O que Gerenciamento de Identidades

Gerenciamento de identidades o conjunto de processos e tecnologias voltadas para o tratamento e manipulao de identidades de usurios desde o nascimento dos dados em sistemas de RH e cadastros de terceiros at as aplicaes gerenciadas (sistemas operacionais, correios eletrnicos, acesso fsico etc.). A aquisio de sistemas corporativos como ERP, CRM, sistemas operacionais junto com diversos sistemas desenvolvidos internamente em uma corporao geram diversos repositrios de usurios para autenticao e autorizao, exigindo uma administrao descentralizada e suscetvel a erros, conforme figura 1.1.

Sistema de RH

Servidor de e-mail

Cadastro de terceiros

Figura 1.1 Sistemas/recursos desconectados.

" l Gerenciamento de Identidades

Usurios que deveriam estar inativados em N sistemas, recursos ou aplicativos aps serem demitidos podem continuar com o acesso ativo em uma aplicao, o que abriria oportunidades de fraude. Buscando acabar com a administrao descentralizada de usurios onde cada aplicativo, sistema ou recurso possui uma interface administrativa de cadastro de usurios, o gerenciamento de identidade visa uma administrao centralizada e automtica tecnicamente, ou seja, uma nica interface administrativa, com um repositrio central de usurios (Metadiretrio), que automaticamente ouvia aprovaes de workflow, replica (provisionamento) dados de usurios para as demais bases de autenticao utilizadas pelos recursos conectados. A abordagem do gerenciamento de identidade permite tambm a configurao de agrupamentos de usurios, concedendo o direito de distribuir e organizar a administrao de contas pela empresa onde, por exemplo, voc pode ter um administrador por localidade/filial. Gerenciamento de identidades muito importante em corporaes com alta rotatividade de usurios, cujo processo de criao de usurios pode ser vinculado a sistemas de RH e cadastros de terceiros (conhecidos tambm como fontes autoritativas), permitindo a criao, bloqueio e excluso automtica de usurios. Por exemplo, terceiros de um call center onde o custo operacional de manter usurios em diversas aplicaes muito caro. O gerenciamento de identidade no trata apenas de tecnologia, mas compreende trs elementos indispensveis: diretivas, processos e tecnologias. As diretivas se referem aos limites e padres que precisam ser seguidos para cumprir as normas e as prticas comerciais recomendadas; os processos descrevem as seqncias de etapas que levam concluso de funes ou tarefas comerciais; as tecnologias so as ferramentas automatizadas que ajudam a atingir objetivos comerciais de forma mais eficiente e precisa, ao mesmo tempo em que se respeitam os limites e as orientaes especificadas nas diretivas. O gerenciamento de acesso refere-se ao processo de controlar e conceder acesso para satisfazer s solicitaes de recursos. Geralmente, esse processo realizado utilizando-se uma seqncia de aes de autenticao, autorizao e auditoria. Autenticao o processo pelo qual as reivindicaes de identidade so testadas. Autorizao a capacidade de determinar se uma identidade tem a permisso de executar uma ao ou acessar um recurso. Auditoria o processo de contabilidade de eventos de segurana de gravao que ocorreram. Juntas, autenticao, autorizao e auditoria tambm so conhecidas como os padres

O que Gerenciamento de Identidades

l #

dourados da segurana (o motivo disso vem do fato de o smbolo qumico do ouro, Au, ser o prefixo dos trs processos). Em seguida estaremos apresentando os conceitos bsicos de gerenciamento de identidade quando abordamos sobre a identidade em si, a origem dos dados nas fontes autoritaritativas, o repositrio central de usurios, tambm conhecido como metadiretrio, e o sincronismo de dados por meio de provisionamento.

