fbpx
(11) 5521-2021 [email protected]

Este artigo é voltado para quem está buscando mais informações sobre gestão de identidades, acessos e outras funcionalidades correlatas. O objetivo é dar uma visão geral sobre o assunto para entender o escopo completo do que hoje se entende por Gestão de Identidades e Acessos (GIA).

Gestão de Identidade: entenda esta funcionalidade e como ela se relaciona com os sistemas de sua empresa

Este artigo é voltado para quem está buscando mais informações sobre gestão de identidade, acessos e outras funcionalidades correlatas.

O objetivo aqui é dar uma visão geral sobre o assunto para entender o escopo completo do que hoje se entende quando se usa o termo Gestão de Identidade.

A figura abaixo fornece uma visão geral de como um sistema de gerenciamento de identidades, no caso o HORACIUS, se relaciona com os demais sistemas de uma empresa.

Pra começar, vamos falar do próprio termo Gestão de Identidade. Em inglês, usa-se bastante Identity Management (IDM) e Identity and Access Management (IAM). No Brasil, tem se tornado cada vez mais popular o emprego de GIA para Gestão de Identidade e Acessos.

Ao longo dos últimos 10 anos, o escopo de gestão de identidade e acessos vem sendo ampliado. E, hoje, há uma interoperabilidade (ou seja, capacidade de um sistema de se comunicar de forma transparente com outro sistema) bastante variada com múltiplos sistemas correlatos. Estes sistemas incluem Single Sign-on, Multi-factor Authentication, Mobile Device Management, Cloud Services, IDaaS e outros.

O que esperar deste artigo

Nesta primeira parte, eu vou me concentrar no que considero o núcleo de Gestão de Identidade e Acessos, que são aquelas funcionalidades que todo projeto deveria implantar:

  • Governança e Administração de Identidades;
  • Autenticação Centralizada;
  • Provisionamento Automático;
  • Portal de Autosserviço,
  • Auditoria Automatizada.

Gestão de Identidade e Acessos: Definição

Sob a ótica de processo, podemos dizer que gestão de identidade é o processo pelo qual se organiza e administra as relações entre pessoas e ativos de informação de uma organização durante todo o ciclo de relacionamento entre tais indivíduos e a empresa em si.

O que são ativos de informação

Os ativos de informação são, tipicamente, sistemas, mas também são informações em meio físico.

Note também que o ciclo de relacionamento abrange diferentes períodos em que as pessoas podem estar em diferentes funções na mesma organização – por exemplo, como estagiário e funcionário. Por isso, é fundamental que a gestão de identidade consiga administrar a identidade de cada pessoa univocamente, independente do período e do tipo de relacionamento.

Identity of Things (IDoT)

Recentemente, passamos a incluir nessa gestão também a identidade das coisas (Identity of Things, ou IDoT). Mas como este é um texto introdutório, deixo IDoT para outro momento.

Antecipo apenas que as coisas se relacionam e interagem tanto com pessoas quanto com sistemas e trazem uma nova dimensão de complexidade.

Agora, vamos olhar mais de perto o que é cada uma das funcionalidades acima:

1. Governança e Administração de Identidades

Este tópico é fundamental, pois compreende as definições sobre como serão organizadas as identidades e os acessos aos sistemas.

No escopo da governança e administração estão:

  • Inventário de sistemas e perfis de acesso;
  • Inventário das identidades;
  • Definição de fluxos, papéis e responsabilidades;
  • Organização das identidades e categorização de, por exemplo, funcionários, prestadores de serviço, representantes e, até mesmo, clientes;
  • Definição dos processos de solicitação, aprovação, revogação e revisão de direitos de acesso;
  • Definição de regras de automação para os processos acima,
  • Administração das identidades e dos acessos: por exemplo, inclusão de novo sistema e seus perfis no inventário; mudança no fluxo de aprovação para exigir que o gestor da pessoa também aprove e outras atividades necessárias para que os processos de GIA operem adequadamente.

2. Autenticação Centralizada

Esta é a funcionalidade que mais provavelmente o seu projeto não vai contemplar. Pelo menos, não integralmente.

A diversidade de aplicações e plataformas tecnológicas existentes dificulta a centralização da autenticação. Por outro lado, há anos existem tecnologias e protocolos para centralizar a autenticação.

Sempre recomendo que as empresas coloquem como requisito para compra de novos sistemas o suporte ao seu sistema de diretório. Muitas empresas usam Active Directory, enquanto outras utilizam diferentes versões de LDAP (OID, NDS, etc).

Porém, quando vão encomendar um novo aplicativo mobile deixam o fornecedor criar mais uma tabela de usuário e senha em um banco de dados que ninguém definiu onde ficaria.

Autenticação via protocolos: vantagem ou desvantagem?

