Llegamos a ustedes gracias a:



Reportajes y análisis

Las 7 mejores herramientas CIAM

[30/11/2022] La gestión de la identidad y el acceso de los clientes (CIAM, por sus siglas en inglés), un subconjunto de la gestión del acceso a la identidad (IAM, por sus siglas en inglés), se utiliza para gestionar la autenticación y la autorización de la creación de cuentas y el proceso de inicio de sesión para las aplicaciones de cara al público. Para ayudar a las organizaciones a comparar sus necesidades con las opciones del mercado, CSO ha preparado una lista con los siete principales proveedores del mercado.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Para decidirse por el producto CIAM adecuado, las organizaciones deben equilibrar la facilidad de la experiencia de inicio de sesión con un caleidoscopio de objetivos empresariales sobre la forma en que los clientes inician sesión y aprovechan sus cuentas. Los responsables de marketing quieren recopilar datos sobre los clientes y sus dispositivos. Los responsables de la privacidad quieren asegurarse de que el proceso de recopilación de datos cumple con la normativa sobre privacidad. Y los profesionales de la seguridad y el riesgo quieren garantizar la integridad de las cuentas y minimizar los usos fraudulentos de las credenciales de los clientes.

Este delicado acto de equilibrio es lo que ha impulsado la evolución y el crecimiento del mercado de CIAM. A diferencia de la IAM en el lugar de trabajo, que consolida y gestiona las identidades y el acceso a las aplicaciones internas de la empresa, la CIAM tiene unas raíces diferentes y se mide por un criterio de éxito distinto.

La evolución de las características de los CIAM

John Tolbert, analista principal y director gerente de KuppingerCole, afirma que hace más de una década las primeras raíces de la CIAM tenían menos que ver con la seguridad que con el marketing. "Algunos de los motivos originales que tenían las empresas para adquirir una solución CIAM eran la obtención de más datos demográficos sobre los consumidores para el marketing dirigido y el aumento de los ingresos por ventas", afirma.

La proliferación de filtraciones de datos, la creciente presión normativa y el aumento de los costos derivados del fraude han impulsado la evolución de las funciones CIAM centradas en la seguridad y el cumplimiento normativo en múltiples frentes. Las normativas sobre privacidad, como el GDPR y la CCPA, han aumentado la demanda de sistemas sólidos de gestión del consentimiento dentro de los CIAM, que faciliten a los usuarios dictar la cantidad de datos que una organización puede recopilar sobre ellos, y que las organizaciones realicen un seguimiento metódico y apliquen esas preferencias. Las tendencias de los ataques han exigido que las organizaciones refuercen la seguridad de la autenticación y la autorización en el inicio de sesión. Del mismo modo, las tendencias de la piratería y el fraude también han llevado a los proveedores de CIAM a crear más funciones que detecten patrones de uso de cuentas que indiquen que una cuenta ha sido tomada fraudulentamente, activando alertas y, a veces, pasos de autenticación adaptativos que podrían ser más rigurosos de lo normal.

Las funciones de reducción del fraude se han centrado especialmente en las últimas actualizaciones, según Tolbert. "Hemos visto un aumento bastante significativo en los CIAM que tienen ese tipo de funcionalidad, si no está incorporada en la plataforma, entonces es fácilmente accesible desde la plataforma a través de conexiones de terceros", anota.

En muchos productos CIAM se ha trabajado mucho para aumentar la compatibilidad con la autenticación sin contraseña, los métodos de inicio de sesión único, como el inicio de sesión social, y la recuperación intuitiva de cuentas. De hecho, Gartner afirmó recientemente que la adopción por parte de las organizaciones de CIAM con detección de fraude convergente y autenticación sin contraseña puede ayudarles a reducir la pérdida de clientes a más de la mitad para el 2025.

Dada la diversidad de casos de uso, las opciones de características y los impulsores de negocio que están en juego en el mercado de CIAM, los analistas coinciden en que ningún proveedor puede cubrir todas las bases para cada caso de uso de CIAM.

Las mejores herramientas CIAM

Las siguientes son algunas de las plataformas con las mejores puntuaciones ofrecidas por los analistas y los clientes por la más amplia gama de funciones, la mayor extensibilidad y la mejor facilidad de administración.