1.1. O que uma Identidade?

Uma identidade a representao digital de uma pessoa. Esta representao digital normalmente composta por um identificador nico e outros dados (atributos) como documentos, nome, e-mail etc., conforme tabela 1.1. Ela pode variar por aplicativo ou recurso conectado onde normalmente os identificadores e dados so diferentes e devem ser tratados via mapeamento de dados/atributos para o funcionamento com o processo de provisionamento/sincronismo de dados.
Atributo ID Nome Documento pessoal E-mail Matrcula Valor 1001000 Alfredo Santos 20301020 alfredo@email.com 100001

Tabela 1.1 Exemplo de identidade digital

Esta identidade pode possuir valores adicionais que importam apenas para um ou outro recurso conectado, como, por exemplo, o departamento de um usurio, que pode ser utilizado no correio eletrnico do usurio final. A definio da identidade digital muito importante e pode ser concebida por meio de levantamento e mapeamento de atributos de usurios, como veremos mais frente.

$ l Gerenciamento de Identidades

1.2. 1.2. Recursos Conectados

Recursos conectados so todos os ambientes destino que possuem um repositrio de usurios que possa ser gerenciado recebendo leituras, inseres, excluses, alteraes etc. Exemplos de recursos: " Correio eletrnico. " Bancos de dados JDBC. " Mainframe. " Unix. " LDAP. " Arquivos texto. " Acesso fsico (catracas, portas etc.). " Servidores de mensagem. " Sistemas de help-desk.

1.3. Fontes Autoritativas

Fontes autoritativas so os repositrios de origem de dados cadastrais de usurios. Fontes autoritativas podem ser divididas em categorias, exemplos: " Cadastros bsicos. " E-mail. " Autorizao de acesso.

1.3.1. Fontes Autoritativas de Cadastros Bsicos

Responsveis por prover os dados bsicos de um usurio, como nome, departamento, localidade, conforme figura 1.2. Devem conter dados confiveis, sendo o primeiro local a saber que um usurio mudou de departamento, de unidade na empresa, saiu de frias ou foi demitido.

O que Gerenciamento de Identidades

l %

Exemplos: " Sistemas de RH. " Cadastros de terceiros. " Cargas peridicas de dados.

Sistema de RH

Metadiretrio

Cadastro de terceiros

Figura 1.2 Dados de usurios alimentando o metadiretrio.

1.3.2. Fontes Autoritativas de E-mail

Responsveis por prover o e-mail atualizado do usurio. Tradicionalmente, esta informao gerenciada pelo administrador de correio eletrnico e a mesma propagada aos demais recursos conectados, conforme figura 1.3, mas um ponto de ateno em gerenciamento de identidade na origem do e-mail que o e-mail pode ser originado tambm pela ferramenta de gerenciamento de identidade, baseando-se em regras de criao, como, por exemplo, primeiro nome + sobrenome ou primeira letra do primeiro nome + sobrenome, mas um processo deste tipo pode ser complicado de gerenciar devido a conflitos de nomes gerados (asantos@empresa.com pode ser Alfredo Santos ou Andr Santos).

& l Gerenciamento de Identidades

Exemplos de fontes autoritativas: " Sistemas de correio eletrnico. " Gerador de nome de e-mail corporativo. Gerador de nome de e-mail corporativo uma ferramenta de cadastro e sugesto de e-mails utilizada em grandes corporaes.

NOTA

Esta funo pode ser exercida pelo gerenciamento de identidade, mas no uma tarefa recomendada.

Figura 1.3 Dados de correio alimentando o metadiretrio.

1.3.3. Fontes Autoritativas de Autorizao de Acesso

Responsveis por prover o que cada usurio pode fazer em cada sistema conectado. Pode ser um sistema desenvolvido na prpria empresa ou um produto de mercado. Esta fonte autoritativa determina a concesso e remoo de acessos de usurios, informando o servio de gerenciamento de identidade, coforme figura 1.4.

O que Gerenciamento de Identidades

l '

Exemplos: " Cadastro em um banco de dados de aplicaes/acessos. " Cadastro em um repositrio LDAP de aplicaes/acessos.

Cadastro de Acessos

Metadiretrio

Figura 1.4 Cadastro de acessos alimentando o metadiretrio.

1.4. Metadiretrio
Metadiretrio o repositrio central de identidades e acessos, responsvel por ser o intermedirio entre as fontes autoritativas e os recursos conectados. O armazenamento de dados pode ser em banco de dados relacional ou em diretrios hierrquicos como, por exemplo, LDAP compatveis, mas alguns dados no ficam armazenados no metadiretrio, apenas trafegam pelo gerenciamento de identidade, porque s interessam para um ou outro recurso, conforme figura 1.5.

 l Gerenciamento de Identidades

Sistema de RH

Cadastro de terceiros

Metadiretrio

Servidor de e-mail

Figura 1.5 Metadiretrio.

1.5. Provisionamento de Identidades

Provisionamento consiste no processo de envio de atualizaes de dados entre sistemas/aplicaes conectados. O provisionamento uma tcnica comum usada para resolver a queda de desempenho devido a operaes de consulta nos armazenamentos de dados. Para contemplar a questo do desempenho, uma parte dos atributos de dados de back-end pode ser replicada em um armazenamento mantido pelo servio de agregao de identidades. Alm disso, a cpia local dos dados replicados pode ser desnormalizada para ajudar a melhorar o desempenho. Exemplos de eventos de provisionamento: " Usurio novo no RH criado no metadiretrio. " Usurio alterado no RH alterado no metadiretrio. " E-mail cadastrado no correio eletrnico enviado para o metadiretrio e outros sistemas. " Autorizao de acesso enviada para o sistema XPTO.

O que Gerenciamento de Identidades

l 

1.5.1. Agregao de Identidades

Os sistemas de TI de uma empresa se desenvolvem naturalmente durante o curso da histria de uma organizao. Muitas vezes, isso se deve a razes como fuses e aquisies ou preferncias e alteraes das lideranas de TI. As conseqncias, freqentemente, se manifestam com uma mistura de sistemas de TI desconectados e artefatos de arquitetura indesejveis. Os sistemas relacionados a identidades no so uma exceo a tais evolues na rea de TI. Freqentemente, a empresa ter no apenas um sistema de identidades, mas vrios, cada um servindo diferentes funes comerciais mas armazenando dados duplicados e relacionados. Os aplicativos que precisam se integrar com essas funes comerciais so forados a reconciliar as diferenas e sincronizar as duplicaes. Por exemplo, um aplicativo de servios bancrios pode precisar obter informaes do cliente de um banco de dados DB2 IBM, um banco de dados de autorizao baseado em Oracle e um CRM proprietrio. Nesse caso, o conceito de Cliente do aplicativo definido por trs sistemas diferentes. Os atributos que descrevem um cliente, como seu nome, endereo e nmero da carteira de identidade, podem estar armazenados e duplicados em vrios sistemas. Por outro lado, dados no duplicados, como os produtos financeiros que o cliente adquiriu e o extrato bancrio do cliente, podem ser mantidos em sistemas separados. Ser necessrio que o aplicativo agregue esses dados de sistemas diferentes para obter a exibio necessria do cliente. Mover os dados de identidade subjacentes para um sistema de identidades gigante pode parecer uma resposta bvia para esse problema. Contudo, h muitos problemas reais (por exemplo, o risco de comprometer aplicativos herdados) que impedem que essa soluo seja adotada de maneira ampla em curto prazo. A agregao de identidades se refere, assim, ao conjunto de tecnologias que ajuda os aplicativos a agregar informaes de diversos sistemas de identidade, enquanto reduz a complexidade da reconciliao, sincronizao e integrao dos dados. Existem vrios desafios tcnicos que as tecnologias de agregao de identidades devem ajudar a vencer: " Manter as relaes nas transformaes de dados. " Otimizar as operaes de dados. " Sincronizar dados.

l Gerenciamento de Identidades

Existem diversos assuntos relacionados com o processo de provisionamento, como, por exemplo, de que forma o metadiretrio comunica-se com os recursos conectados, como tratar um usurio recm criado (kit de admisso), como uma aplicao avisa que ocorreram mudanas em identidades (registros de mudanas). Estes e outros assuntos sero abordados na seqncia.

1.6. Mapeamento de Atributos

Os dados das identidades dificilmente so iguais entre sistemas, onde a quantidade de dados, nomes, tamanhos podem ser diferentes. Em gerenciamento de identidade, isso tratado com mapeamentos de atributos para que a soluo estabelea o canal de comunicao com o correto sincronismo de dados, conforme tabelas exemplos 1.2, 1.3 e 1.4. Em relao ao contedo de cada atributo, entra em ao a transformao de dados, como pode ser visto adiante.

Metadiretrio Campo Tamanho ID 5 Nome 255 Departamento 100

Sistema conectado 1 Campo Tamanho IDENTIFICADOR 10 Nome Completo 255 Depto 50

Tabela 1.2 Mapeamento de atributos

Fonte autoritativa Campo Tamanho Matrcula 5 Funcionrio 255 Depto 100 Localidade 100 Documento1 150 E-mail 255

Metadiretrio Campo Tamanho ID 5 Nome 255 Departamento 100 Localidade 100 Documento 200 E-mail 255

Tabela 1.3 Mapeamento de atributos

O que Gerenciamento de Identidades

Metadiretrio Campo Tamanho ID 5 Nome 255 E-mail 255 Sistema conectado 2 Campo Tamanho ID 8 Nome 200 Caixa Postal 255

l !

Tabela 1.4 Mapeamento de atributos

1.7. Transformao de Dados

Alm de mapeados, os dados podem possuir a necessidade de serem transformados antes de serem entregues para sistemas conectados. Estas transformaes podem ser na composio de dois ou mais campos, ou na transformao do contedo de um campo, conforme tabela 1.5.

Campos Matrcula Nome Nome completo

Transformao Matrcula + + Nome Tirar primeiro nome

Valor exemplo 123456 # Alfredo Luiz dos Santos Alfredo Luiz dos Santos-> Alfredo

Tabela 1.5 Transformao de dados

Para realizar estas transformaes de textos, pode ser utilizada uma linguagem de programao ou uma composio de linguagens que sero executadas em tempo de evento. Exemplos de linguagens de transformao: " XSLT. " Java. " Javascript. " XML. Linguagens de transformao tambm permitem que seja tomada uma deciso em tempo de evento baseada em dados. Exemplo: " Usurios da localidade X podem acessar a aplicao Y. " Usurios do departamento Z possuem conta de e-mail.

" l Gerenciamento de Identidades

1.8. Regras de Localizao

Uma funcionalidade de solues de gerenciamento de identidade a capacidade de localizar identidades preexistentes em sistemas conectados. Na maioria dos casos, os sistemas j possuem identidades e a soluo precisa realizar uma busca baseada em um atributo do usurio (conforme tabela 1.6) para vincular o usurio da aplicao identidade do metadiretrio. Caso a busca no tenha sucesso, gerado um evento de criao de conta na aplicao conectada.
Metadiretrio CN CN CN Aplicao CN samAccountName ID

Tabela 1.6 Regras de localizao

1.9. Agentes de Integrao

Agentes de integrao so mdulos auxiliares que podem ser necessrios em aplicaes conectadas para o funcionamento do provisionamento e sincronismo de senhas. Estes agentes realizam a intermediao da transmisso de dados e possuem basicamente duas possveis funes: " Transmisso de dados de forma segura. " Execuo de APIs locais para gerenciamento de usurios.

1.9.1. Transmisso de Dados de Forma Segura

Solues de gerenciamento de identidade podem realizar acessos diretamente a aplicaes conectadas de forma insegura (conforme figura 1.6), por exemplo, um acesso JDBC a banco de dados de um servidor. Esta transmisso de dados pode ser interceptada para o roubo de informaes.

O que Gerenciamento de Identidades

l #

Conexo aberta

Servidor de Gerenciamento de Identidades

Recurso Conectado

Figura 1.6 Conexo aberta.

Uma opo de agentes de integrao estabelecer um canal seguro entre o servidor de gerenciamento de identidades e o servidor de banco de dados, conforme figura 1.7:

Conexo SSL

Servidor de Gerenciamento de Identidades

Recurso Conectado com Agente

Figura 1.7 Conexo segura.

$ l Gerenciamento de Identidades

1.9.2. Execuo de APIs Locais

Outra utilizao de agentes para execuo de APIs locais para gerenciamento de contas, conforme figura 1.8. Um exemplo o caso de a aplicao de gerenciamento de acesso ser incompatvel com APIs proprietrias de um determinado produto quando os eventos so enviados para o Agente que, usando APIs locais, executa os comandos.

Conexo SSL

Agente

API

Servidor de Gerenciamento de Identidades

Recurso Conectado com Agente

Figura 1.8 Execuo de APIs locais.

1.10. Registros de Mudanas

Registros de mudanas so os repositrios de aplicaes conectadas que armazenam as mudanas ocorridas em usurios, para que os Agentes de Integrao possam capturar os eventos. Ver figura 1.9. Exemplos de change logs: " Tabela de banco de dados alimentada por trigger. " Arquivo-texto. " Repositrio pr-preparado de produtos de mercado.

O que Gerenciamento de Identidades

l %

Recurso com Change log Metadiretrio

Figura 1.9 Change logs.

1.11. Kit de Admisso de Funcionrios

O kit de admisso consiste em um pacote de acesso bsico que concedido no momento de criao de usurios. Este kit bsico pode ser condicionado e varivel de acordo com dados do usurio, como localidade, departamento ou cargo. Exemplos: " Analista de sistemas recebe acesso ferramenta de desenvolvimento. " Atendente de call center recebe acesso ferramenta de atendimento. " Gerente de sistemas recebe acesso a correio eletrnico.

1.12. Gerenciamento do Ciclo de Vida de Identidades

O ciclo de vida de uma identidade digital pode ser enquadrado em estgios semelhantes aos ciclos de vida dos seres vivos: " Criao. " Utilizao. " Trmino.

& l Gerenciamento de Identidades

Cada estgio no ciclo de vida de uma identidade tem cenrios que so candidatos ao gerenciamento automatizado. Por exemplo, durante a criao de uma identidade digital, os dados da identidade precisam ser propagados e inicializados em sistemas de identidades. Em outros cenrios, as qualificaes de uma identidade precisaro ser ampliadas quando o usurio representado pela identidade mudar de cargo no trabalho. Finalmente, quando a identidade digital no estiver mais em utilizao ativa, poder ser necessrio alterar seu status ou excluir a identidade do armazenamento de dados. Todos os eventos durante o ciclo de vida de uma identidade digital precisam ser gerenciados de forma segura, eficiente e precisa, que exatamente o que o gerenciamento do ciclo de vida de identidades faz. Existem dois modelos de administrao do ciclo de vida de identidades: auto-atendimento e delegada. Nas organizaes de TI tradicionais, as tarefas de administrao de computadores so executadas por um grupo centralizado de administradores de sistemas. Ao longo do tempo, as organizaes perceberam que poderia haver boas razes financeiras e comerciais para permitir tambm outros tipos de modelos de administrao. Por exemplo, normalmente mais econmico e eficiente que cada indivduo possa atualizar sozinho alguns de seus atributos pessoais, como endereo e nmero de telefone. O modelo de administrao de auto-atendimento fornece essa permisso individual. O meio-termo entre os modelos de auto-atendimento e de administrao centralizada a administrao delegada. No modelo delegado, as responsabilidades da administrao do ciclo de vida de identidades so compartilhadas entre grupos descentralizados de administradores. Os critrios comuns usados para determinar o escopo da delegao so a estrutura da organizao e as funes de administrao. Um exemplo de administrao delegada baseada na estrutura da organizao a hierarquia dos administradores no nvel da empresa, da unidade e do departamento em uma grande organizao. Novos funcionrios requerem que contas sejam criadas e fornecidas a eles. Por outro lado, quando um funcionrio no est mais empregado, pode ser necessrio alterar o status da conta existente. Cenrios de alterao de trabalho tambm podem ter vrios impactos sobre as identidades digitais. Por exemplo, quando uma pessoa recebe uma promoo, pode ser necessrio mudar seu cargo e ampliar suas qualificaes. Agora que temos um melhor entendimento sobre os requisitos do gerenciamento do ciclo de vida de identidades, podemos nos aprofundar nos desafios para se atender a esses requisitos.

O que Gerenciamento de Identidades

l '

Exemplos de eventos de ciclo de vida: " Admisso: Um evento de admisso pode gerar um evento de criao de usurio no metadiretrio e, por conseqncia, de criao em sistemas conectados. " Licena / Suspenso: Eventos de licena e suspenso podem gerar um evento de bloqueio em sistemas e no metadiretrio. " Demisso Uma demisso na fonte autoritativa pode gerar um bloqueio Demisso: definitivo, arquivamento ou excluso nos sistemas. " Alterao de localidade/departamento/cargo: Uma alterao de localidade/ departamento/cargo pode apenas gerar uma alterao cadastral na identidade ou desencadear uma reviso de acessos do usurio.

1.13. ID Universal
O conceito de ID universal a criao de um identificador nico para uso nas identidades, de preferncia que seja seqencial e que no seja um cdigo falante. Este identificador nico deve preferencialmente ser utilizado nas demais aplicaes da empresa para que o mesmo seja utilizado como vnculo entre metadiretrio e aplicaes, evitando que o vnculo seja por outro identificador. Exemplo de identificaes diferentes para o mesmo usurio: " 101. " 10001. " ASANTOS. " ALFREDO.SANTOS. " ALFREDO.LUIZ. " ALFREDO SANTOS.

1.14. Variveis Globais

So locais no gerenciamento de identidades onde possvel cadastrar constantes para uso dentro do cdigo de integrao. Esta funcionalidade muito til porque alguns valores podem mudar ao longo do tempo, e com variveis globais um usurio que no seja programador alteraria estes valores.

 l Gerenciamento de Identidades

1.15. Regras de Negcio

Regras de negcio so utilizadas para tratamento de determinados eventos, onde decises so necessrias. Por exemplo: provisionar uma identidade para um recurso apenas se a identidade possuir um valor X no atributo Y.

1.16. Limpeza de Dados

Limpeza de dados um tratamento operacional que deve ser feito antes de incluir um recurso/aplicao ao ambiente de gerenciamento de identidades. O objetivo limpar previamente usurios invlidos e se possvel adequar os identificadores para o ID universal do metadiretrio, garantindo um processo tranqilo de vnculo de usurios.

1.17. Integrao com Help-Desk

A integrao com Help-Desk visa automatizar a abertura de chamados para tratar casos que no possam ser tratados automaticamente pela soluo de gerenciamento de identidade. Pode ser simples, caso seja um sistema de HelpDesk de mercado e o mesmo possua interface com a soluo utilizada ou um pouco mais complexa caso seja um sistema menos popular ou desenvolvido internamente na empresa. Para sistemas desenvolvidos internamente, uma soluo simples a criao de uma stored procedure que realiza a correta insero de chamados. Dois fatores importantes de necessidade de integrao com Help-Desk em gerenciamento de identidade so: " Automatizar a criao de chamados para concesso lgica de acesso que ainda dependem de ao manual. " Automatizar a criao de chamados de instalao de pr-requisitos para acessos, como, por exemplo, computadores, clientes de softwares etc.