Capacidad de OI: Administración de identidades y acceso: del nivel básico al estandarizado
En esta página
.gif){kind=icon}
Introducción
Requisito: Servicios de directorio para la autenticación de usuarios
Introducción
La administración de identidades y acceso es una capacidad de la optimización de infraestructura principal y la base para implementar muchas capacidades en el modelo de optimización de infraestructura. En la tabla siguiente se incluyen los desafíos de alto nivel, las soluciones aplicables y las ventajas de adoptar el nivel estandarizado en la administración de identidades y acceso.
Desafíos |
Soluciones |
Ventajas |
|---|---|---|
Los usuarios reciben continuamente solicitudes de autenticación y tienen dificultades para iniciar sesión Hay demasiados almacenes de identidades de usuario que administrar No hay coherencia en el acceso a los recursos Riesgo de acceso no autorizado a la información confidencial Dificultad al implementar el cumplimiento con las normativas oficiales (Sarbanes – Sarbanes-Oxley, HIPAA, etc.) Los empleados contratados recientemente deben esperar para obtener acceso a sistemas cruciales, lo que reduce su productividad Desafíos de TI Aumento de los costos del servicio de asistencia asociados a los restablecimientos de contraseña y las solicitudes de acceso Falta de identidades administradas de forma central, no hay una visión clara del ciclo de vida de las identidades Las cuentas huérfanas suponen un riesgo de seguridad Las identidades varían en cada sistema, no hay un repositorio central para las identidades |
Proyectos Implementación de un servicio de directorio principal para la autenticación de cliente Implementación de clientes compatibles con servicios de directorio |
Ventajas empresariales Mayor productividad de los usuarios al simplificar el proceso de inicio de sesión Costos administrativos reducidos gracias a la administración de menos almacenes de identidades Progreso hacia la implementación del cumplimiento de normativas Costo reducido por administración de cuentas de usuario Ventajas de TI Reducción del volumen del servicio de asistencia Menos identidades digitales Las identidades se administran de forma central Seguridad mejorada |
La administración continua de identidades y acceso se centra en las siguientes capacidades, tal como se describe en la serie de administración de identidades y acceso de Microsoft:
Base de la administración de identidades y acceso
Administración del ciclo de vida de la identidad
Administración de acceso e inicio de sesión único
Tenga en cuenta que las capacidades descritas más arriba son componentes clave del servicio de administración de identidades y acceso en una organización. Para obtener más información, consulte Serie de administración de identidades y acceso de Microsoft.
En el modelo de optimización de infraestructura, el nivel estandarizado de la administración de identidades y acceso satisface la necesidad de servicios de directorio para la autenticación de usuarios y requiere un servicio de directorio unificado para la autenticación de al menos el 80% de los usuarios. Por otro lado, este requisito implica que todos los clientes sean compatibles con el servicio de directorio.
Requisito: Servicios de directorio para la autenticación de usuarios
Destinatarios
El nivel estandarizado de optimización requiere disponer de un servicio de directorio Active Directory en la organización y se usa para autenticar un 80 por ciento o más de los usuarios. Lea esta sección si no usa Active Directory para la autenticación de un 80 por ciento o más de los usuarios.
Introducción
Durante la jornada laboral del usuario, se requiere la autenticación de usuarios por muchas razones. El acceso a la red, a las aplicaciones, a los datos y al correo electrónico son algunos ejemplos típicos. Cuando se habilitan los servicios de directorio para la autenticación de usuarios, todos estos requisitos de autenticación por separado se centralizan y unifican. Un único inicio de sesión da acceso a todos los recursos, las aplicaciones y los datos a los que el usuario tiene autorización de acceso.
Fase 1: Evaluación
La fase de evaluación realiza principalmente un inventario de los servicios de directorio (si los hay) que se usan en la organización. Se definirán las razones para cada servicio de directorio y el modo de usarlos. Si la organización no dispone de servicio de directorio, tendrá que examinar cómo se administran las identidades actualmente y de qué procesos dispone para proteger el acceso a recursos de datos. Puede tratarse de procesos formales/documentados o bien informales/no documentados.
Fase 2: Identificación
El proceso de diseño del servicio de directorio empieza por identificar las tecnologías disponibles para proporcionar el servicio y las necesidades de la organización en lo que a la implementación de un servicio de directorio se refiere.
