Gerência de identidades
O uso cada vez mais disseminado de sistemas dentro das organizações com o propósito de automatizar as suas rotinas, bem como o próprio crescimento destas organizações, criou a necessidade de soluções em grandes escala para automatizar à utilização das tecnologias de identificação e autenticação. Além disso, a internet provocou mudanças profundas na estrutura organizacional, incrementando a quantidade de usuários a serem gerenciados, como clientes, fornecedores, prestadores de serviços etc .
Para viabilizar tais necessidades, foram desenvolvidas as tecnologias de gerencia de identidades. Apesar das diferenças que podem ser encontradas em produtos de diferentes fabricantes, todas as tecnologias, em maior ou menor grau, se baseiam em alguns componentes básicos :
- Serviços de diretório;
- SSO (Single Sign-on);
- MAS (Account Management Systems);
3.1 – Serviços de diretório
São repositórios de informações sobre diversos ativos, armazenadas de maneira centralizada com o propósito de permitir seu compartilhamento. Pode –se armazenar dentro de um diretório contas de usuários, permitindo alterações no formato dente armazenamento que suportem as aplicações atuais e futuras. Um servidor de correio eletrônico precisaria de endereços de email armazenado dentro da conta de cada usuário. Dessa forma, a estrutura das tabelas que armazenam os dados no diretório, chamada de schema , pode ser alterada para criar um novo campo, permitindo então o armazenamento dessas informações.
Os diretórios são compostos por dois componentes principais:
- Estrutura de armazenamento: A maioria utiliza o padrão X-500;
- Protocolo de Acesso: O padrão é o LDAP (Lightweight Directory Acess Protocol), que é uma versão simplificada do DAP (Directory Acess Protocol), existente na especificação do padrão X.500
É possível utilizar o protocolo SSL (Secure Sockets Layer) para encapsular a comunicação LDAP de maneira segura, garantindo a confidencialidade, integridade e autenticação da comunicação
3.2 – SSO (Single Sign-On)
O Single Sign On (SSO) é definido como um único ponto de entrada, ou seja, um usuário apenas necessita se autenticar uma única vez, para permitir o acesso automaticamente às diversas aplicações externas, sem a necessidade de recordar seu login e senha em cada sistema.
Os produtos de SSO contêm um sistema de sincronização da sua senha com a do cliente ou então um sistema de integração com os sistemas de rede. Como diferentes aplicações e recursos suportam mecanismos de autenticação diferentes, o único sign-on tem que internamente traduzir a e armazenar as credenciais diferentes comparadas ao que é usado para a autenticação inicial. (Wikipédia)
Os principais tipos são :
- Enterprise SSO (conhecido com o Legaxy): autenticam o usuário, normalmente em um serviço de diretório, e interceptam pedidos de autenticação de outras aplicações , repassando credenciasi que ficam armazenadas neste mesmo diretório.
- Wam (Web Acess Management ) ou Web-SSO – Permite que o usuário acesse diversos aplicativos Web com apenas uma autenticação. As tecnologias mais empregadas costuma utilizar cookies de sessão.
- Federation : Permite a uma aplicação validar a identidade de um usuário para outra. Exemplos dessas novos tecnologia são SAML (Security Assertion Markup Language) e o WSS (Web Services Security). Tecnologia destinada a fazer Web-SSO;
- Kerberos : é o nome de um Protocolo de rede, que permite comunicações individuais seguras e identificadas, em uma rede insegura. O protocolo Kerberos previne Eavesdropping e Replay attack, e ainda garante a integridade dos dados, é possível a autenticação mutua entre o cliente e o servidor, permitindo assim que ambos se autentiquem.Kerberos utiliza Criptografia simétrica e necessita de um sistema de confiança tripla.
3.3 – AMS (Account Management Systems)
Onde o responsável direto autorize o processo, bem como as pessoas responsáveis pelos recursos que este usuários acessará. Dentro dos sistemas de gerencia de identidades, esses e outros aspectos podem ser automatizados através de sistemas AMS
Continua ….
Aldo Silva
Gestão em TI 