La visión de Okta para Universal Directory incluye ofrecer un enfoque centralizado para la gestión de identidades que permita a los clientes integrar cualquier pila tecnológica en un directorio en la nube centralizado e integral para unificar la gestión. En el mundo actual, la gestión unificada de identidades es cada vez más desafiante.
Al tener una fuerza laboral compuesta por empleados, proveedores de servicios, trabajadores por temporada y socios comerciales, las organizaciones adoptan estructuras empresariales complejas con fusiones y adquisiciones, filiales, regiones, divisiones y unidades de negocio.
Para brindar flexibilidad en el modelado de identidades, Okta presenta los ámbitos, que permiten a los clientes aprovechar Universal Directory como un plano de gestión central para casos de uso específicos. Los ámbitos son una nueva estructura de directorio que permite a los clientes segmentar poblaciones de usuarios en una sola organización según sus necesidades específicas. Junto con modelos de implementación, como el de concentrador y radio, los ámbitos ofrecen a los clientes más opciones para estructurar sus organizaciones. Los ámbitos ahora están disponibles para el público en general a través de Okta Identity Governance y Secure Partner Access.
Por qué la identidad unificada es tan desafiante
Los equipos de TI suelen tener dificultades para gestionar usuarios globales y heterogéneos, que provienen de los más diversos orígenes. Esta complejidad puede conducir a entornos tecnológicos fragmentados, problemas para implementar el acceso con privilegios mínimos y una productividad más lenta de la fuerza laboral que, en definitiva, dificulta el crecimiento empresarial.
Para abordar estos desafíos, las organizaciones actualmente recurren a arquitecturas como las de concentrador y radio para segmentar y delegar la gestión de poblaciones de usuarios mutuamente excluyentes. Si bien una arquitectura de concentrador y radio ofrece una forma eficaz de segmentar las poblaciones de usuarios, en especial para satisfacer los requisitos regionales de cumplimiento normativo, también puede aumentar significativamente la sobrecarga para los administradores que gestionan poblaciones de usuarios específicas. Las organizaciones y los equipos de TI necesitan una forma centralizada de gestionar todas las identidades y obtener visibilidad sobre quién tiene acceso a qué aplicaciones de forma integral.
¿Cómo pueden ayudar los ámbitos?
Los ámbitos introducen una segmentación estricta de las poblaciones dentro de una organización, lo que brinda una experiencia optimizada y segura para los administradores que buscan lo siguiente:
- Gestionar organizaciones dinámicas con poblaciones de usuarios específicas (p. ej., unidades de negocio, adquisiciones, filiales y divisiones).
- Delegar la administración de poblaciones de usuarios específicas a los administradores locales de mesas de ayuda.
- Aumentar la eficiencia de TI y reducir el número de tickets de gestión de usuarios que llegan a los equipos centrales de TI.
Modelar poblaciones únicas y específicas dentro de una sola organización
Con los ámbitos, los administradores pueden segmentar a los usuarios en poblaciones mutuamente excluyentes dentro de una sola organización. Esto marca límites estrictos entre los segmentos de usuarios para proteger los datos de los usuarios y delegar de forma segura la gestión de subconjuntos de la fuerza laboral sin duplicar usuarios ni políticas en organizaciones distintas.
Automatizar la designación de dominios para simplificar la incorporación de usuarios
Con las nuevas asignaciones de ámbitos, los usuarios nuevos pueden agregarse automáticamente al ámbito correcto sin intervención del administrador. Esto agiliza la incorporación de usuarios al automatizar el proceso, lo cual es especialmente importante para las organizaciones grandes, donde los usuarios provienen de RR. HH., IdP y otros directorios.
Delegar la gestión de usuarios
Al aprovechar el marco de rol de administrador personalizado, se pueden crear roles flexibles de “administradores de ámbitos” para manejar tareas como restablecimientos de contraseñas, creación de usuarios y asignación de aplicaciones o grupos dentro del alcance de la población de usuarios de un ámbito. Esto permite que los equipos de TI se expandan de manera efectiva y reduce la carga administrativa en los equipos centrales de administradores de TI. Los equipos centrales de TI pueden delegar las tareas diarias de la mesa de ayuda a los administradores locales para un subconjunto específico de la población de usuarios, al tiempo que minimizan las áreas a las que tiene acceso el administrador y evitan que los administradores tengan demasiados privilegios.
Automatizar la gestión de ámbitos
Los flujos de trabajo permiten a los administradores crear, leer, actualizar y eliminar ámbitos automáticamente, además de automatizar la creación de usuarios y el movimiento entre ámbitos. Los flujos de trabajo ofrecen una forma de automatizar y facilitar las acciones repetitivas, lo que libera a los equipos de TI y elimina las tareas manuales.
Centralizar la gobernanza para toda la fuerza laboral
Con el lenguaje de expresiones, las campañas de certificación de acceso y las políticas de derechos, se puede definir el alcance para los usuarios en uno o varios ámbitos. Esto permite que la gobernanza se aplique a múltiples poblaciones de usuarios dentro de una sola organización, mientras que los clientes que utilizan múltiples organizaciones para lograr la administración delegada no pueden ejecutar campañas de manera integral en toda su organización, lo que lleva a un enfoque fragmentado de la gobernanza.
