12 mejores herramientas y software de administración de acceso

¿Qué es la gestión de acceso??

Gestión de Acceso (A.M), también conocido como Gestión de identidad y acceso (SOY), es la práctica de garantizar que las personas de una organización tengan acceso adecuado a los recursos tecnológicos.

Las buenas herramientas de administración de acceso aseguran que sus usuarios puedan acceder a las áreas de su red / sistemas necesarios para hacer su trabajo, al tiempo que aseguran que otras áreas se mantengan fuera de los límites para proteger a la organización (por ejemplo, robo de datos) y también para proteger a los propios usuarios (por ejemplo, accidental destrucción de datos).

Hay muchas herramientas de administración de acceso en el mercado para ayudarlo a implementar sus políticas, aquí está nuestra lista del mejor software de gestión de acceso:

1. SolarWinds Access Rights Manager (PRUEBA GRATUITA) Administra el acceso a recursos a través de Access Directory e instala en Windows Server.
2. Monitor de Active Directory Paessler PRTG (PRUEBA GRATUITA) Un monitor de Active Directory que forma parte de una herramienta de administración del sistema más amplia. Se instala en Windows Server.
3. Pasaporte SolarWinds (OBTENER DEMO) Un controlador de derechos de acceso y contraseña basado en la nube que puede interactuar con controladores de derechos de acceso en el sitio.
4. Atera (PRUEBA GRATUITA) Un sistema RMM para MSP que supervisa y gestiona todos los aspectos de una red, incluidos los derechos de acceso
5. ManageEngine AD360 (PRUEBA GRATIS) Una interfaz de Active Directory que se ejecuta en Windows Server.
6. ManageEngine ADAudit Plus (PRUEBA GRATIS) Un sistema de detección de intrusos que utiliza Active Directory como referencia de derechos..
7. Directorio de Apache Una implementación LDAP gratuita que se instala en Windows, Linux, Unix y Mac OS.
8. 389 Servidor de directorio Un administrador de derechos de acceso basado en LDAP gratuito que se ejecuta en entornos GNOME de Linux.
9. FreeIPA Una implementación LDAP para RHEL Linux y Mac OS. IPA significa Identidad – Política – Auditoría.
10. Administrador de cuentas LDAP Un administrador de derechos de acceso LDAP gratuito para Fedora, Debian y Suse Linux.
11. Servicio de directorio de AWS Un administrador de Active Directory basado en la nube proporcionado por Amazon Web Services.
12. JumpCloud DaaS Una combinación de Active Directory y LDAP que se basa en línea pero puede monitorear el sistema Windows y Linux en sus instalaciones.

Las mejores herramientas de gestión de acceso

Las siguientes secciones dan detalles sobre cada una de estas opciones

1. SolarWinds Access Rights Manager (PRUEBA GRATUITA)

SolarWinds es un productor líder de herramientas de gestión de recursos de TI y Access Rights Manager es la mejor elección para aquellos que desean un mejor control sobre Directorio Activo. Esta herramienta solo está disponible para el entorno de Windows Server. Sin embargo, es capaz de acceder a los directorios de AD para una variedad de servicios, incluidos Microsoft Exchange Server y NTFS.

Access Rights Manager realiza un seguimiento de las actividades que afectan a los controladores de dominio que operan en su red. Le alertará si se realizan cambios en los registros en las bases de datos de AD. Este es un monitor importante porque Acceder a Active Directory para cambiar los permisos es una estrategia utilizada por hackers y malware. Las funciones de auditoría se extienden a la lista de cambios en los buzones, calendarios y carpetas compartidas en Microsoft Exchange.

Podrá cambiar los permisos en los registros de AD a través de Access Rights Manager. La interfaz también le permite agregar, suspender y eliminar permisos. La herramienta también incluye un módulo de autoservicio que está basado en la web y permite a los usuarios crear o modificar sus propias cuentas. Esto es un gran ahorro de costos porque reduce las llamadas a la mesa de ayuda en caso de contraseñas olvidadas.

La herramienta incluye un módulo de análisis, que informará sobre todas las actividades de los usuarios enumerados. Esta es otra característica de ciberseguridad porque te ayudará a detectar comportamientos anómalos que podrían indicar una cuenta comprometida que está siendo utilizada por un hacker.

