Tema 23. Gestión Unificada de Usuarios

Este tema es fundamental porque abarca la base de la seguridad en cualquier sistema moderno: quién eres y qué puedes hacer.

---

1. Identity Management (IDM) y Ciclo de Vida

El IDM no es solo crear usuarios; es el conjunto de tecnologías para administrar el ciclo de vida completo de una identidad digital.

• Objetivos Clave: Provisión automática (alta/baja rápida), reducción de costes y mejora de la productividad mediante la eliminación de tareas repetitivas.
• Pilares de IAM: Para el examen, recuerda siempre las 4 «A»: Administración, Autenticación (quién eres), Autorización (qué permisos tienes) y Auditoría (qué has hecho).

2. Directorios de Usuario y LDAP

El repositorio de identidades suele ser un Servicio de Directorio.

• LDAP (Lightweight Directory Access Protocol): Es el protocolo estándar. Es jerárquico y está optimizado para lecturas frecuentes y escrituras poco comunes.
• Dato de examen: Un directorio no es una base de datos relacional; su estructura se basa en un árbol (DIT – Directory Information Tree).

3. Protocolos de Autenticación y Autorización

Protocolo	Función Principal	Formato de Datos	Uso Típico
SAML 2.0	Autenticación y Autorización (Federado)	XML	Entornos corporativos y Administración Pública (nodos eIDAS)
OAuth 2.0	Autorización (delegar acceso)	JSON (habitualmente)	APIs y aplicaciones móviles
OpenID Connect	Autenticación sobre OAuth 2.0	JWT (JSON Web Token)	«Login con Google/Facebook» en webs

4. Control de Acceso: RBAC vs. ABAC

Es vital entender cómo se conceden los permisos:

• RBAC (Role-Based): Los permisos se asignan a Roles (ej. «Administrador», «Consulta») y los usuarios heredan esos roles. Es estático pero fácil de gestionar en estructuras claras.
• ABAC (Attribute-Based): Es dinámico. El acceso depende de atributos del usuario, del recurso e incluso del entorno (ej. «Solo si es lunes y accede desde la IP de la oficina»).
  • XACML: Es el estándar basado en XML para definir políticas en sistemas ABAC.

5. Federaciones e Interoperabilidad (España y UE)

• Proyecto SIR (RedIRIS): Federación de identidades para el ámbito académico y de investigación en España.
• STORK / eIDAS: El proyecto STORK sentó las bases para que un ciudadano europeo pudiera usar su eID (como el DNIe español) en servicios de otros países de la UE. Actualmente, esto se rige por el Reglamento eIDAS y el nodo eIDAS español, que usa SAML 2.0 para el intercambio de mensajes.