Mejore su enfoque de gestión de la organización
Los propietarios de negocios pueden aprovechar los ámbitos para acelerar el crecimiento y los resultados empresariales implementando una gestión de identidad eficiente y una seguridad robusta dentro de una sola organización.
Modelos de implementación flexibles
Los usuarios tienen la flexibilidad de elegir cómo diseñar una organización: aprovechando los ámbitos, las múltiples organizaciones o ambos. Las empresas con segmentaciones lógicas de usuarios y equipos de TI aislados o subcontratados deben dar a los administradores acceso a la consola de administración para realizar acciones clave.
Sin embargo, incluso con la flexibilidad de los roles de administrador personalizados, el alcance del acceso suele ser demasiado amplio para estos administradores. Esto puede impulsar a los equipos de TI a recurrir a implementaciones de múltiples organizaciones para segmentar las poblaciones de usuarios.
Los ámbitos introducen flexibilidad arquitectónica para modelar estos segmentos. Esto permite a las organizaciones delegar tareas relacionadas con la gestión de usuarios, mientras que el equipo central de TI mantiene una ubicación única para gestionar políticas, aplicaciones y la gobernanza de toda la población de usuarios.
Gobernanza centralizada
La gobernanza se aplica a nivel de organización, lo que resulta en una estructura de gobernanza fragmentada para los clientes con múltiples organizaciones. Al aprovechar los ámbitos, un administrador de la organización de nivel superior puede atraer a todos los usuarios a una organización central con segmentos distintos.
Luego, pueden ejecutar campañas en toda la población de usuarios (o en un segmento de la población) mientras delegan las acciones de saneamiento a los “administradores de ámbitos” designados. Los administradores de TI globales pueden ver los resultados completos de una campaña en toda la organización sin tener que conciliar manualmente los resultados en organizaciones o campañas fragmentadas.
Mayor agilidad en fusiones y adquisiciones
Las organizaciones de nivel superior pueden usar los ámbitos para la incorporación de usuarios de manera eficiente a aplicaciones críticas mientras se establecen la estrategia de integración de TI y la estructura organizativa. Los usuarios pueden segmentarse en sus propios ámbitos, y los administradores pueden delegar a los administradores de la empresa adquirida sin darles acceso a toda la organización y a la consola de administración. Los administradores de TI de la organización principal se benefician gracias a una manera fácil y segura de incorporar usuarios y mantener la visibilidad en todas las asignaciones de aplicaciones, al tiempo que delegan la gestión.
Optimización de las operaciones de TI
Las empresas pueden optimizar las tareas globales de los administradores de TI al permitir que los administradores globales de TI se concentren en la estrategia y la infraestructura, delegando las acciones diarias relacionadas con la gestión de usuarios a los administradores locales de la mesa de ayuda. Esto permite a las organizaciones delegar la gestión sin poner en riesgo la visibilidad ni crear silos. Las organizaciones complejas pueden eliminar la fragmentación de la identidad de los usuarios y consolidar distintas poblaciones de usuarios en una sola vista unificada, sin generar una carga para los equipos globales de TI.
Antes y después
Las organizaciones complejas se han estructurado de diferentes maneras:
- Varias organizaciones distintas que no están conectadas.
- Varias organizaciones que están conectadas a través de Org2Org, a menudo en un modelo de concentrador y radio.
- Una sola organización donde las poblaciones están organizadas en grupos no diferenciados.
Varias organizaciones
Actualmente, una organización puede estar configurada con empleados de diferentes unidades de negocio o divisiones que existen en organizaciones separadas. Los administradores de Okta tienen que gestionar los usuarios y las asignaciones de aplicaciones por separado para cada organización. Además, los usuarios se rigen a nivel de organización, y la gobernanza no puede abarcar organizaciones separadas.
Con los ámbitos, distintas poblaciones de usuarios pueden existir en segmentos mutuamente excluyentes dentro de una única organización. Los administradores de los ámbitos pueden gestionar a los usuarios dentro de sus ámbitos sin otorgarles privilegios de más. Las campañas de gobernanza se pueden limitar a un solo ámbito o abarcar múltiples ámbitos.
Modelo de concentrador y radio
Alternativamente, una organización puede configurarse en un modelo de concentrador y radio en el que los socios, las filiales o las adquisiciones existen en organizaciones de radio. Muchos usuarios (o todos ellos) pueden duplicarse en la organización de radio para el acceso a aplicaciones compartidas.
Con los ámbitos, las distintas poblaciones de usuarios en la organización principal se pueden dividir primero en ámbitos para segmentar las poblaciones mutuamente excluyentes de cada organización de radio. De esa manera, los usuarios aún pueden compartir el acceso y las políticas de la aplicación, pero, desde el punto de vista del administrador, las poblaciones de usuarios pueden permanecer separadas.
En última instancia, esto puede permitir una estrategia a largo plazo que facilite que las organizaciones de radio se integren en la organización principal para minimizar la duplicación de usuarios y la sobrecarga en las organizaciones.
Introducción a los ámbitos
Los ámbitos están disponibles para el público en general como parte de Okta Identity Governance y Secure Partner Access. Consulte la documentación del producto y habilite los ámbitos en su organización para comenzar.
Además, los ámbitos se vinculan con muchos productos de Okta y los aprovechan. Consulte nuestra documentación sobre lo siguiente:
