> **Tema 23.- Xestión avanzada de identidades e accesos (IAM) na administración pública.**

# 1. Conceptos Fundamentales (El ABC del IAM)

Antes de entrar en cosas avanzadas, tienes que dominar los pilares de cualquier sistema de acceso.

- **Paradigma AAA**: Autenticación (quién eres), Autorización (qué puedes hacer) y Auditoría/Accounting (qué has hecho).
- **Identificación vs. Autenticación**: Diferencia crucial. Identidad digital.
- **Ciclo de vida de la identidad**: Provisión (alta), modificación de roles, y desprovisión (baja o revocación de accesos).

# 2. Modelos de Control de Acceso (La Lógica Relacional)

Aquí es donde decides *cómo* das los permisos. Si lo piensas, es exactamente igual que asignar tu tabla `Tags` a tu tabla `Files`.

- **MAC (Mandatory Access Control) vs. DAC (Discretionary Access Control)**: Los modelos clásicos.
- **RBAC (Role-Based Access Control)**: El rey en la administración. Permisos basados en tu puesto/rol.
- **ABAC (Attribute-Based Access Control)**: La evolución. Permisos basados en atributos (ej: "solo puedes acceder si eres 'Jefe de Sección' Y accedes 'desde la IP de la oficina' Y en 'horario laboral'").
- **Zero Trust (Confianza Cero)**: La tendencia actual. "Nunca confíes, siempre verifica".

# 3. Protocolos y Tecnologías (El "Hierro")

Las herramientas que hacen que todo lo anterior funcione sin que el usuario tenga que meter 20 contraseñas distintas.

- **Servicios de Directorio**: LDAP y Microsoft Active Directory (AD).
- **SSO (Single Sign-On)**: Autenticación única.
- **Federación de Identidades**: Cómo sistemas distintos confían entre sí.
- **Protocolos clave a memorizar**: SAML 2.0, OAuth 2.0 y OpenID Connect. (Suelen caer muchas preguntas diferenciando para qué sirve cada uno).

# 4. IAM en la Administración Pública (El núcleo de TU oposición)

Este es el bloque diferencial. No vale solo la teoría general, tienes que saber cómo lo aplica el Estado y las Comunidades Autónomas.

- **Reglamento eIDAS**: El marco europeo de identidad y firma electrónica.
- **Sistema Cl@ve**: Arquitectura (Cl@ve PIN, Cl@ve Permanente, pasarela de autenticación).
- **Certificados Electrónicos y DNIe**: Infraestructura de Clave Pública (PKI), Autoridades de Certificación (como la FNMT o la equivalente autonómica).
- **El Esquema Nacional de Seguridad (ENS)**: Qué dice exactamente el ENS sobre el control de accesos, contraseñas y privilegios mínimos.

# 5. Gestión Avanzada y Tendencias (El extra de dificultad)

Como el tema dice "gestión *avanzada*", te pueden meter alguna pincelada de seguridad de alto nivel.

- **PAM (Privileged Access Management)**: Cómo se controlan las cuentas de los administradores de sistemas (para que quien tiene las llaves del reino no haga destrozos).
- **IGA (Identity Governance and Administration)**: Asegurar el cumplimiento normativo (quién aprobó qué acceso y cuándo).
- **MFA (Autenticación Multifactor)**: Algo más que usuario y contraseña (biometría, tokens, OTP).