ForgeRock Identity Platform: ForgeRock, un proveedor de identidades completo con sólidas capacidades de CIAM, proporciona una ventanilla única para las empresas que buscan una combinación de CIAM, IAM de la fuerza de trabajo e identidad.

Las herramientas CIAM proporcionan un sólido control administrativo y flexibilidad, con mucha personalización en los flujos de trabajo de registro, y un fuerte énfasis en la creación de recorridos de usuario fáciles de usar desde el registro hasta la recuperación de la cuenta. La última iteración de Identity Platform reforzó esto con un énfasis en la gestión de las políticas de bajo código/sin código, añadiendo más funciones para la orquestación de políticas y recorridos de los clientes mediante arrastrar y soltar.

La plataforma también se extiende a los casos de uso de la IoT por parte de los consumidores con algunas capacidades ofrecidas a través de su "Thing SDK" y la API de registro de dispositivos. La plataforma es compatible con una amplia gama de normas y métodos de autenticación, como FIDO, OAuth2, OIDC y SAML, además de integrarse con proveedores de biometría móvil y pasiva.

En cuanto a la seguridad, la plataforma ofrece integraciones y conectores para la comprobación de la identidad y la inteligencia del fraude. También cuenta con funciones de gestión del consentimiento para ayudar a cumplir la normativa sobre privacidad, como el GDPR y la CCPA. Aunque no ofrece soporte nativo de análisis de marketing, tiene conectores de inteligencia empresarial y análisis de marketing que pueden aprovechar los servicios de una serie de proveedores como Adobe, Salesforce y SAP.

IBM Security Verify: IBM Security Verify, un fuerte competidor en el espacio de las grandes empresas, obtiene una alta puntuación por su sólida infraestructura, que se apoya en una arquitectura de contenedores y multi-nube que no solo es escalable, sino que también proporciona la opción de que las empresas gestionen instancias aisladas de los clientes.

IBM ofrece soporte para una amplia gama de tipos de autenticadores y estándares, incluyendo el funcionamiento con una certificación FIDO 2 Server. Se ha creado con análisis de identidades e informes listos para usar, y los clientes pueden aprovechar el ecosistema de IBM para incorporar análisis de marketing o inteligencia empresarial a la plataforma, o utilizar una cartera de conectores para aprovechar los análisis de marketing y las automatizaciones de terceros.

Uno de los grandes diferenciadores de este producto es su autenticación basada en el riesgo y sus funciones de reducción del fraude, que a menudo son solo una opción de integración en otros productos CIAM. Las capacidades de IBM Trusteer están integradas en Security Verify, aprovechando la analítica alimentada por la plataforma CIAM para reducir el fraude mediante el acceso adaptativo impulsado por la IA. El sistema utiliza una combinación de detección de anomalías, detección de patrones de fraude y otros análisis de comportamiento pasivo para calificar la fiabilidad de una cuenta y ajustar los requisitos de autenticación en consecuencia.

La plataforma ofrece un portal de autoservicio para que los usuarios gestionen el consentimiento, y en el backend ofrece una función de gestión de bajo código/sin código para que los responsables de la privacidad y las partes interesadas del negocio puedan establecer y ajustar las políticas de privacidad y las solicitudes de datos para las poblaciones de usuarios sin requerir la intervención de los desarrolladores.

LoginRadius: LoginRadius se erige como una opción de "botón fácil" para CIAM, al operar una solución llave en mano conocida por su facilidad de implementación y operación. Tiene suficiente soporte para la API y puede ser personalizada, pero esta no es una plataforma diseñada para una pesada personalización del código bajo el capó. En cambio, está diseñada para organizaciones que no quieren o no pueden hacer mucho trabajo de desarrollo, operando con una filosofía decididamente sin código.

Los flujos de trabajo de incorporación se realizan a través de una interfaz gráfica de usuario, la creación de políticas se desarrolla a través de una lista desplegable, y las integraciones se ofrecen a través de un mercado de conectores preempaquetados. Hay un número de estos conectores que abarcan categorías como publicidad, BI, CRM, automatización de marketing. La plataforma incluye un decente motor de análisis incorporado, con docenas de informes ofrecidos para el marketing y el análisis de la identidad. Dispone de funciones básicas de gestión del consentimiento y de autoservicio del consumidor para el cumplimiento de la privacidad y admite una gama decente de autenticadores, incluido el inicio de sesión social.