Una herramienta de informes en Access Rights Manager lo ayuda a crear documentación para demostrar el cumplimiento de los estándares y comunicarse con otros departamentos.

SolarWinds Access Rights Manager es una excelente herramienta de gestión de acceso e identidad y le ahorrará tiempo y dinero al crear y monitorear cuentas de usuario en su red. La herramienta no es barata, pero puede obtener una prueba gratuita de 30 días para probar el sistema usted mismo..

SolarWinds Access Rights ManagerDescargue PRUEBA GRATUITA de 30 días en SolarWinds.com

2. Monitor de Active Directory de Paessler PRTG (PRUEBA GRATIS)

PRTG, de Paessler, es una de las principales herramientas de monitoreo de redes en el mercado. Afortunadamente, este sistema de gestión muy completo está compuesto por módulos, llamados sensores. Solo paga por los sensores que activa aunque el software que instaló contiene todos los sensores en el sistema completo. Uno de esos sensores es un monitor de Active Directory. Lo mejor de la estructura de carga de Paessler es que puedes usar el software gratis si solo activas hasta 100 sensores.

Entonces, a pesar de que este es un servicio de monitoreo con muchas características, puede encender el sensor AD y no le costará nada. Sin embargo, si alguna vez decide explorar los módulos de monitoreo de infraestructura, ya tiene todo el software instalado y solo necesita activar todos los demás bits. Si alguna vez quieres probar todo el sistema, puedes obtener acceso libre para una prueba de 30 días.

El sistema PRTG solo se ejecuta en Servidor de windows, entonces se enfoca en monitorear Active Directory. PRTG es puramente un sistema de monitoreo; no incluye funciones de administración, por lo que podrá supervisar y auditar su bosque de Active Directory, pero no puede usar esta herramienta para actualizar sus bases de datos.

Este monitor es particularmente fuerte en la prevención o identificación de errores de replicación de bases de datos. Este proveedor de herramientas es el único en esta lista que enfatiza la frecuencia y los peligros de fallas y fallas de enlaces que pueden ocurrir cuando los controladores de dominio propagan sus bases de datos a los vecinos del bosque. El monitor PRTG detecta diferencias en las bases de datos de permisos de acceso en la red y genera alertas para ayudarlo a solucionar esos problemas lo más rápido posible.

PRTG Active Directory Monitor tiene procedimientos de auditoría sólidos y funcionaría bien en asociación con una herramienta de consulta y edición de AD para proporcionarle un sistema completo de administración de identidad y acceso.

Monitor de Active Directory PRTGDescargue PRUEBA GRATUITA de 30 días en Paessler.com

3. Pasaporte SolarWinds (OBTENER DEMO)

Pasaporte es un administrador de contraseñas basado en la nube, que se extiende a un administrador de derechos de acceso completo. La herramienta puede controlar los derechos de acceso de una empresa en varios sitios y también incluye servicios remotos, como AWS y Azur servidores en la nube.

Este servicio es dirigido a MSP y es multi-tenanted. Los proveedores de servicios administrados pueden usar esta herramienta para administrar los derechos de acceso de todos los recursos en los sistemas de todos sus clientes. La herramienta también puede ser utilizada internamente por los departamentos de TI.

El administrador de contraseñas actúa como un controlador central que unifica los diferentes sistemas de derechos de acceso que operan para una empresa. Los cambios en las contraseñas y los derechos de acceso realizados en Passportal se actualizan automáticamente a los controladores de derechos de acceso en el sitio. Éstos incluyen Directorio Activo, Oficina 365, Azur servidores, y LDAP implementaciones.

El sistema Passportal comienza su vida útil para un cliente mediante buscando gestores de derechos de acceso existentes y extraer todos los permisos que contienen. Una vez que estos datos se han incorporado a Passportal, el administrador del sistema puede comenzar a configurar los derechos de acceso y las contraseñas a través de la interfaz de Passportal y no necesita sincronizarlos con los controladores locales. Las contraseñas se almacenan en una bóveda de contraseñas en línea, que está asegurado con encriptación.

