Cuando oigo a alguien decir que han “modernizado” una aplicación, generalmente significa que han habilitado SAML o OIDC. Tal vez ambos.
Susohacesimplificar el acceso y reducir la fricción.Pero aquí está lo que me preocupa: demasiados equipos se detienen allí.Ellos implementan SSO y asumen que la parte difícil ha terminado.Pero en la práctica, es cuando la verdadera complejidad comienza a surgir.
Por qué “modernizamos” no siempre significa lo que piensas
Cuando la gente me dice que su aplicación se ha modernizado, me pregunto qué significa realmente. En muchos casos, simplemente significa que la aplicación ahora soporta SSO. Todavía utiliza la misma lógica de sesión interna. La autorización todavía está codificada profundamente en la aplicación. Todavía es frágil - solo con una mejor página de inicio de sesión.
Lo que está sucediendo aquí es más común de lo que la mayoría admite: modernizamos la puerta delantera y dejamos el resto de la casa sin cambios.
Y eso es un problema, porque la identidad no se trata sólo de iniciar sesión; se trata de lo que sucede después.
Lo que la autenticación moderna realmente ofrece
Los protocolos auth modernos como SAML y OIDC fueron diseñados para resolver desafíos reales - principalmente login y federación.Cuando están en lugar, los usuarios ya no necesitan jugar contraseñas, y la TI no tiene que gestionar cada credencial manualmente.
Eso es progreso real.Y sí, SSO a través de estos protocolos mejora la postura de seguridad.Pero no confundamos conveniencia con completitud.
Los protocolos son progreso, pero no son la línea final
No me equivoque, agregar soporte para OIDC o SAML es progreso. Obtén menos contraseñas, menos fricción y una experiencia de usuario más consistente.Lo que no proporcionan son los otros controles críticos en los que confiábamos con los sistemas de Gestión de Acceso a la Web (WAM): control de sesión centralizado, ejecución de autorización, integración de directorios y manejo de políticas consistente.
Los sistemas WAM no eran perfectos, pero nos dieron una capa de control consistente en todas las aplicaciones.Cuando los eliminamos sin reemplazar esa capa, perdimos algo esencial, y he visto las consecuencias de primera mano.
La aplicación no es moderna si la identidad todavía está codificada
He visto aplicaciones que parecen lisas en la superficie, pero que todavía se basan en la frágil identidad específica del desarrollador que se mueve detrás de las escenas.En estos casos, agregar SSO no aborda el riesgo real: comportamiento inconsistente en aplicaciones y entornos.
Algunos equipos todavía están utilizando bibliotecas de sesión obsoletas. Otros están codificando las reglas de acceso de una manera que convierte la auditoría en una pesadilla. El protocolo es moderno.
Dónde las cosas se rompen: gestión de sesiones
Uno de los mayores puntos ciegos de identidad en entornos modernizados es la gestión de sesiones.La gente asume que SSO se encarga de ello, pero no lo es.
Con WAM, el comportamiento de las sesiones —temporadas, renovaciones, revocaciones— se gestionó en un solo lugar.Podrías aplicar un cambio de política y saber que se aplicaría a toda la empresa.Hoy en día, la lógica de las sesiones está incorporada dentro de cada aplicación individual, dispersa en diferentes idiomas y marcos.
He trabajado con equipos que usan Spring, Node.js, Rails, y incluso dentro de un marco, no hay garantía de coherencia.
No ser capaz de hacer cumplir temporadas de sesión consistentes es un riesgo enorme si no pueden revocar sesiones cuando sucede algo sospechoso.
El costo de la lógica de sesión descentralizada
Cuando se toman semanas o meses para corregir las bibliotecas de sesión, o nadie sabe dónde se definen los intervalos de tiempo inactivos, la seguridad se vuelve reactiva en el mejor de los casos.
Esto no es teórico. He visto a las empresas luchar sólo para rastrear cómo su manejo de sesiones incluso funciona. Se ha convertido en conocimiento tribal, oculto profundamente en el código de la aplicación.
Esto no es sostenible, especialmente para las empresas que se ocupan de los objetivos de cumplimiento o de confianza cero.
Drift de identidad y autorización
Lo mismo que ocurre con la lógica de sesión ocurre con la autorización.Una vez que se empuje hacia abajo en el código de la aplicación, se vuelve casi imposible gestionar centralmente.
Las reglas están enterradas en la lógica empresarial. Las políticas se desplazan. Y al final, nadie sabe exactamente quién tiene acceso a qué —o por qué. Incluso las aplicaciones que soportan la autenticación moderna pueden fallar aquí, porque AuthZ no es parte del protocolo.
La orquesta tiene que venir
En este punto, creo que está claro: la autenticación moderna es solo una pieza del rompecabezas.
Los beneficios del uso de la orquestación incluyen:
- Recuperar la capacidad de cancelar sesiones instantáneamente
- Aplicar las políticas de sesión y authZ de manera consistente
- Gestión de claves de federación y certs desde un solo lugar
- Integración con señales de riesgo (como CAEP) para apoyar la confianza cero
- Y lo hace todo sin reescribir aplicaciones o cambiar proveedores de identidad
La orquestación puja la brecha entre el “suporte a protocolos modernos” y la modernización real de la identidad.
Centralizar no significa retroceder
A veces la gente asume que traer el control de la identidad de vuelta a un lugar es un paso atrás.
Se trata de habilitar la agilidad. Sobre dar a los equipos de seguridad la visibilidad que necesitan sin ralentizar a los desarrolladores. Sobre la gestión de la identidad como un servicio - no como una serie de hacks específicos de la aplicación.
Cuando no tienes orquestación, cada desafío de identidad se convierte en una solución única.
Si estoy hablando con un equipo de seguridad, generalmente haré una pregunta como esta: “¿Cuánto rápido podrías revocar las sesiones de un usuario?En todas las aplicaciones de tu empresa¿Ahora mismo?”
Si la respuesta es algo menos que “inmediatamente”, hay un problema que vale la pena resolver.
Siguiente Entrada siguiente: No te detengas en SSO
Lo diré claramente: la autenticación moderna es esencial, pero es incompleta.Si se detiene en SSO, se está perdiendo la capa de control que hace que todo lo demás funcione - de forma segura, consistente y a escala.
Así que sí, adopta SAML. Descarga OIDC. Pero no dejes que la caja de inicio de sesión sea la línea de finalización.
Si quieres una verdadera seguridad, la orquestación tiene que ser parte del viaje.
Sobre el autor
Darren Platt ha liderado equipos de ingeniería en Securant Technologies, Ping Identity, Simplified, RSA y Oracle. ahora es el VP de Gestión de Productos e Ingeniería en Strata Identity, donde está construyendo la primera plataforma de orquestación de identidad distribuida para entornos distribuidos y contribuyendo al nuevo estándar de orquestación de políticas, IDQL y su software de referencia Hexa.
