Un sistema de gestión de identidades es aquel sistema integrado de políticas, procesos organizacionales y reglas de negocio que se encarga de facilitar y controlar el acceso a los sistemas de información de una organización.

No debe entenderse como una solución única, sino como un conjunto de soluciones interrelacionadas entre sí para administrar la autentificación y autorización de usuarios, sus derechos, restricciones, perfiles, accesos a grupos, contraseñas y todos aquellos datos que sean necesarios para su correcta administración.

Los principales objetivos perseguidos por una organización que quiere implemetar una solución de estas características son:

• Normalizar los datos de identidad que tienen en múltiples repositorios.
• Unificar las diferentes reglas de negocio utilizadas para la gestión de los diferentes repositorios.
• Automatizar las altas/bajas de usuarios en los distintos repositorios.
• Proveer de herramientas de provisión a los administradores y de cambio de cambio/recuperación de contraseñas para los usuarios.
• Unificar las contraseñas de los usuarios en los distintos repositorios.
• Disponer de un metadirectorio global a todos los miembros de la organización, para poder ofrecer servicios sobre dicho repositorio.
• Soportar administración delegada de los usuarios por grupos.

Para afrontar estos objetivos Ándago propone una actuación en las siguientes áreas:

• Normalización. Los sistemas de "gestión de identidades" son una necesidad de aquellas organizaciones en las que debido a su crecimiento, el número de repositorios de identidad, usuarios y/o servicios ha alcanzado un tamaño lo suficientemente grande como para que sea complicado continuar cumpliendo con las reglas de negocio, de identidad, de la organización sin dedicar excesivas cantidades de recursos a ello. El área de la normalización de la información implica el estudio de los sistemas de identidad existentes, la puesta en marcha de criterios para unificar la utilización de los mismos, y el preparar los datos para que estos puedan ser cargados en un sistema de "provisioning". Es importante destacar la diferencia entre el área de normalización y el de provisioning, mientras los procesos de normalización van a enfocados a organizar la información de identidad de una organización, previo a su integración en un sistema de gestión de identidad, los procesos implementados en el área de provisining, van enfocados a implementar las reglas de negocio de la organización enfocadas a la identidad.

• Provisioning. El área de provisioning está enfocado a implementar las reglas de negocio, de provisión de usuarios, de las organizaciones. El objeto de este área son las propias reglas de negocio, no el reordenar la información que previamente a implantar un sistema de gestión de identidades se encontraba "desordenada". En dicha área se tratan procedimientos, como la creación/borrado/modifcación de usuarios en la organización, la propagación de los datos de identidad a los distintos repositorios en función del tipo de usuario, la captura de datos de identidad desde distintos repositorios, tareas en el tiempo (como políticas de cambio de contraseñas, expiraciones), interfaces gráficos de gestión de los datos.

• Metadirectorio. En las organizaciones generalmente se disponen de diversos repositorios de identidad. De modo que el listado completos usuarios y los datos completos de identidad de los usuarios de la organización se encuentran repartidos, encontrándose parte de ellos en cada uno de los repositorios. Además durante la implantación de los sistemas de gestión de identidades, suelen aparecer nuevos campos de identidad en la organización que hasta ese momento no existían, y que se utilizan para gestionar los datos de identidad de los usuarios. El servicio de metadirectorio, viene a plasmar en un directorio de identidad un volcado de todos los usuarios de la organización, con un conjunto grande de datos que actualmente se encuentran divididos en diversos repositorios, y algunos de esos nuevos datos utilizados para gestionar la identidad, de modo que puedan ser utilizados por futuros servicios en la organización.

• Autenticación/Autorización. El área de autenticación/autorización, es el apartado que se encarga de autenticar/autorizar a los diversos usuarios en los diferentes servicios de la organización. En realidad dependiendo de la organización no suele implicar nuevos añadidos en sus sistemas, sino que viene dado como producto del área de provisioning. Eso sí, algunas veces es necesaria la modificación en la configuración de los servicios para realizar un ajuste completo con las reglas de negocio de la organización. En otros casos, en este área se trabajan en la implementación de APIs, que generalmente funcionan contra el servicio de metadirectorio, que permiten autenticar/autorizar a los usuarios.

• SSO. El "Single Sign On", es el siguiente area a tratar tras la autenticación/autorización, trata de que dichos procesos se realicen de modo que una vez que un usuario se ha autenticado en uno de los servicios, no sea necesario volver a autenticar a dicho usuario en otros servicios de la organización, ya que el primer servicio envía una credencial al usuario, que el usuario utiliza para demostrar en el resto de los servicios cual es su identidad. Los servicios de SSO, se dividen en dos tipos, por una parte los servicios Web/Desarrollo, y por otra parte los servicios basados en servicios de sistemas, como pueden ser un servidor de correo, un servidor ftp, el acceso a un terminal Windows/Linux ...

• Federación. Un paso más allá de la autenticación/autorización y el SSO está la federación. La federación es el área que trabaja los mecanismos para el intercambio de identidades entre diferentes organizaciones.