A cambio de la facilidad de funcionamiento y despliegue, las organizaciones renuncian a algunas funciones y a cierto grado de control. Por ejemplo, la herramienta lista para usar tiene un motor de riesgo de autenticación, pero no da mucho control sobre la priorización y no hay muchos conectores para las funciones de prevención de fraude de terceros. Del mismo modo, los atributos de los dispositivos se examinan para la puntuación y el análisis de riesgos, pero solo en un grado limitado.

Microsoft Entra: Mientras que Microsoft es un jugador importante en el mercado más amplio de IAM, la compañía todavía está trabajando en la escala de madurez para los casos de uso de CIAM de cara al exterior. En el 2021, cuando Gartner hizo su último gran análisis de la gestión de acceso, los analistas argumentaron que las capacidades externas de Azure AD eran "inmaduras en comparación con las ofertas de otros proveedores, y la mayoría de los clientes están utilizando el producto solo para escenarios de fuerza de trabajo".

Sin embargo, en el tiempo transcurrido, Microsoft ha estado invirtiendo en toda su cartera de identidades, y recientemente ha reposicionado todo, incluyendo las capacidades externas de CIAM, en una nueva línea llamada Microsoft Entra. Entra abarca ahora todo Azure AD, incluidas las funciones CIAM de Azure AD External Identities. También ha añadido su plataforma de estándares abiertos Verified ID a la mezcla. Microsoft está redoblando su apuesta por este ecosistema descentralizado de comprobación de identidades, sobre todo para la gestión de la identidad de los trabajadores, dejando claro que será un enfoque a largo plazo que probablemente se extienda también a los casos de uso externos.

Tolbert afirma que External Identities tiene algunas cosas buenas a pesar de algunas grandes lagunas en sus características, como la falta de paneles de privacidad del consumidor, la construcción de una política de autenticación adaptativa bastante rudimentaria, y la ausencia de una gestión de la identidad de los dispositivos. Es extremadamente escalable, fácil de usar y tiene algunas protecciones sólidas contra la toma de posesión de cuentas (ATO). Se integra bien con las plataformas de inteligencia empresarial y de gestión de las relaciones con los clientes de Microsoft para obtener análisis avanzados, y ha ido mejorando paulatinamente su ecosistema de integración.

"Microsoft todavía está trabajando para conseguir la paridad de características entre sus plataformas CIAM y Azure AD", escribió Tolbert en el informe KuppingerCole Leadership Compass CIAM Platforms. "Las organizaciones que necesitan escalabilidad y facilidad de uso que no requieren una gestión avanzada de la privacidad o la gestión de los dispositivos de los consumidores deben revisar Microsoft External Identities al seleccionar las soluciones CIAM."

Okta y Auth0: Tras la adquisición de Auth0, Okta se ha comprometido a mantener el producto CIAM de Auth0 como una oferta independiente, junto a las capacidades CIAM de cosecha propia de Okta, para dar a los clientes la máxima flexibilidad en la forma de implementación. No obstante, el cruce y la integración se van a producir, y el proveedor ha combinado varias funciones para acelerar la capacidad de colaboración e innovación.

Aunque Auth0 ofrece algunas capacidades de IAM para la fuerza de trabajo, se trata de una plataforma que creció con los casos de uso de CIAM en mente, por lo que gran parte de la atención se dedica a esa oferta. Según los analistas de Gartner, Auth0 de Okta es especialmente buena para aquellos casos en los que los desarrolladores necesitan incorporar la gestión de acceso para los consumidores dentro de aplicaciones desarrolladas a medida y con muchas API.

La plataforma combina "grandes flujos de UX y capacidades de personalización de la interfaz de usuario", con "herramientas completas para desarrolladores y soporte total de API", según el Cuadrante Mágico de gestión de acceso de Gartner.

