El vaso medio lleno o medio vacío: La gestión de identidad y acceso

Hola,

Sin duda, uno de los grandes tópicos del 2010 es la Gestión de Identidad y Acceso (Identity and Access Management, IAM). No es para menos, ya que este tipo de soluciones aporta enormes beneficios a aquellos que logran implantarlas adecuadamente. Ya no sólo es una cuestión de poder afrontar la siempre deseada reducción -razonable- de costes, sino el hecho de ser flexible, una cualidad que nunca está de más en el ámbito corporativo. Todo ello aderezado con otros atractivos beneficios de distinta naturaleza.

Las soluciones IAM suelen constar de al menos tres funcionalidades principales: provisión de usuarios, gestión de roles y cumplimiento. Para el grueso de organizaciones la provisión automática de usuarios es ya en sí un logro relevante. Automatizar y controlar los procesos de altas, bajas y cambios es un sueño para muchos. Si además conseguimos montar encima de la provisión la gestión y el ciclo de vida de roles y capacidades, el cambio pasa de ser significativo a espectacular. La guinda del pastel es la automatización de tareas de cumplimiento basadas en los dos puntos anteriores: esto abre la veda a procesos que en pocos minutos resolverán la papeleta que ahora cuesta muchas horas de auditoría, como por ejemplo, la segregación de funciones en tiempo real, la recertificación automatizada de usuarios o la generación de informes de cumplimiento con pocos clicks del ratón. ¿Quieres ser la vanguardia de la industria? Añade un portal de autoservicio de identidad y soporte single sign on real y transparente para tus usuarios, servicios y aplicaciones, y no te faltará trabajo como ponente en una interminable lista de eventos de primer nivel.

¿Suena bien verdad? Ahora ve al mercado, y pregúntale a cualquiera que haya implementado o esté implementando una solución IAM, y escucharás la parte menos romántica. Estos proyectos son tremendamente complejos, costosos y por desgracia para muchos, a veces suelen terminar en implementaciones fallidas o que no responden a las expectativas. Si se trata a fin de cuentas de un juego de herramientas software y un conjunto de procesos estándar y conocido por todos, ¿por qué pasa esto? ¿por qué razón implementar estas soluciones no es tan fácil como desplegar cualquier otro servicio?

Sobre esta problemática hay mucho escrito y más que queda por escribir. La extrema dificultad que tienen este tipo de integraciones es objeto de análisis constante por parte de analistas, y aunque las causas de la problemática son más o menos conocidas, todavía nadie ha dado con un enfoque universal que produzca una tasa pequeña de fracasos. Y mucho me temo que aquí no hay lugar para la magia.

Problemas, muchos. Entender estos proyectos como proyectos de TI y no como transformación de negocios, escoger inadecuadamente la tecnología y los integradores, carecer de un modelo de identidades robusto y definido, la impaciencia, la inacción, la heterogeneidad de servicios a conectar, la dificultar de alinear a los distintos jugadores, la indefinición de casos de usuario, carecer de una organización consensuada, la ausencia de soporte de la alta dirección correspondiente … podríamos estar horas enumerando los problemas. Pero lo más significativo es que implementar IAM requiere, en todas y cada uno de sus fases, personalizar todos y cada uno de los aspectos que conforman el proyecto. Y esto requiere concentración, paciencia y conocimiento desde el segundo uno hasta que se entrega el servicio en producción. Y esto que resulta tan fácil de escribir no es tan sencillo de llevar a la práctica teniendo en cuenta las limitaciones, presupuestarias y no presupuestarias, de estas integraciones.

Creo que el principal atractivo de los proyectos de integración IAM reside en su elevada exigencia. Si hay un buen ejemplo para confrontar la percepción pesimista (una interminable cuesta arriba repleta de obstáculos) frente a la optimista (un reto complejo para las organizaciones repleto de oportunidades), no busques más: lo has encontrado. Bienvenido a la Gestión de Identidad y Acceso.

Un saludo,

De Identity Lifecycle Manager 2007 a Forefront Identity Manager 2010

Buenas,

El mercado de las soluciones de IAM (Identity and Access Management, Gestión de Identidades y Acceso) está calentito últimamente. Quizás 2010 sea un buen año para los vendedores de este tipo de soluciones, que tradicionalmente habían sido, salvo honrosas excepciones, caras y sin un grado de madurez abrumador. El panorama ha cambiado, y hoy en día son muchos los vendedores que ofrecen soluciones de gestión de identidades suficientemente maduras y a precios razonables. Además han aparecido o se han consolidado jugadores de nicho que cubren perfectamente las necesidades de muchas organizaciones de una manera puntual y específica, y se me ocurren SAP, Evidian o Ilex, lo que ha conducido a que exista una oferta muy completa, lo que siempre resulta beneficioso para los potenciales compradores.

En este post no me voy a posicionar sobre qué solución IAM es la mejor, porque eso depende de muchas cosas. Es absolutamente absurdo valorar las soluciones IAM sin tener en cuenta dónde serán desplegadas y todo lo que ello conlleva: factores económicos, recursos disponibles y consumidos, estructura organizativa, sistemas actuales, sistemas que se quieren federar bajo el IAM, porcentaje de personalización necesario, capacidad y coste de mantenimiento de la solución, modelo de precio, estructura de licencias … por poner sólo algunos ejemplos.

