Escolar Documentos
Profissional Documentos
Cultura Documentos
Gerenciamento de identidades o conjunto de processos e tecnologias voltadas para o tratamento e manipulao de identidades de usurios desde o nascimento dos dados em sistemas de RH e cadastros de terceiros at as aplicaes gerenciadas (sistemas operacionais, correios eletrnicos, acesso fsico etc.). A aquisio de sistemas corporativos como ERP, CRM, sistemas operacionais junto com diversos sistemas desenvolvidos internamente em uma corporao geram diversos repositrios de usurios para autenticao e autorizao, exigindo uma administrao descentralizada e suscetvel a erros, conforme figura 1.1.
Sistema de RH
Servidor de e-mail
Cadastro de terceiros
Usurios que deveriam estar inativados em N sistemas, recursos ou aplicativos aps serem demitidos podem continuar com o acesso ativo em uma aplicao, o que abriria oportunidades de fraude. Buscando acabar com a administrao descentralizada de usurios onde cada aplicativo, sistema ou recurso possui uma interface administrativa de cadastro de usurios, o gerenciamento de identidade visa uma administrao centralizada e automtica tecnicamente, ou seja, uma nica interface administrativa, com um repositrio central de usurios (Metadiretrio), que automaticamente ouvia aprovaes de workflow, replica (provisionamento) dados de usurios para as demais bases de autenticao utilizadas pelos recursos conectados. A abordagem do gerenciamento de identidade permite tambm a configurao de agrupamentos de usurios, concedendo o direito de distribuir e organizar a administrao de contas pela empresa onde, por exemplo, voc pode ter um administrador por localidade/filial. Gerenciamento de identidades muito importante em corporaes com alta rotatividade de usurios, cujo processo de criao de usurios pode ser vinculado a sistemas de RH e cadastros de terceiros (conhecidos tambm como fontes autoritativas), permitindo a criao, bloqueio e excluso automtica de usurios. Por exemplo, terceiros de um call center onde o custo operacional de manter usurios em diversas aplicaes muito caro. O gerenciamento de identidade no trata apenas de tecnologia, mas compreende trs elementos indispensveis: diretivas, processos e tecnologias. As diretivas se referem aos limites e padres que precisam ser seguidos para cumprir as normas e as prticas comerciais recomendadas; os processos descrevem as seqncias de etapas que levam concluso de funes ou tarefas comerciais; as tecnologias so as ferramentas automatizadas que ajudam a atingir objetivos comerciais de forma mais eficiente e precisa, ao mesmo tempo em que se respeitam os limites e as orientaes especificadas nas diretivas. O gerenciamento de acesso refere-se ao processo de controlar e conceder acesso para satisfazer s solicitaes de recursos. Geralmente, esse processo realizado utilizando-se uma seqncia de aes de autenticao, autorizao e auditoria. Autenticao o processo pelo qual as reivindicaes de identidade so testadas. Autorizao a capacidade de determinar se uma identidade tem a permisso de executar uma ao ou acessar um recurso. Auditoria o processo de contabilidade de eventos de segurana de gravao que ocorreram. Juntas, autenticao, autorizao e auditoria tambm so conhecidas como os padres
l #
dourados da segurana (o motivo disso vem do fato de o smbolo qumico do ouro, Au, ser o prefixo dos trs processos). Em seguida estaremos apresentando os conceitos bsicos de gerenciamento de identidade quando abordamos sobre a identidade em si, a origem dos dados nas fontes autoritaritativas, o repositrio central de usurios, tambm conhecido como metadiretrio, e o sincronismo de dados por meio de provisionamento.
Esta identidade pode possuir valores adicionais que importam apenas para um ou outro recurso conectado, como, por exemplo, o departamento de um usurio, que pode ser utilizado no correio eletrnico do usurio final. A definio da identidade digital muito importante e pode ser concebida por meio de levantamento e mapeamento de atributos de usurios, como veremos mais frente.
$ l Gerenciamento de Identidades
l %
Exemplos: " Sistemas de RH. " Cadastros de terceiros. " Cargas peridicas de dados.
Sistema de RH
Metadiretrio
Cadastro de terceiros
Exemplos de fontes autoritativas: " Sistemas de correio eletrnico. " Gerador de nome de e-mail corporativo. Gerador de nome de e-mail corporativo uma ferramenta de cadastro e sugesto de e-mails utilizada em grandes corporaes.
NOTA
Esta funo pode ser exercida pelo gerenciamento de identidade, mas no uma tarefa recomendada.
l '
Exemplos: " Cadastro em um banco de dados de aplicaes/acessos. " Cadastro em um repositrio LDAP de aplicaes/acessos.
Cadastro de Acessos
Metadiretrio
1.4. Metadiretrio
Metadiretrio o repositrio central de identidades e acessos, responsvel por ser o intermedirio entre as fontes autoritativas e os recursos conectados. O armazenamento de dados pode ser em banco de dados relacional ou em diretrios hierrquicos como, por exemplo, LDAP compatveis, mas alguns dados no ficam armazenados no metadiretrio, apenas trafegam pelo gerenciamento de identidade, porque s interessam para um ou outro recurso, conforme figura 1.5.
l Gerenciamento de Identidades
Sistema de RH
Cadastro de terceiros
Metadiretrio
Servidor de e-mail
l
l Gerenciamento de Identidades
Existem diversos assuntos relacionados com o processo de provisionamento, como, por exemplo, de que forma o metadiretrio comunica-se com os recursos conectados, como tratar um usurio recm criado (kit de admisso), como uma aplicao avisa que ocorreram mudanas em identidades (registros de mudanas). Estes e outros assuntos sero abordados na seqncia.
