O que é o gerenciamento de identidade e acesso (IAM)?
Neste artigo, você aprenderá alguns dos conceitos fundamentais do IAM (Gerenciamento de Identidades e Acesso), por que é importante e como funciona.
O gerenciamento de identidade e acesso garante que as pessoas, os computadores e os componentes de software certos tenham acesso aos recursos certos no momento certo. Primeiro, a pessoa, o computador ou o componente de software prova que é quem ou o que afirma ser. Em seguida, a pessoa, o computador ou o componente de software recebe permissão ou negação de acesso ou uso de determinados recursos.
Para saber mais sobre os termos e conceitos básicos, consulte Conceitos básicos de identidade.
O que o IAM (Gerenciamento de Identidades e Acesso) faz?
Os sistemas IAM normalmente fornecem a seguinte funcionalidade principal:
Gerenciamento de identidade – o processo de criação, armazenamento e gerenciamento de informações de identidade. Os IdP (provedores de identidade) são soluções de software usadas para rastrear e gerenciar identidades de usuário, bem como as permissões e níveis de acesso associados a essas identidades.
Federação de identidade – você pode permitir que usuários que já tenham senhas em outro lugar (por exemplo, em sua rede corporativa ou com um provedor de identidade social ou internet) obtenham acesso ao seu sistema.
Provisionamento e desprovisionamento de usuários – o processo de criação e gerenciamento de contas de usuário, que inclui especificar quais usuários têm acesso a quais recursos e atribuir permissões e níveis de acesso.
Autenticação de usuários – autentique um usuário, computador ou componente de software confirmando que eles são quem ou o que dizem ser. É possível adicionar a MFA (autenticação multifator) para usuários individuais para aumentar a segurança ou o SSO (logon único) para permitir que os usuários autentiquem sua identidade em um portal em vez de em vários recursos diferentes.
Autorização de usuários – a autorização garante que um usuário receba o nível e o tipo exatos de acesso a uma ferramenta à qual ele tem direito. Os usuários também podem ser divididos em grupos ou funções para que grandes coortes de usuários possam receber os mesmos privilégios.
Controle de acesso – o processo de determinar quem ou o que tem acesso a quais recursos. Isso inclui a definição de funções e permissões de usuário, bem como a configuração de mecanismos de autenticação e autorização. Os controles de acesso regulam o acesso a sistemas e dados.
Relatórios e monitoramento – gere relatórios após ações executadas na plataforma (como tempo de entrada, sistemas acessados e tipo de autenticação) para garantir a conformidade e avaliar os riscos de segurança. Obtenha insights sobre padrões de uso e segurança em seu ambiente.
Como o IAM (Gerenciamento de Identidades e Acesso) funciona
Esta seção fornece uma visão geral do processo de autenticação e autorização e dos padrões mais comuns.
Autenticando, autorizando e acessando recursos
Digamos que você tenha um aplicativo que entre em um usuário e, em seguida, acesse um recurso protegido.
O usuário (proprietário do recurso) inicia uma solicitação de autenticação com o provedor de identidade/servidor de autorização do aplicativo cliente.
Se as credenciais forem válidas, o provedor de identidade/servidor de autorização primeiro enviará um token de ID contendo informações sobre o usuário de volta para o aplicativo cliente.
O provedor de identidade/servidor de autorização também obtém o consentimento do usuário final e concede a autorização do aplicativo cliente para acessar o recurso protegido. A autorização é fornecida em um token de acesso, que também é enviado de volta ao aplicativo cliente.
O token de acesso é anexado a solicitações subsequentes feitas ao servidor de recursos protegido do aplicativo cliente.
O provedor de identidade/servidor de autorização valida o token de acesso. Se for bem-sucedida, a solicitação para recursos protegidos será concedida e uma resposta será enviada de volta ao aplicativo cliente.
Para obter mais informações, confira Autenticação e autorização.
Padrões de autenticação e autorização
Esses são os padrões de autenticação e autorização mais conhecidos e comumente usados:
OAuth 2.0
O OAuth é um protocolo de gerenciamento de identidades de padrões abertos que fornece acesso seguro para sites, aplicativos móveis e Internet das Coisas e outros dispositivos. Ele usa tokens criptografados em trânsito e elimina a necessidade de compartilhar credenciais. O OAuth 2.0, o lançamento mais recente do OAuth, é uma estrutura popular usada pelas principais plataformas de mídia social e serviços ao consumidor, do Facebook e LinkedIn ao Google, PayPal e Netflix. Para saber mais, leia sobre o protocolo OAuth 2.0.
OIDC (OpenID Connect)
Com o lançamento do OpenID Connect (que usa criptografia de chave pública), o OpenID tornou-se uma camada de autenticação amplamente adotada para OAuth. Assim como o SAML, o OIDC (OpenID Connect) é amplamente usado para SSO (logon único), mas o OIDC usa REST/JSON em vez de XML. O OIDC foi projetado para funcionar com aplicativos nativos e móveis usando protocolos REST/JSON. No entanto, o principal caso de uso para SAML são aplicativos baseados na Web. Para saber mais, leia sobre o protocolo OpenID Connect.
Tokens Web JSON (JWTs)
Os JWTs são um padrão aberto que define uma forma compacta e independente de transmitir informações com segurança entre partes como um objeto JSON. Os JWTs podem ser verificados e confiáveis porque são assinados digitalmente. Eles podem ser usados para passar a identidade de usuários autenticados entre o provedor de identidade e o serviço que solicita a autenticação. Eles também podem ser autenticados e criptografados. Para saber mais, leia Tokens Web JSON.
SAML (Security Assertion Markup Language)
O SAML é um padrão aberto utilizado para trocar informações de autenticação e autorização entre, nesse caso, uma solução IAM e outro aplicativo. Esse método usa XML para transmitir dados e normalmente é o método usado por plataformas de gerenciamento de identidade e acesso para conceder aos usuários a capacidade de entrar em aplicativos que foram integrados a soluções de IAM. Para saber mais, leia Protocolo SAML.
Sistema de Gerenciamento de Usuários entre Domínios (SCIM)
Criado para simplificar o processo de gerenciamento de identidades de usuário, o provisionamento SCIM permite que as organizações operem com eficiência na nuvem e adicionem ou removam facilmente usuários, beneficiando orçamentos, reduzindo riscos e simplificando fluxos de trabalho. O SCIM também facilita a comunicação entre aplicativos baseados em nuvem. Para saber mais, leia Desenvolver e planejar o provisionamento para um ponto de extremidade SCIM.
Web Services Federation (WS-Fed)
O WS-Fed foi desenvolvido pela Microsoft e usado extensivamente em seus aplicativos. Esse padrão define como os tokens de segurança podem ser transportados entre diferentes entidades para trocar informações de identidade e autorização. Para saber mais, leia Protocolo de Web Services Federation.
Próximas etapas
Para obter mais informações, consulte:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de