Lo que sí es evidente es que Microsoft no es un líder en el mercado IAM, al menos si tenemos en cuenta el cuadrante de Gartner publicado en 2009. Podríamos considerar líderes a IBM (IBM Tivoli Identity Manager), Oracle (Oracle IAM Suite and Oracle Identity Manager), Courion (Courion Access Assurance Suite), CA (CA Identity Manager), Novell (Novell Identity Manager) y Sun Microsystems (Sun Identity Manager, que veremos que pasa tras la absorción por parte de Oracle). Es importante reseñar que ser líderes no implica ser la opción a comprar por defecto, ni que necesariamente sean los mejores productos y tecnologías, pero en general son fabricantes donde lo bueno pesa más que lo malo, y para qué engañarnos, por mucho que se advierta de que un líder no implica ser el mejor, muchos decisores ni se molestan en mirar los otros tres cuadrantes.

Microsoft sabe que se avecinan años buenos para IAM, y cómo no, como cualquier otro vendedor, es consciente de que este es un buen momento para sacar tajada. La crisis está dejando de apretar los presupuestos TI en muchos países (en otros cada vez aprieta más) y las soluciones IAM son apetitosas para múltiples organizaciones. No sólo por las ventajas en cuanto a cumplimiento normativo y regulatorio, más que obvias, sino por los tremendos ahorros que implica automatizar y centralizar la provisión de usuarios y su acceso a los sistemas, por no hablar de la reducción del riesgo operacional y el frecuente incremento de la seguridad. Consciente de todo ello, en una interesante jugada estratégica, Microsoft puso recientemente en lo alto de la mesa Forefront Identity Manager 2010.

El mercado de IAM tiene a algunos veteranos bien asentados, y a otros jóvenes competidores igualmente bien posicionados, con lo que Microsoft no lo tiene fácil. Obviamente, la integración con Active Directory y con SharePoint será un factor muy atractivo para muchas organizaciones, pero para otras sólo serán dos componentes más, porque además de AD y SP querrán integrar sus mainframes, sus bases de datos y sus aplicaciones empresariales. Además todos los competidores integran AD y SP, ya que son tecnologías presentes en una abrumadora mayoría de organizaciones, con lo que ser el mismo vendedor quizás no suponga una ventaja decisiva. Los retos que afronta no son pocos: arañar cuota de mercado a los líderes no es nada fácil, y Forefront Identity Manager 2010 , al igual que inicia su andadura con buenas perspectivas en general, arrastra algunos factores de precaución que pueden generar dudas en los clientes. Tal y como comentó Gartner en el Magic Quadrant en Septiembre de 2009:

  • El hecho de que Forefront Identity Manager sea para muchos clientes la esperanza de encontrar un producto mejorado respecto al anterior es en sí una señal de preocupación para los potenciales adoptantes, porque ahora no se atreverán con la solución anterior y tendrán dudas sobre si demasiado pronto para apostar por una versión nueva.
  • Aunque la solución (al menos ILM 2007) incluía conectores para las aplicaciones principales y un SDK, históricamente no son tan abundantes como los que ofrecen sus competidores. Esto hace que muchos clientes necesiten importantes inversiones en la creación (mediante los partners correspondientes, aunque hasta el punto que yo sé Microsoft tiene su propia unidad de integración) de los conectores necesarios, lo que puede enmascarar los costes reales. Los precios de entrada son probablemente de lo mejor del mercado, si no los mejores (unos 15.000 USD más unos 18 USD por licencia para acceso), pero el modelo de precio no sólo contempla las licencias iniciales, sino los costes de mantenimiento de la solución a largo plazo, incluyendo las personalizaciones. No obstante, según Gartner, los costes totales con Microsoft suelen ser del 65% al 80% de los que representan sus competidores, con lo que el factor precio no debería ser un problema para los de Redmond.
  • Otro factor a tener en cuenta es que Microsoft plantea las implementaciones priorizando sus propios productos, lo que puede afectar al resto de plataformas a conectar a la hora de que la solución IAM preste servicio uniforme a toda la organización. Esto es especialmente problemático si los project stoppers que hayamos identificado utilizan cualquier otra cosa además de Active Directory y SharePoint, lo cual suele ser habitual (los CRM, ERP, aplicaciones empresariales, etc.) porque en una estrategia IAM lo normal es atacar primero a los usuarios que creemos que pueden parar el proyecto en caso de que la implementación no vaya acorde a lo planeado, con lo que demorar su participación puede resultar poco aconsejable.
  • Tradicionalmente los clientes de ILM 2007 se han quejado de que el proceso es algo frustrante, ya que la implementación requiere de partida fuertes dosis de personalización, especialmente en la generación de informes. Esto es siempre fuente de recelo para los que quieren abordar implantaciones IAM en oleadas, buscando demostrar rápidamente ROI en cada una de las fases y poder así ir dotando las partidas venideras sin complicaciones si fuera necesario.

Los retos para Forefront Identity Manager son importantes, pero esto no deja de ser una cuestión de oportunidad. Los vendedores que no se suban a este carro lo tendrán difícil, con lo que entiendo el movimiento estratégico a la perfección y estoy casi seguro que Microsoft hará un buen papel en este terreno. Espero que en la próxima actualización del cuadrante de Gartner haya datos concretos sobre cómo se está portando Forefront Identity Manager 2010 en comparación a Identity Lifecycle Manager 2007. Hasta entonces si algún lector ha presenciado una implementación a gran escala de la solución, se agradecen comentarios :)

Un saludo,