Sonos automatiza las tareas de TI y seguridad a gran escala con Okta Workflows

“Los flujos de trabajo facilitan la resolución de problemas de TI, sin necesidad de conocimientos técnicos”.

Curtis Norman,

Senior Identity Engineer,Sonos

Situación: La solución heredada dificulta y encarece la gestión segura de las identidades de los empleados, desde el aprovisionamiento hasta el restablecimiento de las cuentas  

Sonos, la empresa de experiencia de sonido líder en el mundo, sigue creciendo a gran velocidad 20 años después de la introducción de sus pioneros sistemas de audio inalámbricos multihabitación para el hogar. Con más de 1800 empleados, 800 trabajadores contratados y un flujo constante de recién llegados, la empresa se esfuerza para garantizar la seguridad y el cumplimiento constantes mientras gestiona un número cada vez mayor de identidades de empleados.

Cuando Sonos salió a bolsa en 2018, se volvió aún más importante aprovisionar a los empleados de manera rápida y precisa, así como restablecer las cuentas bloqueadas. “Queremos asegurarnos de que la fuerza laboral de Sonos esté activa y se desincorpore en los momentos adecuados. También queremos poder realizar un seguimiento sencillo mediante la pila de identidades”, dice Curtis Norman, ingeniero de identidad sénior de Sonos. Las tareas clave también incluían proporcionar el nivel adecuado de acceso para las identidades privilegiadas y la membresía de los canales de Slack adecuados. Además del aprovisionamiento, el equipo necesitaba una forma sencilla pero segura de restablecer las contraseñas o un factor MFA.

Sin embargo, el proveedor de identidades heredado de Sonos dificultaba y encarecía la gestión segura de las identidades de los empleados. Algunos de los principales desafíos a los que se enfrentaron fueron los siguientes:

  • Dificultad para solucionar problemas en una infraestructura compleja: Sonos dependía de una combinación de cinco proveedores para la identidad y el aprovisionamiento, lo que creaba cinco posibles puntos de error. Si ocurría un problema, debían gastar recursos valiosos investigando toda la pila para determinar dónde estaba el problema. 
  • Aprovisionamiento impredecible: Las reglas de aprovisionamiento complejas a menudo fallaban, creaban cuentas duplicadas o no creaban el usuario en absoluto. Los atributos permanecían desactualizados hasta la próxima sincronización completa. Esto tardaba en solucionarse y suponía un riesgo para la seguridad.
  • Falta de automatización: Las reglas estaban codificadas, por lo que, si era necesario realizar ajustes, eso podía tardar semanas o meses en lugar de horas. 
  • Servicios profesionales y hardware costosos: La edición de las reglas de aprovisionamiento requería un costoso contrato de servicios profesionales. La necesidad de hardware adicional para los servidores de agentes y los servidores de dispositivos virtuales aumentó aún más el costo de configuración. 

Solución: Implementación de la automatización sin código de Okta Workflows y RR. HH. como fuente 

Para simplificar su arquitectura, Sonos reevaluó la forma en que manejaba la identidad, comenzando con el abastecimiento de RR. HH. Al cambiar a Workday for HR e integrarlo con Okta, Sonos habilitó un proceso en tiempo real entre los dos sistemas y pudo utilizar Okta como fuente para el aprovisionamiento impulsado por RR. HH. “Queríamos delegar por completo en RR. HH. el control de cuándo un usuario debía estar activo y cuándo no, en lugar de tener que enviar un ticket o una solicitud de TI”, explica David Wurtzburg, ingeniero de seguridad de identidad de Sonos. Esto proporcionó a Sonos una arquitectura más sencilla y muchos menos puntos de fallo, lo que lo hizo más eficiente y fácil de solucionar.

Luego, el equipo de Sonos comenzó a implementar la automatización para mejorar el aprovisionamiento y eliminar la necesidad de costosos servicios profesionales para realizar cambios básicos. Salió de su sistema heredado y comenzó a utilizar el aprovisionamiento de SCIM cuando estaba disponible y la automatización de identidades sin código o con código bajo de Okta Workflows para ampliar aún más el aprovisionamiento. Ahora, Sonos usa Workflows para automatizar una lista cada vez mayor de tareas complejas de aprovisionamiento e incorporación y para simplificar los restablecimientos de MFA. 

Creación de identidades únicas para cuentas con privilegios

Sonos comenzó rápidamente a usar Workflows para permitir un aprovisionamiento fluido y seguro para las cuentas con privilegios, como los administradores de sistemas. Si bien estos usuarios confían en sus cuentas estándar para el inicio de sesión en el equipo, el correo electrónico y otras tareas de usuario, deben iniciar sesión en cuentas con privilegios separadas para realizar tareas administrativas de nivel superior. El aprovisionamiento incorrecto de cuentas tan poderosas puede ser peligroso y costoso para la empresa. 

A fin de aprovisionar estas cuentas con privilegios, Workflows crea identificadores únicos para los administradores del sistema. Mientras los nombres de usuario de cuentas estándar se establecen con un formato “<InicialDelNombre><Apellido>”, Sonos ahora puede crear cuentas privilegiadas utilizando pares aleatorios de adjetivos y sustantivos que son anónimos y más difíciles de adivinar. “El objetivo es aumentar la dificultad de comprometer las identidades de alto impacto y eliminar el acceso a las identidades ‘estándar’ para que su experiencia de autenticación pueda ser más conveniente”, explica Norman. Con este fin, creó un flujo para elegir adjetivos y sustantivos aleatorios de listas separadas, juntarlos y verificar la combinación para ver si hay una coincidencia con una cuenta existente. Si es así, un flujo de autorreferencia crea una recursividad y vuelve a intentarlo. “Es como una ventanilla única para encontrar un nombre de usuario único de este tipo”. 