El modelo de optimización de infraestructura principal requiere una infraestructura de Active Directory y proporciona compatibilidad de base para muchos servicios necesarios para la organización, entre los que se encuentran la mensajería y la colaboración, la administración de sistemas y los servicios de seguridad. Active Directory es el servicio de directorio para redes incluido en Microsoft® Windows® 2000 y Windows Server® 2003.
Fase 3: Evaluación y planeación
La fase de evaluación y planeación guía a través del proceso de planeación y diseño para satisfacer las necesidades de la organización. Es imprescindible que la información relativa a los empleados y el uso que hacen de los recursos informáticos se administre con un sólo sistema de autenticación coherente, uno que posea las características necesarias para administrar esta información de la forma más eficaz.
Debe organizarse y presentarse como directorio.
Debe admitirse un método común de consulta, indistintamente del tipo de datos que se soliciten.
La información con características similares debe administrarse de manera parecida.
Los modos de agrupar y administrar la información debe determinarlos la organización con maneras que complementen los sistemas existentes de la organización.
Diseño del servicio de directorio
Al diseñar el servicio se usan cinco categorías de directorios:
Directorios de uso específico
Directorios de aplicación
Directorios centrados en la red
Directorios genéricos
Metadirectorios
Un administrador de Active Directory tiene control completo acerca de cómo se presenta la información en el directorio. La información puede agruparse en contenedores denominados unidades organizativas (UO), que se suelen estructurar para facilitar el almacenamiento jerárquico de los datos. Los tipos de datos almacenados en el directorio se definen mediante un esquema que especifica clases de datos denominados objetos. Un objeto de usuario, por ejemplo, es la clase Usuario definida en el esquema. Los atributos del objeto de usuario almacenan información; por ejemplo, nombre de usuario, contraseña y número de teléfono El administrador puede actualizar el esquema para incluir nuevos atributos o clases según sea necesario.
Para obtener más información acerca de la definición del servicio de directorio Active Directory, vaya a https://www.microsoft.com/technet/itsolutions/wssra/raguide/DirectoryServices/igdrbp_2,mspx#E4F.
Diseño de la estructura de Active Directory
La estructura lógica de Active Directory se puede considerar como un número de directorios lógicos conocidos como dominios. La colección de dominios se denomina bosque porque los datos de directorio de cada dominio suelen organizarse en una estructura parecida a un árbol para reflejar la organización.
El proceso de diseño de la estructura lógica consta de los siguientes pasos:
Requisitos de diseño de la estructura lógica. Las funciones de Active Directory para la delegación administrativa son esenciales para el diseño de la estructura lógica. Se puede delegar la administración de determinadas UO para lograr autonomía o aislamiento de un servicio o de los datos. La delegación administrativa se lleva a cabo para cumplir los requisitos legales, operativos y organizativos de la estructura.
Diseño de bosques. Se elige un modelo de diseño de bosques después de haber determinado el número de bosques apropiado en el proceso de diseño del servicio. Por ejemplo, cuando se necesitan varios directorios o cuando varían las definiciones de objeto en una misma organización. Recomendamos, con unas pocas excepciones, mantener un único bosque para poder estandarizar el servicio de directorio.
Diseño de dominios. A continuación, se elige un modelo de dominio para cada bosque.
Diseño de raíz de bosque. Las decisiones de raíz de bosque se basan en el diseño del dominio. Si se opta por un modelo de dominio único, el dominio único funciona como dominio raíz del bosque. Si se opta por un modelo de dominio regional, el propietario del bosque debe determinar la raíz del bosque.
Planeación del espacio de nombres de Active Directory. Una vez determinado el modelo de dominio para cada bosque, se debe definir el espacio de nombres para el bosque y los dominios.
Infraestructura DNS para admitir Active Directory. Una vez diseñadas las estructuras del bosque y del dominio de Active Directory, se puede llevar a cabo el diseño de la infraestructura del sistema de nombres dinámicos (DNS, Dynamic Name System) para Active Directory.
Creación de un diseño de unidades organizativas. Las estructuras de UO son únicas en el dominio, no en el bosque, de modo que el propietario de cada dominio es responsable del diseño de la estructura de UO de su dominio.
