. Las empresas que están preocupados por transferir información de usuario adicional para Okta pueden tratar con un directorio en el recinto de la empresa, como Active Directory o LDAP, como el maestro, señala Eric Berg, vicepresidente de Okta. En ese escenario, Okta no almacena credenciales como nombre de usuario y contraseña de Active Directory. En su lugar delega los intentos de autenticación de regreso a Active Directory.
Dicho esto, Berg señala que hay otras formas de almacenar la información del usuario en la nube. Por ejemplo, una empresa puede manejar a los empleados en Okta a través de Active Directory, además de administrar a algunos usuarios, al igual que los clientes y socios, que no cuentan con la información almacenada en Active Directory. Aquellos usuarios externos tendrían en cambio su información de identidad almacenada en Okta.
La configuración también permitiría que una empresa consolide esencialmente varias instancias de Active Directory mediante el almacenamiento de la información del usuario a partir de los múltiples directorios en Okta. De esa manera, un administrador puede gestionar un directorio en lugar de varios.
Debido a que es un mercado competitivo, los proveedores siguen añadiendo nuevas características, para que su oferta sea más segura y atractiva. Reed se dio cuenta del valor, ya que pasó por el proceso de evaluación de proveedores y aprendió sobre los muchos 'Upsides' para usar un servicio de IDaaS. "Se hizo evidente cuál era el valor", señala Ridley de Reed Online.
Nancy Gohring, Computerworld (EE.UU.)