Cuando el flujo no encuentra una colisión, utiliza esa combinación para generar el nombre de usuario con privilegios. Luego, Okta Workflows entrega la credencial al usuario para que cree su propia contraseña. “Disponer de esa opción de autoservicio fuera de Okta sin tener que entregar una contraseña, sin dudas, es muy valioso para proteger nuestras cuentas privilegiadas” , dice Norman.

Adición automática de empleados a los canales de Slack correctos

Sonos simplifica la incorporación al agregar y eliminar usuarios de los canales de Slack apropiados. Por ejemplo, Sonos usa Workflows para agregar nuevos gerentes a un canal privado de Slack. “Antes, no había mucho manejo de ese ciclo de vida, por lo que podía llevar tiempo incluirlos”, dice Wurtzburg. “Ahora, tenemos un indicador para los nuevos gerentes que proviene de Workday, y utilizo algunas tarjetas estándar de Okta Workflow para encontrar a estos usuarios, ver sus atributos específicos, agregarlos a una lista y hacer que se los invite a ese canal de Slack específico”. 

Un flujo de trabajo similar automatiza la eliminación de los miembros del canal que se han ido de la empresa o han recuperado estado de colaborador individual. “Hay algunos casos de personas que no tienen la marca de gerente, pero aun así necesitan ser parte de ese canal, como el personal de RR. HH. Para evitar que se las eliminara, las excluí del flujo con una tarjeta según su nivel de organización u otros atributos relevantes”, explica Wurtzburg.

Protección de los restablecimientos de factor MFA 

Uno de los flujos de trabajo más utilizados por la empresa hace que el proceso de restablecimiento de factores sea más seguro. “Teníamos el problema de que, cuando alguien perdía su teléfono, había que omitirlo en MFA. Era muy riesgoso, sobre todo, si alguien quedaba en esa lista indefinidamente. Seis meses después, podíamos tener 30 usuarios con ese estado, mucho después de que los administradores se hubieran olvidado de que los habían agregado”, dijo Wurtzburg. Esto suponía una amenaza potencial para la seguridad de la empresa y requería una revisión manual para tomar las medidas adecuadas. 

Para proteger y simplificar este proceso de restablecimiento de factores, el equipo recurrió a Workflows. Crearon un flujo programado básico para manejar a las personas con el estado MFA omitido como un grupo de Okta. El flujo revisaba la lista y la vaciaba varias veces a la semana. “Este flujo nos ayudó a asegurarnos de que no nos encontráramos con el agujero de seguridad que significaba tener una lista cada vez mayor de personas que podían omitir la MFA”, explicó Wurtzburg.

Un segundo flujo de trabajo ayuda a los usuarios a lidiar con el problema raíz. “Básicamente, es solo un comando de Slack conectado a Okta para restablecer MFA que le indica al usuario que abra una ventana de incógnito, inicie sesión y configure el dispositivo. Es probable que este sea el flujo de trabajo más usado en la organización”.

Resultados: una infraestructura de identidad más eficiente y segura

Desde el aprovisionamiento de cuentas privilegiadas hasta la protección de los restablecimientos de factores y mucho más, Okta Workflows ha hecho que la gestión de identidades de Sonos sea más sencilla, eficiente y segura. Norman explica que “Workflows facilita la resolución de problemas de TI sin necesidad de conocimientos técnicos”. Wurtzburg coincide: “Okta Workflows ha sido como Legos”.

Estos son algunos de los beneficios más tangibles que Sonos ha recibido de Workflows: 

  • Simplificación de la solución de problemas y disminución de los posibles puntos de error: La consolidación de su proveedor de identidades, la automatización y el abastecimiento de RR. HH. ayudaron a reducir los puntos de error de cinco a dos, lo que requirió menos tiempo y recursos para solucionar problemas.
  • Aprovisionamiento rápido y preciso: Workflows permitió a Sonos incorporar y desvincular a los usuarios en días, y no en semanas, y eso resultó especialmente útil para las creaciones de última hora. 
  • Ahorro de tiempo para TI y soporte: Los equipos de TI y soporte ya no tienen que lidiar con problemas como caracteres en blanco en los nombres de las cuentas, lo que ahorra tiempo a los equipos. 
  • Reducción de costos: Sonos eliminó los costos adicionales de hardware que el proveedor de identidades anterior requería para los servidores de agentes y los servidores de dispositivos virtuales. 
  • Seguridad mejorada: Workflows puede ayudar a que los restablecimientos de MFA sean más seguros, lo que permite a la empresa abordar rápidamente los posibles riesgos de seguridad mediante la automatización.

Avances con Okta

Con su cambio a RR. HH. como fuente completado y Okta como su fuente de identidad, Sonos ha continuado con una nueva etapa de la iniciativa para incorporar su automatización sin empleados en Okta. “Todos los que no son empleados están alojados en SharePoint. Hemos comenzado a usar el agente de aprovisionamiento local de Okta con SharePoint como una fuente autorizada dentro del sistema Okta”, afirmó Tarell Evans, gerente sénior del Departamento de Operaciones de Seguridad e Identidad de Sonos. “Ahora, Okta domina a los no empleados y puede responder a AD y aplicaciones externas”. En una etapa futura, Sonos creará aún más automatizaciones de Okta Workflows para flujos integrados con Jira, Google Workspace y otras aplicaciones externas. 

Continúe con su recorrido de identidad

Póngase manos a la obra con la prueba gratuita hoy mismo o póngase en contacto con nuestro equipo para analizar sus necesidades únicas.