Passportal se puede configurar para aplicar la rotación de contraseña y también establecerá contraseñas complejas. Se puede configurar para que las contraseñas nominadas por los usuarios solo se acepten si tienen un nivel de complejidad preestablecido.

El paquete básico de Passportal incluye el administrador de contraseñas y un administrador de documentos. Este administrador de documentos también viene con almacenamiento seguro. Es posible almacenar páginas de ayuda para el usuario dentro de este sistema para ayudar a la comunidad de usuarios a comprender las políticas de la empresa sobre la administración de contraseñas. SolarWinds MSP ofrece un sistema de demostración de Passportal para que pueda consultarlo antes de comprar.

SolarWinds PassportalObtener Demo

4. Atera (PRUEBA GRATUITA)

Atera es un sistema de monitoreo y gestión remota (RMM) que está específicamente diseñado para ser utilizado por MSP (proveedores de servicios gestionados). Como plataforma de administración y monitoreo del sistema, este paquete puede monitorear, respaldar y restaurar sistemas de administración de derechos de acceso, como Directorio Activo.

El sistema Atera también incluye un paquete de automatización de servicios profesionales (PSA). El PSA es un sistema de gestión que ayuda a los MSP a ejecutar el negocio de servir redes de clientes. Parte de las características del PSA es un repositorio de contraseñas. Esto forma un sistema de gestión de acceso para las intervenciones automáticas y manuales que el MSP tiene que hacer en las redes, servidores y aplicaciones implementadas por sus clientes..

El paquete Atera es entregado desde la nube, para que el MSP no tenga que instalar o mantener software en sus propios servidores para usarlo. De hecho, el MSP incluso necesita servidores para operar su negocio cuando usa Atera.

Se accede a la plataforma a través de un navegador web estándar y también hay una aplicación móvil para que los técnicos accedan a la consola del sistema. El acceso total al tablero está protegido con contraseña con cuentas de usuario. La parte de gestión de acceso del sistema Atera está integrada en el servicio..

El paquete Atera RMM y PSA es cobrado por suscripción con honorarios cobrados por técnico por mes. Esta es una gran opción para técnicos de soporte independientes y pequeños MSP porque elimina la necesidad de pagar por todo el software necesario que un MSP debe tener. La estructura de carga es muy escalable y es fácil agregar más suscripciones de técnicos a medida que la empresa adquiere nuevos clientes y se expande.

Atera está disponible sin compromiso Prueba gratuita de 30 días para cualquier MSP que esté investigando nuevas opciones de RMM y PSA.

Prueba gratuita de 30 días de AteraStart

5. ManageEngine AD360 (PRUEBA GRATUITA)

ManageEngine ofrece varios sistemas de monitoreo de autenticación de usuarios. Todos ellos están basados ​​en Active Directory. AD360 es la primera de esas herramientas en nuestra lista. El enfoque en Active Directory significa que esta herramienta solo le será de utilidad en el Servidor de windows entorno, aunque ManageEngine generalmente escribe todo su software para que también pueda ejecutarse en Linux. Este es un sistema de administración de AD muy completo que no solo accede a los archivos de AD, sino que también los vigila para protegerlos de la manipulación de piratas informáticos.

AD360 controla la cobertura de Active Directory de los sistemas de archivos, recursos de red, Microsoft Office y los sistemas de correo electrónico de Microsoft Exchange Server. También puede rastrear el acceso a servicios basados ​​en la nube a través de controladores de dominio remoto. La interfaz de esta herramienta de administración le da acceso a los registros de AD. Puede agregar, eliminar, alterar y suspender los derechos de acceso a través de AD360.

Puedes crear un inicio de sesión único entorno a través de AD360 y emplee las capacidades de administración de autenticación multifactor de la herramienta. El diseño de la consola de control se puede adaptar. Eso permite dar vistas parciales al personal junior y al personal de la mesa de ayuda, para que puedan completar tareas delegadas sin tener acceso completo a su sistema de permisos de usuario.

Las acciones necesarias para crear una nueva cuenta de usuario se facilitan mediante plantillas de usuario. Estos también controlan la creación de grupos de usuarios. Las nuevas cuentas también se pueden crear en masa cargando datos de un archivo CSV. La suspensión y eliminación de cuentas también se puede llevar a cabo de forma masiva.

