¿Qué es la federación de identidades y qué papel juega un proveedor de identidad?
Respuesta breve
La federación de identidades establece confianza entre un proveedor de identidad (IdP) que autentica usuarios y proveedores de servicios (partes de confianza) que consumen esa autenticación. El IdP verifica al usuario y emite una aserción o token firmado; el proveedor de servicios confía en él en lugar de gestionar sus propias credenciales. Esto habilita el SSO entre dominios y el control centralizado, pero concentra el riesgo: si comprometes el IdP, comprometes todo lo que confía en él.
Cuando un usuario inicia sesión en una aplicación SaaS de terceros «con su cuenta de empresa», eso es la federación de identidades en acción. Permite a las organizaciones centralizar la autenticación a la vez que usan muchas aplicaciones independientes.
Los actores
- Proveedor de identidad (IdP). La autoridad que autentica al usuario y emite una prueba de identidad: Entra ID, Okta, Google, etc. Posee las credenciales y ejecuta el inicio de sesión.
- Proveedor de servicios (SP) / parte de confianza. La aplicación a la que el usuario quiere acceder. No verifica las credenciales por sí mismo; confía en las aserciones del IdP.
- La relación de confianza. Establecida de antemano mediante el intercambio de metadatos y claves de firma, para que el SP pueda verificar criptográficamente que una aserción proviene realmente del IdP y no fue falsificada.
Cómo fluye un inicio de sesión federado
El usuario llega al SP, que lo redirige al IdP. El IdP lo autentica (contraseña + MFA, etc.) y devuelve una aserción o token firmado (una aserción SAML o un token de ID OIDC) que describe quién es. El SP valida la firma, lee las reclamaciones y concede una sesión, sin ver jamás la contraseña del usuario.
Por qué centralizar y qué cuesta
La ventaja es real: un único lugar para imponer MFA y acceso condicional, un único lugar para desactivar a un empleado que se va, identidad coherente en docenas de aplicaciones, y nada de proliferación de contraseñas. La desventaja es la concentración del riesgo: el IdP se convierte en un punto único de fallo catastrófico. Compromételo (o sus claves de firma) y un atacante podrá acuñar aserciones válidas para cada aplicación conectada. Por eso los IdP exigen las protecciones más fuertes: MFA resistente al phishing para administradores, protección de claves y monitorización estrecha.
Federación vs. un único directorio grande
Un directorio único significa que un solo sistema posee todas las cuentas. La federación permite que dominios administrados por separado confíen entre sí: útil para socios, fusiones y SaaS donde no controlas el almacén de usuarios del otro lado.
Lo que buscan los entrevistadores: separas claramente el IdP de la parte de confianza, describes el modelo de confianza por aserción firmada, y señalas el IdP como el riesgo concentrado que debe protegerse con más fuerza.
Posibles preguntas de seguimiento
- ¿Cuál es la diferencia entre el IdP y el proveedor de servicios / parte de confianza?
- ¿Por qué la federación concentra el riesgo en el IdP y cómo se mitiga?
- ¿En qué se diferencia la federación de simplemente tener un único directorio grande?