Prueba gratuita Contáctenos

El plan ZSP: Implementación de PIM real con Okta Identity Governance

Acerca del autor

Chris Norris

Vice President of Identity Access Management

Chris Norris is the Vice President of Identity Access Management at Okta, where he leads a team dedicated to advocating for the needs of identity practitioners within the company, positioning Okta as its own premier customer. With nearly three decades of experience in IT, Chris has a robust background in identity and security, having worked with several global-scale organizations.

12 noviembre 2025 Tiempo de lectura: ~

Topics

Okta on Okta

Tabla de contenidos

El desafío: eliminar los privilegios permanentes

En el panorama actual de amenazas, los privilegios permanentes (usuarios que conservan accesos elevados las 24 horas del día) representan una vulnerabilidad crítica. Incluso con MFA sólido, estas cuentas siguen siendo objetivos de alto valor para los ataques. El objetivo de la industria es implementar un modelo de privilegio permanente cero (ZSP) estable y escalable empleando capacidades nativas de Okta Identity Governance (OIG) y garantizando que los roles más sensibles solo estén activos cuando se los necesita explícitamente.

La solución: un modelo de gobernanza de acceso en dos niveles

Esta solución usa un modelo de acceso en dos niveles dentro de OIG que separa la elegibilidad a largo plazo de la activación temporal. Este diseño permite mantener una gobernanza continua mientras se reduce de forma drástica la superficie de ataque activa.

Nivel 1: Elegibilidad del rol (validación a largo plazo)

Este nivel define quiénes pueden llegar a acceder a un rol privilegiado.

  • Mecanismo: una condición de solicitud de acceso (ARC) vinculada a un grupo de elegibilidad (un grupo que no se usa directamente para otorgar acceso a aplicaciones).
  • Proceso de aprobación: revisión humana estricta y en varios pasos, que normalmente incluye la aprobación del gerente de línea y la aprobación del propietario del rol.
  • Gobernanza: la membresía está sujeta a una revisión de acceso de usuario (UAR) recurrente (por ejemplo, cada 90 días).
  • Resultado: el usuario obtiene el derecho permanente a activar el rol cuando lo necesite, pero el rol todavía no se asigna en la aplicación de destino.

Nivel 2: Activación justo a tiempo (elevación diaria)

Este nivel maneja la elevación temporal necesaria para realizar una tarea.

  • Mecanismo: una ARC independiente, vinculada directamente al grupo o rol privilegiado final en la aplicación de destino. Esta solicitud solo es visible para quienes forman parte del grupo elegible del Nivel 1.
  • Acceso con tiempo limitado: el acceso se concede por un período estrictamente definido (por ejemplo, 4, 8 o 12 horas) y OIG lo revoca automáticamente al finalizar ese plazo.
  • Flexibilidad: el flujo de aprobación se personaliza según la criticidad del rol. Puede ser más ágil (por ejemplo, aprobación automática basada en la relación con el gerente en Okta) o más estricto (como aprobación por pares u otros controles adicionales).
  • Resultado: al usuario se le asigna dinámicamente el rol de Superadministrador por un tiempo específico para cumplir con el modelo de ZSP.

Controles de seguridad: mucho más que acceso por tiempo limitado

Esta solución ofrece el máximo nivel de seguridad al combinar controles complementarios de Okta, como:

  • Cuentas secundarias (práctica recomendada): las organizaciones suelen usar cuentas privilegiadas separadas, protegidas por políticas de autenticación y de sesión mucho más estrictas (por ejemplo, YubiKey, confianza en el dispositivo y FIDO2). Esto garantiza que las credenciales utilizadas para acciones privilegiadas sean significativamente más seguras que las que se usan en la cuenta diaria de la persona usuaria.
  • Integración de aplicaciones de destino:
    • En aplicaciones que usan SAML u OIDC, la asignación por grupos permite bloquear eficazmente el acceso por SSO. El usuario no puede iniciar sesión hasta que active su acceso justo a tiempo (JIT) a través del flujo de trabajo de OIG.
    • En aplicaciones integradas mediante SCIM, la activación dispara el aprovisionamiento JIT y la asignación de permisos en el sistema de destino, solo durante el período de tiempo definido.

Consulte nuestra guía práctica paso a paso aquí, donde explicamos en detalle la metodología de configuración.

Okta como plataforma PIM: una mirada al futuro

Todo este marco se basa exclusivamente en capacidades nativas de flujo de trabajo e IGA de Okta, lo que demuestra que Okta puede funcionar como una sólida solución de PIM para cualquier aplicación integrada.

¡Muy pronto publicaremos una nueva guía práctica con instrucciones paso a paso para implementar este modelo ZSP en su propio entorno de Okta!

 

Más contenido de Okta-on-Okta:

Transformar la incorporación con seguridad sin contraseñas

Nuestro recorrido hacia una seguridad proactiva: adopción de Okta Identity Threat Protection

Reforzar la seguridad: verificación de identidad para nuevas incorporaciones

Acceso en vía rápida: aprovisionamiento masivo con Okta Workflows

Acerca del autor

Chris Norris

Vice President of Identity Access Management

Chris Norris is the Vice President of Identity Access Management at Okta, where he leads a team dedicated to advocating for the needs of identity practitioners within the company, positioning Okta as its own premier customer. With nearly three decades of experience in IT, Chris has a robust background in identity and security, having worked with several global-scale organizations.

Continúe con su recorrido de identidad

Póngase manos a la obra con la prueba gratuita hoy mismo o póngase en contacto con nuestro equipo para analizar sus necesidades únicas.

Comience
Hablemos