Representación del diseño lógico
Después de haber concluido los pasos de diseño del servicio, puede crear un diseño lógico que se pueda usar para comunicar el diseño a otros y para comprobar la integridad del diseño propuesto. Este diseño lógico debe aportar el nivel requerido de detalle que permita a los diseñadores y profesionales de TI entender el diseño propuesto y que garantice que se cumplen los requisitos de los servicios de los que son responsables en todo el diseño de la empresa. El diagrama siguiente muestra un ejemplo de diseño lógico. En el ejemplo, el bosque corporativo usa un modelo de dominio regional por el que se optó para poder controlar cuidadosamente la réplica en toda la WAN.
.jpg)
Para obtener más información acerca del diseño de la estructura lógica de Active Directory, vaya a https://www.microsoft.com/technet/itsolutions/wssra/raguide/DirectoryServices/igdrbp_2,mspx#EELAE.
Fase 4: Implementación
Tras llevar a cabo una evaluación de alto nivel del entorno actual y determinar los objetivos de la implementación de Active Directory, puede determinar la estrategia de implementación que funcione mejor en su entorno. La figura siguiente muestra los pasos para definir el proceso de implementación de Active Directory.
.jpg)
La estrategia de implementación de Active Directory que aplique varía según la configuración de red existente. Por ejemplo, si la organización ejecuta actualmente Windows 2000, puede simplemente actualizar el sistema operativo a Windows Server 2003. Sin embargo, si la organización ejecuta actualmente Microsoft Windows NT® 4.0 o un sistema operativo de red que no sea Windows, debe diseñar una infraestructura de Active Directory antes de actualizar a Windows Server 2003.
El proceso de implementación puede implicar la reestructuración de los dominios existentes, ya sea en un bosque de Active Directory o entre bosques de Active Directory. Es posible que deba reestructurar los dominios existentes después de haber implementado Windows Server 2003 Active Directory o tras cambios en la organización o adquisiciones corporativas.
Para obtener información acerca de los requisitos esenciales para la implementación de la infraestructura de Active Directory, vaya a http://technet2,microsoft.com/WindowsServer/en/library/e0966784-1185-4b41-a259-68513689493b1033.mspx.
Operaciones
El objetivo de los servicios de directorio es garantizar que la información sea accesible a través de la red para todos los solicitantes autorizados, mediante un proceso sencillo y organizado. En los siguientes recursos se proporciona información acerca del funcionamiento de Active Directory en la organización después de haberlo implementado y haber definido todos los objetos. El funcionamiento de una infraestructura de Active Directory requiere la administración correcta de confianzas de dominio y de bosque, el Servicio de hora de Windows, SYSVOL, el catálogo global, la copia de seguridad y restauración de Active Directory, la réplica entre sitios, la base de datos de Active Directory y los controladores de dominio.
Para obtener más información, visite:
Administración de servicios de directorio de Microsoft Operations Framework
El centro de tecnología para Active Directory de Windows Server 2003 contiene información acerca de la implementación de Active Directory en Windows Server 2003:
El centro de seguridad de productos y tecnología para Active Directory y Kerberos es una lista consolidada de recursos que pueden consultarse para actualizaciones de seguridad y orientaciones de “procedimiento”:
Para obtener información acerca de Active Directory en el sitio web de soporte técnico de Microsoft, visite https://support.microsoft.com/default.aspx?scid=fh;EN-US;winsvr2003ad.
Más información
Para obtener más información acerca de los servicios de directorio y la autenticación, visite Microsoft TechNet y busque "autenticación de Active Directory".
Para ver más orientaciones del producto Active Directory, consulte
Para ver cómo Microsoft usa Active Directory, vaya a https://www.microsoft.com/technet/itshowcase/content/managead.mspx.
Punto de control: Servicios de directorio para la autenticación de usuarios
|
Requisitos |
|---|---|
Implementación del servicio de directorio Active Directory para la autenticación de un 80 por ciento o más de los usuarios conectados. |
.gif)
Una vez completados los pasos anteriores, su organización habrá cumplido los requisitos mínimos del nivel estandarizado para esta capacidad según el modelo de optimización de infraestructura. Recomendamos que siga otros recursos adicionales de procedimientos recomendados para operar con la infraestructura de Active Directory después de haberlo implementado.
Ir a la siguiente pregunta de autoevaluación.