O que é o gerenciamento de identidade e acesso (IAM)?

Neste artigo, você aprenderá alguns dos conceitos fundamentais do Gerenciamento de Identidade e Acesso (IAM), por que ele é importante e como funciona.

O gerenciamento de identidade e acesso garante que as pessoas, máquinas e componentes de software certos tenham acesso aos recursos certos no momento certo. Primeiro, a pessoa, máquina ou componente de software prova que é quem ou o que afirma ser. Em seguida, a pessoa, a máquina ou o componente de software tem permissão ou recusa de acesso ou uso de determinados recursos.

Para saber mais sobre os termos e conceitos básicos, consulte Fundamentos de identidade.

O que faz o IAM?

Os sistemas IAM normalmente fornecem a seguinte funcionalidade principal:

• Gerenciamento de identidade - O processo de criar, armazenar e gerenciar informações de identidade. Provedores de identidade (IdP) são soluções de software que são usadas para rastrear e gerenciar identidades de usuários, bem como as permissões e níveis de acesso associados a essas identidades.

• Federação de identidades - Você pode permitir que usuários que já tenham senhas em outro lugar (por exemplo, em sua rede corporativa ou com um provedor de internet ou identidade social) tenham acesso ao seu sistema.

• Provisionamento e desprovisionamento de usuários - O processo de criação e gerenciamento de contas de usuário, que inclui especificar quais usuários têm acesso a quais recursos e atribuir permissões e níveis de acesso.

• Autenticação de usuários - Autentique um usuário, máquina ou componente de software confirmando que eles são quem ou o que dizem ser. Você pode adicionar autenticação multifator (MFA) para usuários individuais para segurança extra ou logon único (SSO) para permitir que os usuários autentiquem sua identidade com um portal em vez de muitos recursos diferentes.

• Autorização de usuários - A autorização garante que um usuário receba o nível exato e o tipo de acesso a uma ferramenta a que tem direito. Os usuários também podem ser divididos em grupos ou funções para que grandes grupos de usuários possam receber os mesmos privilégios.

• Controle de acesso - O processo de determinar quem ou o que tem acesso a quais recursos. Isso inclui a definição de funções e permissões de usuário, bem como a configuração de mecanismos de autenticação e autorização. Os controles de acesso regulam o acesso a sistemas e dados.

• Relatórios e monitoramento - Gere relatórios após ações realizadas na plataforma (como tempo de login, sistemas acessados e tipo de autenticação) para garantir a conformidade e avaliar os riscos de segurança. Obtenha informações sobre os padrões de segurança e uso do seu ambiente.

Como funciona o IAM

Esta seção fornece uma visão geral do processo de autenticação e autorização e dos padrões mais comuns.

Autenticação, autorização e acesso a recursos

Digamos que você tenha um aplicativo que entra em um usuário e, em seguida, acessa um recurso protegido.

1. O usuário (proprietário do recurso) inicia uma solicitação de autenticação com o provedor de identidade/servidor de autorização do aplicativo cliente.

2. Se as credenciais forem válidas, o provedor de identidade/servidor de autorização primeiro enviará um token de ID contendo informações sobre o usuário de volta para o aplicativo cliente.

3. O provedor de identidade/servidor de autorização também obtém o consentimento do usuário final e concede ao aplicativo cliente autorização para acessar o recurso protegido. A autorização é fornecida em um token de acesso, que também é enviado de volta para o aplicativo cliente.

4. O token de acesso é anexado a solicitações subsequentes feitas ao servidor de recursos protegidos a partir do aplicativo cliente.

5. O provedor de identidade/servidor de autorização valida o token de acesso. Se for bem-sucedida, a solicitação de recursos protegidos será concedida e uma resposta será enviada de volta ao aplicativo cliente.

Para obter mais informações, leia Autenticação e autorização.

Padrões de autenticação e autorização

Estes são os padrões de autenticação e autorização mais conhecidos e comumente usados:

OAuth 2.0

OAuth é um protocolo de gerenciamento de identidade de padrões abertos que fornece acesso seguro para sites, aplicativos móveis e Internet das Coisas e outros dispositivos. Ele usa tokens que são criptografados em trânsito e elimina a necessidade de compartilhar credenciais. OAuth 2.0, a versão mais recente do OAuth, é uma estrutura popular usada pelas principais plataformas de mídia social e serviços ao consumidor, do Facebook e LinkedIn ao Google, PayPal e Netflix. Para saber mais, leia sobre o protocolo OAuth 2.0.

Conexão OpenID (OIDC)

Com o lançamento do OpenID Connect (que usa criptografia de chave pública), o OpenID tornou-se uma camada de autenticação amplamente adotada para OAuth. Como o SAML, o OpenID Connect (OIDC) é amplamente usado para logon único (SSO), mas o OIDC usa REST/JSON em vez de XML. O OIDC foi projetado para funcionar com aplicativos nativos e móveis usando protocolos REST/JSON. O principal caso de uso do SAML, no entanto, são os aplicativos baseados na Web. Para saber mais, leia sobre o protocolo OpenID Connect.

Tokens da Web JSON (JWTs)

Os JWTs são um padrão aberto que define uma maneira compacta e independente de transmitir informações com segurança entre as partes como um objeto JSON. Os JWTs podem ser verificados e confiáveis porque são assinados digitalmente. Eles podem ser usados para passar a identidade de usuários autenticados entre o provedor de identidade e o serviço que solicita a autenticação. Eles também podem ser autenticados e criptografados. Para saber mais, leia JSON Web Tokens.

SAML (Security Assertion Markup Language)

O SAML é um padrão aberto utilizado para trocar informações de autenticação e autorização entre, neste caso, uma solução do IAM e outro aplicativo. Esse método usa XML para transmitir dados e normalmente é o método usado por plataformas de gerenciamento de identidade e acesso para conceder aos usuários a capacidade de fazer login em aplicativos que foram integrados com soluções do IAM. Para saber mais, leia Protocolo SAML.

Sistema de Gerenciamento de Identidades entre Domínios (SCIM)

Criado para simplificar o processo de gerenciamento de identidades de usuários, o provisionamento SCIM permite que as organizações operem com eficiência na nuvem e adicionem ou removam usuários com facilidade, beneficiando orçamentos, reduzindo riscos e simplificando fluxos de trabalho. O SCIM também facilita a comunicação entre aplicações baseadas na nuvem. Para saber mais, leia Desenvolver e planejar o provisionamento para um ponto de extremidade SCIM.

Federação de Serviços Web (WS-Fed)

WS-Fed foi desenvolvido pela Microsoft e usado extensivamente em suas aplicações, este padrão define a forma como os tokens de segurança podem ser transportados entre diferentes entidades para trocar informações de identidade e autorização. Para saber mais, leia Protocolo de Federação de Serviços Web.

Próximos passos

Para saber mais, veja:

• Início de sessão único (SSO)
• Autenticação multifator (MFA)
• Autenticação vs autorização
• OAuth 2.0 e OpenID Connect
• Tipos de aplicativos e fluxos de autenticação
• Fichas de segurança