AD360 es un excelente paquete de IAM que incluye herramientas de auditoría, análisis e informes. ManageEngine le permite realizar una prueba gratuita de 60 días del software para que pueda probarlo sin riesgo.

ManageEngine AD360Descargue una prueba GRATUITA de 60 días

6. ManageEngine ADAudit Plus (PRUEBA GRATUITA)

ManageEngine ADAudit Plus es un poco diferente a las otras herramientas de administración de acceso en esta lista porque tiene que ver con actividades de monitoreo con fines de seguridad en lugar de permitir el acceso a herramientas de edición de permisos para la administración.

Las actividades clave de esta herramienta son rastrear las actividades del usuario, como los tiempos de inicio y cierre de sesión, y los intentos fallidos de inicio de sesión. La herramienta supervisa los cambios en los controladores de dominio y cualquier alteración en la base de datos de permisos de usuario de Active Directory. Estos cambios se escriben en un registro para informarlos y también desencadenar una alerta. Las alertas se muestran en el panel del software y también pueden enviarse por correo electrónico. El reportero de auditoría almacena los valores anteriores de los directorios AD, facilitando la restauración de configuraciones anteriores.

El seguimiento de auditoría de ADAudit Plus le ofrece dos perspectivas de actividad simultáneamente. Estas son actividades de usuario y utilización de hardware / sistema de archivos. Estas auditorías registran al miembro del equipo que implementó cada cambio de datos. Para el cumplimiento de las normas, los datos de auditoría deben almacenarse en archivos durante tres años. Este es un requisito de HIPAA, PCI-DSS, SOX, GLBA y FISMA. ADAudit Plus comprime estos archivos de auditoría, al tiempo que los indexa para un acceso rápido.

Un módulo de informes incluye Más de 150 formatos de informes escritos previamente, pero también es posible construir el suyo propio. Los informes pueden programarse para ejecutarse periódicamente y pueden enviarse por correo automáticamente. Los informes se pueden generar en formatos CSV, XLS, HTML y PDF.

La herramienta ADAudit Plus no es gratuita, pero puede obtenerla en una prueba gratuita de 30 días. ManageEngine ofrece una serie de herramientas gratuitas para trabajar con Active Directory. Estos incluyen un Generador CSV, que extraerá registros AD, el Herramienta de consulta de Active Directory, el Último reportero de inicio de sesión, y el Administrador de replicación de AD.

ManageEngine ADAudit PlusDescargar prueba gratuita de 30 días

7. Directorio de Apache

Apache Directory se ejecuta en Windows, Linux, Unix y Mac OS. Esta es una implementación de LDAP, que es la mejor elección para los usuarios de Linux. Apache es conocido por su sistema de servidor web. Apache Directory es de código abierto como Apache HTTP Server, pero los dos proyectos no están vinculados. Una gran atracción de este sistema de gestión de derechos de acceso es que es libre de usar.

El software para esta aplicación crea dos módulos. La parte del servidor del paquete se llama Apache DirectoryDS. Este es el motor principal del sistema de administración de acceso e incluye la base de datos de permisos. La otra parte del paquete es un cliente, llamado Apache Directory Studio. Esta es la interfaz de usuario para el directorio y le permite ver registros. El front-end también le permite agregar registros, modificarlos y eliminarlos..

Se pueden agregar otros elementos al paquete básico del Directorio de Apache. Estas extensiones son todas gratis. Apache Fortress agrega control de acceso basado en atributos y roles y también facilita la administración delegada y los servicios de políticas de contraseña. Apache Kerby es una implementación de Kerberos que agrega cifrado a las comunicaciones de su directorio. Otras dos opciones son Apache Directory API y Mavibot, que es un sistema BTree de control de concurrencia de múltiples versiones (MVCC), escrito en Java, que podría reemplazar el módulo Apache DirectoryDS..

Apache DirectoryDS utiliza un sistema de replicación multimaestro. Esto significa que la base de datos se puede distribuir, ya que diferentes controladores de dominio contienen diferentes registros. Sin embargo, cada base de datos se puede replicar para que estén disponibles más cerca de los puntos de acceso del usuario..

