Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica os conceitos fundamentais do IAM (gerenciamento de identidade e acesso) para ajudá-lo a proteger os recursos com eficiência.
O que é gerenciamento de identidade e acesso
O gerenciamento de identidade e acesso garante que as pessoas, computadores e componentes de software certos acessem os recursos certos no momento certo. Primeiro, a pessoa, o computador ou o componente de software prova que é quem ou o que afirma ser. Em seguida, a pessoa, o computador ou o componente de software recebem ou têm acesso negado a determinados recursos.
O que o IAM faz
Os sistemas IAM normalmente fornecem a seguinte funcionalidade principal:
- Gerenciamento de identidade: o processo de criação, armazenamento e gerenciamento de informações de identidade. Os IdP (provedores de identidade) são soluções de software usadas para rastrear e gerenciar identidades de usuário, bem como as permissões e os níveis de acesso associados a essas identidades.
- Federação de identidade: permitir que os usuários que já têm senhas em outros lugares (por exemplo, em sua rede corporativa ou com um provedor de identidade social ou internet) acessem seu sistema.
- Provisionamento e desprovisionamento de usuários: crie e gerencie contas de usuário, incluindo a especificação de quais usuários podem acessar quais recursos e atribuir permissões e níveis de acesso.
- Autenticação de usuários: confirme se um usuário, computador ou componente de software é quem ou o que eles afirmam ser.
- Autorização dos usuários: garante que um usuário tenha o nível exato e o tipo de acesso a uma ferramenta à qual tem direito.
- Controle de acesso: o processo de determinar quem ou o que tem acesso a quais recursos. Esse processo inclui a definição de funções e permissões de usuário, bem como a configuração de mecanismos de autenticação e autorização. Os controles de acesso regulam o acesso a sistemas e dados.
- Relatórios e monitoramento: gere relatórios sobre ações de plataforma (como tempo de entrada, sistemas acessados e tipo de autenticação) para garantir a conformidade e avaliar os riscos de segurança.
Identidade
Uma identidade digital é uma coleção de identificadores ou atributos exclusivos que representam uma pessoa, um componente de software, um computador, um ativo ou um recurso em um sistema. Um identificador pode ser:
- Um endereço de email
- Credenciais de entrada (nome de usuário/senha)
- Um número de conta bancária
- Uma ID emitida pelo governo
- Um endereço MAC ou endereço IP
As identidades são usadas para autenticar e autorizar o acesso aos recursos, habilitar a comunicação, facilitar transações e atender a outras finalidades.
As identidades são categorizadas em três tipos:
- As identidades humanas representam pessoas, incluindo funcionários (trabalhadores internos e de linha de frente) e usuários externos (clientes, consultores, fornecedores e parceiros).
- Identidades de carga de trabalho representam as cargas de trabalho de software, como um aplicativo, serviço, script ou contêiner.
- As identidades do dispositivo representam dispositivos, incluindo computadores desktop, telefones celulares, sensores de IoT e dispositivos gerenciados por IoT. Eles são distintos das identidades humanas.
Autenticação
A autenticação desafia uma pessoa, um componente de software ou um dispositivo de hardware a apresentar credenciais para verificar sua identidade ou provar que são quem afirmam ser. A autenticação normalmente requer credenciais como nome de usuário e senha, impressões digitais, certificados ou senhas a uma vez. Às vezes, a autenticação é abreviada para AuthN.
A MFA (autenticação multifator) é uma medida de segurança que exige que os usuários forneçam mais de uma evidência para verificar sua identidade. Os exemplos incluem:
- Algo que eles sabem, como uma senha.
- Algo que eles têm, como um distintivo.
- Algo que eles são, como uma biometria (impressão digital ou rosto).
O SSO (logon único) permite que os usuários autentiquem sua identidade uma vez e, em seguida, autenticam silenciosamente mais tarde ao acessar vários recursos que dependem da mesma identidade. Após a autenticação, o sistema IAM atua como a fonte da verdade de identidade para outros recursos disponíveis para o usuário. Ele elimina a necessidade de se conectar a vários sistemas de destino separados.
