La delegación es el proceso en el que un usuario de una computadora entrega sus credenciales de autenticación a otro usuario. [1] [2] En los modelos de control de acceso basados en roles, la delegación de autoridad implica delegar roles que un usuario puede asumir o el conjunto de permisos que puede adquirir, a otros usuarios. [3]
Tipos de delegación en redes de TI
Básicamente, existen dos clases de delegación: delegación en el nivel de autenticación / identidad y delegación en el nivel de autorización / control de acceso .
Delegación a nivel de autenticación / identidad
Se define de la siguiente manera: Si un mecanismo de autenticación proporciona una identidad efectiva diferente de la identidad validada del usuario, entonces se denomina delegación de identidad en el nivel de autenticación, siempre que el propietario de la identidad efectiva haya autorizado previamente al propietario de la identidad validada a usar su identidad. [4]
Las técnicas actuales de delegación identidad utilizando sudo
o su
comandos de UNIX son muy populares. [ cita requerida ] Para usar el sudo
comando, una persona primero tiene que comenzar su sesión con su propia identidad original. Requiere la contraseña de la cuenta delegada o autorizaciones explícitas otorgadas por el administrador del sistema. La delegación de inicio de sesión de usuario descrita en la patente de Mercredi y Frey también es una delegación de identidad. [5]
Delegación a nivel de Autorización / Control de Acceso
La forma más común de garantizar la seguridad informática son los mecanismos de control de acceso proporcionados por sistemas operativos como UNIX, Linux, Windows, Mac OS, etc. [6]
Si la delegación es para derechos muy específicos, también conocidos como de grano fino, como con la delegación de control de acceso basado en roles (RBAC), siempre existe el riesgo de una delegación insuficiente, es decir, el delegador no delega todo lo necesario. permisos para realizar un trabajo delegado. Esto puede provocar la denegación del servicio, lo cual es muy indeseable en algunos entornos, como en los sistemas críticos de seguridad o en la atención médica. En la delegación basada en RBAC, una opción para lograr la delegación es reasignar un conjunto de permisos al rol de delegado; sin embargo, encontrar los permisos relevantes para un trabajo en particular no es una tarea fácil para sistemas grandes y complejos. Además, al asignar estos permisos a un rol de delegado, todos los demás usuarios asociados con ese rol en particular obtienen los derechos delegados.
Si la delegación se logra asignando los roles de un delegador a un delegado, entonces no solo sería un caso de delegación excesiva, sino también el problema de que el delegador tiene que averiguar qué roles, en la compleja jerarquía de RBAC, son necesarios para realizar un trabajo en particular. Este tipo de problemas no están presentes en los mecanismos de delegación de identidad y normalmente la interfaz de usuario es más sencilla.
Se pueden encontrar más detalles en RBAC .
Referencias
- ^ Barka, E., Sandhu, R .: Un modelo de delegación basado en roles y algunas extensiones. En: Actas de la 16a Conferencia Anual de Aplicaciones de Seguridad Informática, Nueva Orleans, EE. UU. (Diciembre de 2000)
- ^ Un mecanismo para la delegación de identidad a nivel de autenticación, N Ahmed, CD Jensen - Actas de la 14ª Conferencia Nórdica…, 2009 - portal.acm.org, 2009
- ^ "Delegación basada en roles de grano fino en presencia de la jerarquía de roles híbridos" . Universidad de Purdue. 2006 . Consultado el 29 de marzo de 2014 .
- ^ Un mecanismo para la delegación de identidad a nivel de autenticación, N Ahmed, CD Jensen - Actas de la 14ª Conferencia Nórdica…, 2009 - portal.acm.org, 2009
- ^ Mercredi, Frey: delegación de inicio de sesión de usuario. Publicación de solicitud de patente de Estados Unidos, US 2004/0015702 A1 2004
- ^ Gollmann, D .: Seguridad informática 2e. John Wiley e hijos, Chichester (2005)