8. 389 Servidor de directorio

389 Directory Server es un simple pero eficiente Implementación de LDAP para Linux. Esto es una pieza de software gratis desarrollado por el Proyecto Fedora. Este es un proyecto de código abierto, por lo que no obtendrá ningún apoyo del proveedor de software, ya que está desarrollado por voluntarios con un presupuesto reducido.

La descarga del software incluye una interfaz GUI para el entorno GNOME. Sin embargo, para obtener lo mejor de este servicio, debe combinarlo con una herramienta de administración de identidad y acceso más completa. El gran beneficio de que LDAP sea un protocolo, en lugar de una pieza de software, es que cualquiera puede desarrollar aplicaciones LDAP. Siempre que cumpla con el protocolo, será compatible con todos los demás programas escritos según esas pautas..

Un ejemplo de aplicaciones complementarias desarrolladas independientemente que pueden funcionar bien con 389 Directory Server es la siguiente herramienta de administración de acceso en nuestra lista.

9. FreeIPA

FreeIPA es una combinación inteligente de aplicaciones LDAP desarrolladas por otros. El administrador de directorios para FreeIPA es 389 Servidor de directorio, sobre el que acabas de leer. La estrategia FreeIPA de agrupar aplicaciones gratuitas compatibles es una buena idea. El hecho de que la mayor parte de esta herramienta ya se esté utilizando en todo el mundo significa que todos esos componentes se han sometido a pruebas en el mundo real y, por lo tanto, se ha demostrado que funcionan.

Esta herramienta de gestión de identidad y acceso se puede instalar en Red Hat Enterprise Linux (RHEL) y Mac OS. El “Gratis” en el nombre habla por sí mismo y “IPA” significa “Identidad, política y auditoría.”Ese nombre te dice todas las funciones de esta aplicación. La parte de “identidad” del nombre está cubierta por la base de datos de permisos de acceso LDAP. Este es el administrador de acceso básico.

Para cumplir con la seguridad de los datos, realmente necesita tener funciones de auditoría agregadas a su controlador de acceso a recursos y eso es lo que proporciona Free IPA. También le permite establecer configuraciones de todo el sistema y estandarizar el acceso de los usuarios a través de plantillas. Esto es a lo que se refiere la parte de “política” del nombre de FreeIPA.

El paquete incluye una interfaz de usuario que interactúa con el 389 Directory Server, proporcionando una manera más fácil de actualizar, agregar y eliminar registros que el front end nativo que se incluye con el programa del servidor. También obtienes un Kerberos implementación, que le permitirá agregar procedimientos de encriptación y autenticación a sus comunicaciones de administración de acceso. Esta seguridad adicional es muy importante si desea obtener acceso remoto a controladores de dominio en otros sitios, o si emplea recursos en la nube en su red.

10. Administrador de cuentas LDAP

El administrador de cuentas LDAP es una herramienta de gestión de acceso libre con una alternativa paga, llamada LDAP Account Manager Pro. Ambas versiones del software se ejecutan en Fedora, Debian y Suse Linux.

El administrador de cuentas LDAP gratuito incluye un servidor, que protege la base de datos de permisos y actúa como un controlador de dominio. También hay un programa cliente incluido en el paquete y que es una interfaz que permite a los administradores agregar, eliminar y alterar los permisos de acceso..

La versión paga de la herramienta tiene más funciones. Estos incluyen una función para administrar la autenticación multifactor y un sistema de autoservicio que también tiene una función de restablecimiento de contraseña perdida.

LDAP Account Manager no es una herramienta de administración de identidad y acceso porque no incluye funciones de auditoría. Sin embargo, como se trata de una implementación LDAP, será compatible con otras utilidades LDAP y podría agregar capacidades de auditoría de otras fuentes.

11. Servicio de directorio de AWS

AWS significa Amazon Web Services. Este proveedor de nube muy popular ofrece espacio de almacenamiento, alojamiento web y una amplia gama de servicios, incluido un administrador de Active Directory basado en la nube. Aunque el servicio de directorio es una excelente opción para quienes alojan sus servicios web de Amazon o servidores de aplicaciones y archivos en AWS.

La implementación de Active Directory de AWS cumple con HIPAA y PCI DSS requisitos porque incluye funciones de auditoría para ayudar a garantizar la integridad de los datos. Las instantáneas del sistema se toman a diario, pero también puede obtenerlas a pedido en puntos críticos, como justo antes de una actualización de la aplicación.