Autorização
A autorização valida que o usuário, o computador ou o componente de software recebem acesso a determinados recursos. Às vezes, a autorização é abreviada para AuthZ.
Autenticação versus autorização
Os termos de autenticação e autorização às vezes são usados de forma intercambiável porque muitas vezes parecem uma única experiência para os usuários. Na verdade, são dois processos distintos:
- A autenticação comprova a identidade de um usuário, de um computador ou de um componente de software.
- A autorização concede ou nega ao usuário, ao computador ou ao componente de software acesso a determinados recursos.
Esta é uma visão geral rápida da autenticação e da autorização:
| Autenticação | Autorização |
|---|---|
| Pode ser considerado como um gatekeeper, permitindo o acesso somente às entidades que fornecem credenciais válidas. | Pode ser considerado como uma proteção, garantindo que somente as entidades com a devida autorização possam entrar em determinadas áreas. |
| Verifica se um usuário, um computador ou um software é quem ou o que afirma ser. | Determina se o usuário, o computador ou o software tem permissão para acessar um recurso específico. |
| Desafia o usuário, o computador ou o software a obter credenciais verificáveis (por exemplo, senhas, identificadores biométricos ou certificados). | Determina o nível de acesso de um usuário, computador ou software. |
| Feito antes da autorização. | Feito após a autenticação bem-sucedida. |
| As informações são transferidas em um token de identificação. | As informações são transferidas em um token de acesso. |
| Geralmente usa os protocolos OpenID Connect (OIDC) (que se baseia no protocolo OAuth 2.0) ou SAML. | Muitas vezes usa o protocolo OAuth 2.0. |
Para obter informações mais detalhadas, leia Autenticação vs. autorização.
Exemplo
Suponha que você queira passar a noite em um hotel. Você pode pensar na autenticação e na autorização como o sistema de segurança do edifício do hotel. Os usuários são as pessoas que querem se hospedar no hotel, os recursos são os quartos ou as áreas que as pessoas querem usar. A equipe do hotel é outro tipo de usuário.
Caso esteja hospedado no hotel, primeiro dirija-se à recepção para iniciar o "processo de autenticação". Você deverá mostrar um cartão de identificação e um cartão de crédito, e a recepcionista irá conferir sua identificação com a reserva online. Depois que a recepcionista verificar quem você é, ela concederá permissão para acessar a sala à qual você está atribuído. Você recebe um cartão de acesso e pode ir para o seu quarto.
As portas dos quartos do hotel e de outras áreas têm sensores de cartão de acesso. Deslizar o cartão de chave na frente de um sensor é o "processo de autorização". O cartão-chave só permite que você abra as portas para quartos que você tem permissão para acessar, como seu quarto de hotel e a sala de exercícios do hotel. Se você passar seu cartão de acesso para entrar em qualquer outro quarto de hotel, seu acesso será negado.
Permissões individuais, como acessar a sala de exercícios e uma sala de convidado específica, são coletadas em funções, que podem ser concedidas a usuários individuais. Quando estiver hospedado no hotel, você receberá a função de Patrono do hotel. A equipe de serviço de quartos do hotel receberia o cargo Serviço de Quarto do Hotel. Essa função permite o acesso a todos os quartos de hóspedes do hotel (mas somente entre 11h e 16h), à lavanderia e aos armários de suprimentos em cada andar.
Provedor de identidade
Um provedor de identidade cria, mantém e gerencia informações de identidade. Ele oferece serviços de autenticação, autorização e auditoria.
Com a autenticação moderna, todos os serviços, incluindo serviços de autenticação, são fornecidos por um provedor de identidade central. O provedor de identidade armazena e gerencia informações usadas para autenticar o usuário com o servidor.
Um provedor de identidade central permite que as organizações estabeleçam políticas de autenticação e autorização, monitorem o comportamento do usuário, identifiquem atividades suspeitas e reduzam ataques mal-intencionados.
O Microsoft Entra é um exemplo de um provedor de identidade baseado em nuvem. Outros exemplos incluem X, Google, Amazon, LinkedIn e GitHub.
Próximas etapas
- Saiba mais sobre o SSO (logon único).
- Saiba mais sobre a MFA (autenticação multifator).