Fonte autoritativa Campo Tamanho Matrcula 5 Funcionrio 255 Depto 100 Localidade 100 Documento1 150 E-mail 255
Metadiretrio Campo Tamanho ID 5 Nome 255 Departamento 100 Localidade 100 Documento 200 E-mail 255
l !
Valor exemplo 123456 # Alfredo Luiz dos Santos Alfredo Luiz dos Santos-> Alfredo
Para realizar estas transformaes de textos, pode ser utilizada uma linguagem de programao ou uma composio de linguagens que sero executadas em tempo de evento. Exemplos de linguagens de transformao: " XSLT. " Java. " Javascript. " XML. Linguagens de transformao tambm permitem que seja tomada uma deciso em tempo de evento baseada em dados. Exemplo: " Usurios da localidade X podem acessar a aplicao Y. " Usurios do departamento Z possuem conta de e-mail.
l #
Conexo aberta
Recurso Conectado
Uma opo de agentes de integrao estabelecer um canal seguro entre o servidor de gerenciamento de identidades e o servidor de banco de dados, conforme figura 1.7:
Conexo SSL
$ l Gerenciamento de Identidades
Conexo SSL
Agente
API
l %
Cada estgio no ciclo de vida de uma identidade tem cenrios que so candidatos ao gerenciamento automatizado. Por exemplo, durante a criao de uma identidade digital, os dados da identidade precisam ser propagados e inicializados em sistemas de identidades. Em outros cenrios, as qualificaes de uma identidade precisaro ser ampliadas quando o usurio representado pela identidade mudar de cargo no trabalho. Finalmente, quando a identidade digital no estiver mais em utilizao ativa, poder ser necessrio alterar seu status ou excluir a identidade do armazenamento de dados. Todos os eventos durante o ciclo de vida de uma identidade digital precisam ser gerenciados de forma segura, eficiente e precisa, que exatamente o que o gerenciamento do ciclo de vida de identidades faz. Existem dois modelos de administrao do ciclo de vida de identidades: auto-atendimento e delegada. Nas organizaes de TI tradicionais, as tarefas de administrao de computadores so executadas por um grupo centralizado de administradores de sistemas. Ao longo do tempo, as organizaes perceberam que poderia haver boas razes financeiras e comerciais para permitir tambm outros tipos de modelos de administrao. Por exemplo, normalmente mais econmico e eficiente que cada indivduo possa atualizar sozinho alguns de seus atributos pessoais, como endereo e nmero de telefone. O modelo de administrao de auto-atendimento fornece essa permisso individual. O meio-termo entre os modelos de auto-atendimento e de administrao centralizada a administrao delegada. No modelo delegado, as responsabilidades da administrao do ciclo de vida de identidades so compartilhadas entre grupos descentralizados de administradores. Os critrios comuns usados para determinar o escopo da delegao so a estrutura da organizao e as funes de administrao. Um exemplo de administrao delegada baseada na estrutura da organizao a hierarquia dos administradores no nvel da empresa, da unidade e do departamento em uma grande organizao. Novos funcionrios requerem que contas sejam criadas e fornecidas a eles. Por outro lado, quando um funcionrio no est mais empregado, pode ser necessrio alterar o status da conta existente. Cenrios de alterao de trabalho tambm podem ter vrios impactos sobre as identidades digitais. Por exemplo, quando uma pessoa recebe uma promoo, pode ser necessrio mudar seu cargo e ampliar suas qualificaes. Agora que temos um melhor entendimento sobre os requisitos do gerenciamento do ciclo de vida de identidades, podemos nos aprofundar nos desafios para se atender a esses requisitos.
l '
Exemplos de eventos de ciclo de vida: " Admisso: Um evento de admisso pode gerar um evento de criao de usurio no metadiretrio e, por conseqncia, de criao em sistemas conectados. " Licena / Suspenso: Eventos de licena e suspenso podem gerar um evento de bloqueio em sistemas e no metadiretrio. " Demisso Uma demisso na fonte autoritativa pode gerar um bloqueio Demisso: definitivo, arquivamento ou excluso nos sistemas. " Alterao de localidade/departamento/cargo: Uma alterao de localidade/ departamento/cargo pode apenas gerar uma alterao cadastral na identidade ou desencadear uma reviso de acessos do usurio.
1.13. ID Universal
O conceito de ID universal a criao de um identificador nico para uso nas identidades, de preferncia que seja seqencial e que no seja um cdigo falante. Este identificador nico deve preferencialmente ser utilizado nas demais aplicaes da empresa para que o mesmo seja utilizado como vnculo entre metadiretrio e aplicaes, evitando que o vnculo seja por outro identificador. Exemplo de identificaes diferentes para o mesmo usurio: " 101. " 10001. " ASANTOS. " ALFREDO.SANTOS. " ALFREDO.LUIZ. " ALFREDO SANTOS.
l Gerenciamento de Identidades