Este AD permite la implementación de políticas grupales y también puede administrar una estrategia de inicio de sesión único. Puede fusionar diferentes suscripciones de servidor en un solo bosque, o elegir mantener separados algunos controladores de dominio.

Aunque se puede acceder a la plataforma en línea a través de un navegador, lo que hace que su interfaz sea neutral para el sistema operativo, el servicio de administración de acceso solo interactúa con Directorio Activo, así que solo puede ser útil para aquellos que operan un Ventanas entorno in situ.

La metodología de cobro es muy escalable porque las tarifas se cobran como un servicio medido. Lo mejor de esto es que no tiene que elegir entre diferentes planes de suscripción y preocuparse de que pueda quedar bloqueado en un volumen de servicio que su negocio podría superar. Otro gran aspecto de la estructura de cobro es que paga al final del mes una vez que se ha calculado el rendimiento del mes, por lo que no tiene que pagar grandes cantidades de dinero por adelantado como lo haría con un plan de suscripción anual.

El nivel mínimo de servicio abastece a dos dominios y los dominios adicionales se cobran a una tarifa por hora más baja. Amazon ofrece el servicio de directorio de AWS en una prueba gratuita de 30 días.

12. JumpCloud DaaS

JumpCloud Daas es un servicio muy interesante que probablemente señala el camino hacia el futuro de los sistemas de gestión de acceso. Esto es un servicio en línea, al igual que el servicio de directorio de AWS. Sin embargo, a diferencia del servicio de AWS, JumpCloud puede administrar sus recursos en el sitio y los servicios de cualquier proveedor de la nube que haya integrado en su red.

DaaS significa “directorio como servicio.”El concepto de este servicio es que es como si estuviera ejecutando Active Directory en su propio servidor, excepto que todo el procesamiento se realiza en el servidor de JumpCloud de forma remota. Este es un avance útil en el concepto tradicional de AD porque significa que sus archivos de auditoría se escriben automáticamente en una ubicación remota, manteniéndolos a salvo de posibles desastres ambientales in situ. La seguridad de sus datos de auditoría es responsabilidad de JumpCloud.

El modelo de servicio JumpCloud reconoce que una gran parte de la actividad de la red ahora ocurre en Internet. Considere la cantidad de empleados que ahora trabajan fuera del sitio: agentes, personal de entrega, consultores del sitio del cliente, artesanos y operarios y agregue el crecimiento en el teletrabajo. Puede ver cuánto de su tráfico de red realmente tiene lugar fuera del sitio y con qué frecuencia los derechos de autenticación y acceso realmente se negocian a través de Internet. Por lo tanto, mover el servidor de Active Directory a la nube no hace ninguna diferencia para la eficiencia del procesamiento.

Otra característica inusual del servicio JumpCloud es que ha logrado emular Active Directory para que pueda operar en Linux. Este es realmente un servicio LDAP disfrazado, pero es muy convincente y te ayuda a usar tanto Windows como Linux servidores en un entorno mixto, administrados con un conjunto de habilidades.

Vale la pena investigar el sistema JumpCloud DaaS y puede utilizar el sistema para gratis permanentemente para servidor de hasta 10 usuarios. Esta es una gran noticia para las nuevas empresas y las grandes organizaciones pueden usar este servicio gratuito para investigar el sistema y expandirse a una cobertura completa una vez que el ensayo funcione bien.

Implementación de gestión de acceso

Las opciones en nuestra lista deberían darle mucho para explorar. Esta guía solo puede darle una idea de cada una de estas excelentes herramientas, pero con suerte, solo con las breves descripciones, puedes comenzar a reducir tus opciones, facilitando las decisiones de aprovisionamiento. Todas las herramientas de esta lista son gratuitas u ofrecen una prueba gratuita, por lo que no perderá dinero probando algunas de ellas..

¿Ya tienes un sistema de gestión de acceso? ¿Para qué herramienta fuiste? ¿Has probado alguna de las herramientas de esta lista? Deje un mensaje en la sección de Comentarios a continuación y comparta su experiencia con la comunidad.

Imagen de Thomas Breher de Pixabay.