Diversos sistemas mais complexos e mais modernos, incluindo sistemas em nuvem, suportam autenticação centralizada via protocolos como LDAP, SAML, OpenID e OAuth.

Contudo, na hora da compra o foco fica muito mais nas funcionalidades da aplicação do que na organização da autenticação. E ninguém quer chamar o “cara” de segurança para dar opinião, porque ele tem fama de colocar dificuldade em tudo.

Resultado: mais uma senha para o usuário guardar, lembrar, esquecer, resetar, anotar, perder a anotação, esquecer, resetar…

A maioria dos sistemas que existem hoje não suportam integração com serviços de diretório ou Single Sign-on.

Solução: sincronização de senhas. O portal de autosserviço do Horacius suporta essa funcionalidade e temos visto que ela traz diversos benefícios para os usuários de negócio.

Como lidar com a autenticação centralizada

Então, resumindo este controverso tópico:

  • Se você não tem um sistema de diretório, adote um;
  • Se a aplicação suporta autenticação via serviço de diretório, habilite;
  • Se a aplicação não suporta, veja se é possível desenvolver essa funcionalidade,
  • Se é impossível suportar, tente usar sincronização de senhas.

3. Provisionamento Automático

Talvez o melhor tópico para os profissionais de TI.

Finalmente iremos automatizar aquelas tarefas tediosas e que não agregam nenhum valor no que diz à gestão de identidade. São elas: criar conta de usuário, desabilitar conta, trocar senha e tantas outras.

O provisionamento automático, tipicamente, abrange as seguintes atividades:

  • Criação, alteração, remoção de conta de usuário;
  • Cadastro e atualização de dados das pessoas nos catálogos dos sistemas;
  • Bloqueio, desbloqueio de contas;
  • Troca de senhas;
  • Associação, desassociação de uma conta a um direito de acesso.
  • Consultas a contas, perfis e direitos associados a contas.

Gestão de identidade mais avançada ao Provisionamento Automático

Adicionalmente, quando a gestão de identidade é mais avançada, abrange também as seguintes atividades:

  • Importação de contas, perfis e/ou roles;
  • Criação, alteração, remoção de perfis e/ou roles;
  • Criação, alteração, remoção de grupos,
  • Criação, alteração, remoção de atributos dos direitos: tipo de licença, alçada etc.

4. Portal de Autosserviço

A maior parte da gestão de identidade é composta por processos invisíveis ao usuário de negócio.

Por isso, é muito importante que o portal de autosserviço forneça uma boa experiência de uso e tenha os serviços que o usuário mais precisa.

Fundamentalmente, um portal de autosserviço de Gestão de Identidade e Acessos (GIA) deve permitir ao usuário redefinir (resetar) a sua senha de forma simples e segura no maior número de sistemas que for possível.

Além disso, o portal tipicamente oferece os seguintes serviços:

  • Solicitar novos acessos a sistemas e novos direitos de acessos; a sistemas em que o usuário já tem acesso;
  • Acompanhar o andamento das solicitações;
  • Ver a relação dos direitos de acessos que o usuário possui em todos os sistemas,
  • Administrar a sua identidade.

5. Auditoria Automatizada

Um dos controles fundamentais na gestão de identidade é garantir que todas as contas das pessoas que não tem mais relacionamento com a organização tenham sido desativadas ou removidas.

Outro controle, um pouco mais sofisticado, é garantir que somente os direitos de acessos efetivamente aprovados estão configurados nos sistemas. E que direitos que tiveram seu prazo de validade expirado foram retirados adequadamente.

E aqui fechamos o ciclo iniciado na governança e administração de identidades. Pois os fluxos de aprovação definidas naquele tópico agora serão usados para verificar se as contas e os direitos de acesso configurados nos sistemas estão de acordo com o que foi aprovado.

Perfis de auditoria automatizada

A auditoria automatizada pode ser:

  • Eventual: quando uma verificação é iniciada manualmente,
  • Periódica: quando o sistema de GIA faz verificações automatizadas e agendadas.

Quando a auditoria é periódica, podemos configurar regras para:

  • Informar e gerar um incidente para uma conta não aprovada;
  • Bloquear automaticamente uma conta não aprovada;
  • Retirar um direito que não foi aprovado,
  • Entre outras ações automáticas.

Quando a auditoria automatizada é configurada e usada adequadamente, só vamos receber e-mails de alerta quando algo estiver errado.

Será uma sensação diferente. Mas quando não estivermos recebendo nenhum e-mail será por que os processos estarão sendo executados conforme esperado e nenhuma divergência tenha sido encontrada.

O que é Gestão de Identidades e Acessos? (Parte 2)

Na segunda parte deste artigo, eu trato de aspectos avançados de gestão de identidades e da interoperabilidade com outros módulos. Como SSO, autenticação com múltiplos fatores e controle de acesso adaptativo. Clique aqui para ler segundo artigo na íntegra.

Compartilhe: