O que é a gestão de identidades e acessos (IAM)?

Neste artigo, irá aprender alguns dos conceitos fundamentais da Gestão de Identidades e Acessos (IAM), por que motivo é importante e como funciona.

A gestão de identidades e acessos garante que as pessoas, máquinas e componentes de software corretos têm acesso aos recursos certos no momento certo. Primeiro, a pessoa, máquina ou componente de software prova que é quem ou o que afirma ser. Em seguida, é permitido ou negado o acesso ou utilização de determinados recursos à pessoa, máquina ou componente de software.

Para saber mais sobre os termos e conceitos básicos, veja Noções básicas da identidade.

O que faz o IAM?

Normalmente, os sistemas IAM fornecem a seguinte funcionalidade principal:

• Gestão de identidades – o processo de criação, armazenamento e gestão de informações de identidade. Os fornecedores de identidade (IdP) são soluções de software que são utilizadas para controlar e gerir identidades de utilizador, bem como as permissões e níveis de acesso associados a essas identidades.

• Federação de identidade – pode permitir que os utilizadores que já têm palavras-passe noutro local (por exemplo, na sua rede empresarial ou com um fornecedor de identidades de internet ou social) obtenham acesso ao seu sistema.

• Aprovisionamento e desaprovisionamento de utilizadores – o processo de criação e gestão de contas de utilizador, que inclui especificar quais os utilizadores que têm acesso a que recursos e atribuir permissões e níveis de acesso.

• Autenticação de utilizadores – autentice um utilizador, computador ou componente de software ao confirmar que são quem ou o que dizem ser. Pode adicionar autenticação multifator (MFA) a utilizadores individuais para segurança adicional ou início de sessão único (SSO) para permitir que os utilizadores autentiquem a respetiva identidade com um portal em vez de muitos recursos diferentes.

• Autorização dos utilizadores – a autorização garante que é concedido a um utilizador o nível exato e o tipo de acesso a uma ferramenta à qual tem direito. Os utilizadores também podem ser distribuídos em grupos ou funções para que possam ser concedidos os mesmos privilégios a grandes coortes de utilizadores.

• Controlo de acesso – o processo de determinar quem ou o que tem acesso a que recursos. Isto inclui a definição de funções e permissões de utilizador, bem como a configuração de mecanismos de autenticação e autorização. Os controlos de acesso regulam o acesso a sistemas e dados.

• Relatórios e monitorização – gere relatórios após ações realizadas na plataforma (como o tempo de início de sessão, sistemas acedidos e tipo de autenticação) para garantir a conformidade e avaliar os riscos de segurança. Obtenha informações sobre os padrões de segurança e utilização do seu ambiente.

Como funciona o IAM

Esta secção fornece uma descrição geral do processo de autenticação e autorização e das normas mais comuns.

Autenticar, autorizar e aceder a recursos

Digamos que tem uma aplicação que inicia sessão num utilizador e, em seguida, acede a um recurso protegido.

1. O utilizador (proprietário do recurso) inicia um pedido de autenticação com o fornecedor de identidade/servidor de autorização da aplicação cliente.

2. Se as credenciais forem válidas, o fornecedor de identidade/servidor de autorização envia primeiro um token de ID que contém informações sobre o utilizador novamente para a aplicação cliente.

3. O fornecedor de identidade/servidor de autorização também obtém o consentimento do utilizador final e concede autorização à aplicação cliente para aceder ao recurso protegido. A autorização é fornecida num token de acesso, que também é enviado de volta para a aplicação cliente.

4. O token de acesso é anexado aos pedidos subsequentes feitos ao servidor de recursos protegidos da aplicação cliente.

5. O fornecedor de identidade/servidor de autorização valida o token de acesso. Se for concedido com êxito o pedido de recursos protegidos e for enviada uma resposta para a aplicação cliente.

Para obter mais informações, leia Autenticação e autorização.

Normas de autenticação e autorização

Estas são as normas de autenticação e autorização mais conhecidas e utilizadas:

OAuth 2.0

O OAuth é um protocolo de gestão de identidades open-standard que fornece acesso seguro para sites, aplicações móveis e Internet das Coisas e outros dispositivos. Utiliza tokens que são encriptados em trânsito e elimina a necessidade de partilhar credenciais. OAuth 2.0, o mais recente lançamento do OAuth, é uma arquitetura popular usada pelas principais plataformas de redes sociais e serviços de consumidor, desde o Facebook e LinkedIn ao Google, PayPal e Netflix. Para saber mais, leia sobre o protocolo OAuth 2.0.

OpenID Connect (OIDC)

Com o lançamento do OpenID Connect (que utiliza encriptação de chave pública), o OpenID tornou-se uma camada de autenticação amplamente adotada para o OAuth. Tal como o SAML, o OpenID Connect (OIDC) é amplamente utilizado para o início de sessão único (SSO), mas o OIDC utiliza REST/JSON em vez de XML. O OIDC foi concebido para funcionar com aplicações nativas e móveis com protocolos REST/JSON. No entanto, o principal caso de utilização do SAML é aplicações baseadas na Web. Para saber mais, leia sobre o protocolo OpenID Connect.

Tokens Web JSON (JWTs)

Os JWTs são um padrão aberto que define uma forma compacta e autónoma de transmitir informações de forma segura entre partes como um objeto JSON. Os JWTs podem ser verificados e fidedignos porque estão assinados digitalmente. Podem ser utilizados para transmitir a identidade dos utilizadores autenticados entre o fornecedor de identidade e o serviço que pede a autenticação. Também podem ser autenticados e encriptados. Para saber mais, leia JSON Web Tokens.

Security Assertion Markup Language (SAML)

O SAML é um padrão aberto utilizado para trocar informações de autenticação e autorização entre, neste caso, uma solução IAM e outra aplicação. Este método utiliza XML para transmitir dados e é normalmente o método utilizado pelas plataformas de gestão de identidades e acessos para conceder aos utilizadores a capacidade de iniciar sessão em aplicações que foram integradas com soluções de IAM. Para saber mais, leia o protocolo SAML.

Sistema para Gestão de Identidades entre Domínios (SCIM)

Criado para simplificar o processo de gestão de identidades de utilizador, o aprovisionamento do SCIM permite que as organizações operem de forma eficiente na cloud e adicionem ou removam facilmente utilizadores, beneficiando orçamentos, reduzindo riscos e simplificando os fluxos de trabalho. O SCIM também facilita a comunicação entre aplicações baseadas na cloud. Para saber mais, leia Desenvolver e planear o aprovisionamento para um ponto final SCIM.

Federação de Serviços Web (WS-Fed)

WS-Fed foi desenvolvido pela Microsoft e utilizado extensivamente nas suas aplicações, esta norma define a forma como os tokens de segurança podem ser transportados entre diferentes entidades para trocar informações de identidade e autorização. Para saber mais, leia Protocolo de Federação de Serviços Web.

Passos seguintes

Para saber mais, veja:

• Início de sessão único (SSO)
• Autenticação multifator (MFA)
• Autenticação vs autorização
• OAuth 2.0 e OpenID Connect
• Tipos de aplicações e fluxos de autenticação
• Tokens de segurança