El análisis de Kuppinger señala que la cartera general de Okta CIAM tiene un sólido conjunto de conectores para la inteligencia empresarial, CRM, análisis y automatización de marketing, otras plataformas IAM, aplicaciones SaaS populares, y plataformas de inteligencia para la reducción del fraude. También incorpora las capacidades estándar para permitir a los consumidores controlar la información de su perfil, con el mantenimiento de registros de back-end para los perfiles de los consumidores disponibles a través del soporte de Auth0 de Kantara Consent Receipt.

En lo que dicen que el producto podría trabajar más es en la incorporación de la inteligencia de dispositivos y la biometría del comportamiento en las capacidades nativas de la plataforma.

OneLogin: OneLogin, un ligero proveedor de identidad como servicio (IdaaS) que ocupa un lugar destacado en el cuadrante mágico de gestión de accesos de Gartner, ofrece algunas funciones CIAM simplificadas y fáciles de desarrollar que podrían ser de gran ayuda para las organizaciones que buscan una opción asequible para crear una autenticación de clientes más sólida. La firma de análisis explica que uno de los mayores puntos fuertes de OneLogin es el precio competitivo que ofrece para los casos de uso de la gestión de acceso externo.

El punto de diferenciación de la empresa es su extensibilidad flexible, con un importante apoyo a los desarrolladores y sólidas API. Su función Smart Hooks API sin servidor está diseñada para ayudar a los desarrolladores a personalizar fácilmente los flujos de trabajo y las políticas de CIAM para simplificar el proceso de creación de experiencias de usuario fluidas y seguras durante el inicio de sesión. Sin embargo, a diferencia de muchos de los proveedores de CIAM destacados en este resumen, no está diseñado con ningún tipo de características de gestión de consentimiento fuera de la caja, y no se centra en las características impulsadas por el negocio, como el análisis de marketing y la automatización. Se trata principalmente de un juego de autenticación y autorización. Las herramientas facilitan a los desarrolladores la adición de capacidades de inicio de sesión único en sus aplicaciones para consumidores que ofrecen autenticación multifactor basada en el riesgo de una manera adaptativa que maximiza la experiencia de los consumidores.

Tanto en workforce IAM como en CIAM, OneLogin se ha centrado en las PYMES y el mercado medio, aunque la adquisición de la compañía por parte de One Identity -una empresa más conocida por sus herramientas de gobierno y administración de identidades- probablemente atraerá más casos de uso empresarial del lado de workforce IAM. Sin embargo, después de un año de matrimonio (para bien o para mal) no se han producido muchos cambios significativos en el conjunto de funciones CIAM de la plataforma OneLogin.

Ping Identity: Como uno de los primeros proveedores de IAM empresarial en sumergirse en las aguas de CIAM, Ping Identity muestra mucha fuerza en las características de seguridad de CIAM. Esto incluye altas calificaciones de los analistas por su prueba de identidad, orquestación de identidad y características de análisis, alcance de los tipos de autenticadores que soporta, y la documentación y seguridad de sus conectores API. Su módulo PingOne Fraud también incorpora una serie de dimensiones de detección, como la navegación de comportamiento en tiempo real, la biometría de comportamiento, los atributos del dispositivo y los atributos de la red, para detectar posibles ataques de fraude, y la plataforma también admite la integración con plataformas externas de inteligencia para la reducción del fraude. Además, aunque muchos de los proveedores de esta ronda son compatibles con FIDO 2, Ping Identity destaca por contar con un servidor certificado por FIDO 2.

Uno de los puntos débiles que destaca el informe de KuppingerCole es que solo dispone de una gestión de permisos rudimentaria para los consumidores, y que la mayor parte de la gestión de consentimientos requiere un trabajo adicional de desarrollo e integración para su implementación. Ese análisis también señaló que, aunque Ping Identity admite la integración con HubSpot, Mailchimp, Marketo y Zoho, los conectores listos para usar para la inteligencia empresarial avanzada, la gestión de las relaciones con los clientes y los análisis de marketing son todavía un trabajo en curso. A pesar de esto, los analistas califican a Ping con fuerza por sus características y Gartner señala que ofrece una de las opciones más asequibles en el mercado de CIAM.

Puede ver también: