Gerenciamento de acesso e identidades: conceitos essenciais
Mapa do Site
Page 1 of 14
| Brasil Home | Worldwide
Procurar no Microsoft.com por:
Ir Home
| TechNet USA | MS Brasil | Desenvolvedores | Sharepedia | TopIT | Fale Conosco
Pesquisa rápida
TechNet
Conceitos essenciais Ir
Boletins de Segurança Carreira Colunas Comunidade Artigos Técnicos Eventos Treinamento e Certificação Central de Segurança Central do Windows Server TechNet Magazine Central Beta Porta 25 O Que Há de Novo? Fórum TechNet Academia de Segurança Script Center
Capítulo 3: Tecnologias de gerenciamento de acesso e identidades da M Publicado em: 11 11e maio 11e 2004 | Atualizado em: 26 26e junho 26e 2006
O gerenciamento eficiente de acesso e identidades envolve várias tecnologias e processos interdependentes. Esses elementos são combinados para manter uma visão unificada de identidades em uma organização e usá-las efetivamente. Os principais tópicos para a discussão sobre o gerenciamento de acesso e identidades incluem serviços de diretório, gerenciamento do ciclo de vida de identidades, gerenciamento de acesso e como os aplicativos devem se integrar com a infra-estrutura.
Usando TechNet
•
• •
Observação: este capítulo fornece uma visão geral de cada um desses tópicos e os capítulos restantes examinam os processos e serviços dentro de cada tópico em muito mais detalhes. Para obter uma visão geral desses tópicos, leia este capítulo. Para obter uma abordagem técnica mais rigorosa, leia os capítulos 4 a 7.
• •
Muitas tecnologias e soluções de gerenciamento de acesso e identidades evoluíram independentemente em resposta a problemas táticos específicos. Cada vez mais, organizações, analistas, fornecedores e integradores de sistemas reconhecem que essas tecnologias e problemas comerciais são todos interdependentes, resultando em uma única categoria que é descrita simplesmente como "gerenciamento de acesso e identidades".
Suporte Assinatura TechNet
Neste artigo
Para visualizar essa interdependência, a Microsoft criou a Estrutura de gerenciamento de acesso e identidades, uma descrição gráfica dos serviços e processos envolvidos no gerenciamento de acesso e identidades.
•
• • •
FAQ Meu TechNet Quem Somos
A figura a seguir mostra os principais componentes da Estrutura de gerenciamento de acesso e identidades:
Download
Obtenha a Série gerenciamento de identidades da M
Notificações de atualização
Inscreva informações sobr atualizações e no versões Comentários
Envie seus comen suas sugestões
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 2 of 14
Figura 3.1. Principais tópicos da Estrutura de gerenciamento de acesso e identidades
Este capítulo estabelece cada um dos tópicos dessa estrutura e introduz as tecnologias, os serviços e os processos que oferecem suporte a cada um deles. Elementos predominantes da Estrutura de gerenciamento de acesso e identidades da Microsoft incluem as diretivas reguladoras de negócios, segurança e privacidade que incorporam os requisitos específicos de uma organização. Esses elementos ajudam a definir as suposições, as regras, os padrões e as restrições comerciais que controlam como as tecnologias e os processos devem ser aplicados para atender aos objetivos da empresa. Por exemplo, diretivas de segurança são amplas e de longo alcance, influenciando todos os aspectos do gerenciamento de acesso e identidades. Diretivas de privacidade são influenciadas por sua organização, pela indústria e pelo país/região de operação. Essas diretivas definem etapas razoáveis para proteger os dados pessoais nos armazenamentos de identidades de sua organização. A legislação nacional e internacional, como a HIPAA (The Health Insurance Portability and Accountability Act) de 1996 dos Estados Unidos, a Lei de proteção a dados de 1998 do Reino Unido, a Diretiva de proteção a dados 95/46/EC da União Européia e os acordos e princípios internacionais de Zona protegida desempenham um papel importante no estabelecimento da diretiva de privacidade. Nesta página Serviços de diretório Gerenciamento do ciclo de vida de identidades Gerenciamento de acesso Aplicativos
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 3 of 14
Resumo
Serviços de diretório Os serviços de diretório fornecem a base de uma infra-estrutura de gerenciamento de acesso e identidades. Os serviços de diretório fornecem uma única fonte de informações de identidade digital oficiais. Essas informações podem incluir informações de segurança, como mapeamentos de certificados X.509 e senhas, bem como informações sobre perfis de usuário na forma de atributos de usuário que incluem endereços, números de telefone, área de escritório, cargos e nomes de departamentos. A Microsoft recomenda identificar um número mínimo de diretórios que se tornarão os armazenamentos de identidades digitais confiáveis de sua organização. Essa redução oferece retornos imediatos e fornece uma base sólida na qual integrar todos os outros componentes.
Serviços de diretório em tecnologias da Microsoft A Microsoft começou a oferecer suporte a serviços de diretório na plataforma Microsoft® Windows® quando o Windows NT® 3.1 foi lançado. Os serviços de diretório atuais da Microsoft incluem:
•
O serviço de diretório Microsoft Active Directory®, parte integrante do Windows 2000 Server e do Windows Server™ 2003.
•
Modo de Aplicativo do Active Directory (ADAM).
Para obter mais informações sobre os serviços de diretório da Microsoft, consulte o Capítulo 4, "Serviços de diretório", mais adiante neste documento. Início da página
Gerenciamento do ciclo de vida de identidades Existem vários processos relacionados para gerenciar usuários, seus direitos e suas credenciais. Esses processos incluem:
•
Serviços de integração de identidades, incluindo agregação e sincronização.
•
Configuração, incluindo o gerenciamento de processos relacionados que ocorrem antes, durante e após a configuração (normalmente chamado de "fluxo de trabalho").
•
Administração delegada, como o gerenciamento de contas pela equipe do parceiro.
•
Administração de auto-atendimento, como solicitações de direitos iniciadas pelo usuário.
•
Gerenciamento de credenciais e senhas, incluindo a alteração de senhas de usuários finais e redefinições de senha pela assistência técnica.
• •
Desconfiguração, incluindo a desativação ou exclusão de uma conta. Gerenciamento de grupos.
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 4 of 14
Serviços de integração de identidades Os serviços de integração de identidades são normalmente necessários quando uma organização tem vários diretórios ou armazenamentos de identidades. Como cada um desses diretórios contêm um subconjunto de todas as informações sobre um usuário, os serviços de integração de identidades podem ajudar a criar uma visão agregada das informações de todos os armazenamentos de identidades. Os serviços de integração de identidades criam essa visão agregada obtendo informações de identidades a partir de várias fontes oficiais, como diretórios existentes, aplicativos de RH e de contabilidade, diretórios de email e vários bancos de dados. Todas as informações sobre identidades que os serviços de integração de identidades reúnem preenchem um único banco de dados ou metaverso — uma única visão global integrada de todos os objetos combinados agregados a partir das informações de identidades em várias fontes de dados conectadas. Com esse banco de dados central de informações, regras podem ser aplicadas aos dados para controlar o fluxo durante operações de importação e exportação. A habilidade de ter fluxos de dados de importação e exportação baseados em regras permite a implementação da sincronização e até mesmo da configuração de identidades. Como a sincronização e a configuração podem ser automatizadas por meio de regras de programação, os serviços de integração de identidades permitem que a organização reduza custos associados ao gerenciamento de dados de identidades e limite a ocorrência de erros introduzidos pela administração humana.
Configuração Um componente-chave do gerenciamento de acesso e identidades é a maneira como as identidades digitais são criadas. O processo de configuração fornece uma ferramenta poderosa que tira proveito de informações de usuários contidas na infra-estrutura de diretórios da organização para acelerar a concessão e revogação de contas e direitos de usuários aos recursos de informações. Esses recursos podem incluir email, serviço telefônico, aplicativos de RH, aplicativos LOB (de linha de negócios) e aplicativos funcionais, acesso a intranet e extranet e serviços de assistência técnica. A automatização de processos que criam identidades digitais pode reduzir custos e aumentar drasticamente a produtividade. Por exemplo, quando um novo funcionário entra na organização, o sistema de configuração pode reduzir o tempo necessário para obter contas de usuário e direitos de acesso de uma semana para algumas horas. A configuração automatizada também elimina o tempo que os gerentes gastam processando documentos associados, bem como o tempo necessário ao pessoal de finanças, recursos humanos e TI para aprovar e implementar as solicitações.
Fluxo de trabalho O fluxo de trabalho é um requisito da maioria dos processos de configuração. As solicitações de recursos são inseridas online, roteadas em um caminho predeterminado para revisores e aprovadores e, finalmente, enviadas para a pessoa ou o sistema que cria a conta do usuário. Solicitações e cópias eletrônicas de materiais de suporte são roteadas automaticamente para cada participante do processo. Os processos são
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 5 of 14
aplicados consistente e completamente em todos os departamentos, e cada parte das informações é inserida apenas uma vez. Uma trilha de auditoria completa está disponível com relação a quem concedeu aprovação e quando. Fluxos de trabalho monitorados automaticamente notificarão um gerente ou administrador de nível superior se ações de análise ou de aprovação não forem concluídas a tempo. O fluxo de trabalho também é útil dentro de alguns processos de administração e de auto-atendimento delegados — por exemplo, para o roteamento de solicitações para aprovação.
Administração delegada O modelo típico de administração envolve um pequeno grupo de pessoas confiáveis que têm a habilidade de gerenciar todos os aspectos de um armazenamento de identidades. Esses administradores criam e excluem usuários, configuram e redefinem senhas e podem configurar todos os atributos do usuário. No entanto, sempre há bons motivos de negócios para não ter um único grupo central de administradores gerenciando todos os aspectos das identidades de usuários. No caso de contas de parceiros em um diretório da extranet, o método preferencial é a organização proprietária delegar a administração das contas a um administrador na organização parceira. O administrador do parceiro assume a responsabilidade de todas as contas de seus próprios funcionários. Esse sistema faz sentido do ponto de vista administrativo, pois o parceiro tem uma idéia melhor de quando os usuários precisam ser criados ou excluídos, e as solicitações de assistência são processadas localmente. A administração delegada também pode ocorrer dentro de uma organização, onde pessoas confiáveis dentro de diferentes departamentos gerenciam um subconjunto do armazenamento de identidades de uma organização.
Administração de auto-atendimento Para usuários típicos, como funcionários, existem muitos atributos de usuário que não estão relacionados à segurança. Uma organização pode decidir permitir que usuários modifiquem esses atributos. Por exemplo, os usuários podem receber permissão para alterar seu número de telefone celular. No entanto, a administração de auto-atendimento deve ter restrições adequadas, como a imposição de convenções de nomenclatura e verificação de validade.
Gerenciamento de credenciais Como as credenciais são "essenciais" para autenticação e autorização, elas têm necessidades especiais de gerenciamento e devem ter considerações restritas de segurança para todos os processos relacionados. As credenciais precisam ser configuradas e administradas (como a revogação de um certificado ou a redefinição de uma senha) e os usuários precisam de recursos de auto-atendimento (como a alteração de suas senhas). O mecanismo de recebimento de uma credencial deve ser detalhadamente examinado (por exemplo, o recebimento de um cartão inteligente pessoalmente, mediante identificação, ou o recebimento de uma senha redefinida por meio de um canal direto criptografado).
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 6 of 14
Gerenciamento de senhas O gerenciamento de senhas é um subconjunto específico do gerenciamento de credenciais. A autenticação com o uso de combinações de nome de usuário e senha ainda é a técnica mais usada em redes e aplicativos atuais. Técnicas diferentes estão disponíveis para gerenciar informações de senhas entre ambientes heterogêneos. Um aspecto do gerenciamento de senhas inclui o uso de tecnologias para propagar informações de senhas automaticamente de um sistema para outro. Essa propagação permite que um usuário use a mesma senha para fazer logon em vários sistemas, o que pode reduzir a possibilidade de senhas esquecidas e as chamadas associadas à assistência técnica geradas por senhas esquecidas. Com senhas consistentes entre plataformas e aplicativos, normalmente há uma exigência de centralizar a alteração de senhas e operações de redefinição de senhas pela assistência técnica por meio de interfaces comuns. A propagação de senhas deve ser considerada apenas quando as características de segurança de cada sistema participante estiverem totalmente compreendidas. Por exemplo, um ambiente UNIX que usa Telnet e envia senhas em texto não criptografado pela rede não deve ter a mesma senha que uma conta do Active Directory usada para realizar transações confidenciais críticas para os negócios.
Desconfiguração A desconfiguração é outra função chave do gerenciamento do ciclo de vida de identidades. A desconfiguração garante que contas sejam desabilitadas e excluídas sistematicamente e que direitos sejam revogados quando os funcionários saem da organização. Boas práticas de segurança recomendam que as contas sejam desabilitadas rapidamente (para evitar ataques por exfuncionários insatisfeitos), mas que não sejam excluídas até que um período adequado tenha decorrido, no caso de ser necessário reabilitar (ou renomear e reatribuir) a conta. A desabilitação de contas (em vez da exclusão) também é útil para algumas organizações que precisam garantir determinados atributos de identidade, como nomes de contas que devem ser exclusivos e não podem ser reutilizados por um período que atenda aos requisitos da diretiva.
Gerenciamento de grupos O gerenciamento de grupos inclui a atribuição automática e manual de contas de usuários para fazerem ou não parte de grupos, assim como a remoção de contas de grupos. Normalmente, grupos existem em serviços de diretório ou sistemas de email, como o Active Directory ou o Lotus Notes. Os grupos se encaixam em um de dois tipos: grupos de segurança e grupos de distribuição. Os grupos de segurança podem ser usados para configurar direitos, enquanto as listas de distribuição organizam os destinatários de email. As contas de usuários recebem os direitos e as permissões de quaisquer grupos aos quais pertençam. As organizações podem implementar grupos baseados em consulta, nos quais a associação ao grupo depende do valor de um atributo selecionado no serviço de diretório. Esse recurso permite que o sistema de gerenciamento de acesso e identidades gere grupos que contenham todos os usuários em uma cidade ou escritório específico, por exemplo. Os grupos são criados apenas de acordo com os valores exclusivos de cada cidade ou escritório. Se um grupo não tiver mais nenhum membro, ele será excluído.
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 7 of 14
Em seguida, esses nomes de grupos e associações são propagados para todos os serviços de diretório e sistemas de email conectados.
Gerenciamento do ciclo de vida de identidades em tecnologias da Microsoft As tecnologias da Microsoft para gerenciamento do ciclo de vida de identidades incluem:
•
Active Directory, incluindo o MMC (Console de Gerenciamento Microsoft) de usuários e grupos do Active Directory e delegação interna de recursos administrativos.
•
O Microsoft Identity Integration Server 2003, Enterprise Edition (MIIS 2003 SP1), que inclui os seguintes recursos específicos:
• •
Configuração Sincronização de senhas e interfaces da Web para redefinição e alteração de senhas.
•
O Identity Integration Feature Pack para Microsoft Windows Server Active Directory.
• • • • •
Auto-atendimento e inscrição automática de certificado X.509. Services for UNIX 3.5 (SFU 3.5). Serviços para NetWare. Gerenciador de Credenciais do Windows. Serviço de notificação IdM, aplicativo da Web Gerenciamento de Grupos e ferramenta Group Populator nas ferramentas e modelos do gerenciamento de acesso e identidades.
Para obter mais informações sobre o gerenciamento do ciclo de vida de identidades com tecnologias da Microsoft, consulte o Capítulo 5, "Gerenciamento do ciclo de vida de identidades", mais adiante neste documento. Início da página
Gerenciamento de acesso O gerenciamento de acesso envolve o controle de acesso de usuários a recursos, seja usando autenticação para identificar um usuário, mapeamento de credenciais para relacionar identidades digitais umas com as outras ou autorização para verificar identidades de usuários em relação a permissões do recurso. Tópicos adicionais sobre o gerenciamento de acesso discutem a implementação de federação e de relações de confiança para estender o acesso e auditoria para controlar e registrar as ações dos usuários.
Autenticação Autenticação é o processo de comprovar a identidade digital de um usuário ou objeto em uma rede, aplicativo ou recurso. Depois de autenticados, os usuários podem acessar recursos com base em seus direitos por meio do processo de autorização.
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 8 of 14
Técnicas de autenticação As técnicas de autenticação variam de um simples logon baseado na identificação do usuário e em informações de senha (algo que você sabe), biometria (algo que o distingue), até mecanismos de segurança mais potentes, como tokens, certificados digitais e cartões inteligentes (algo que você tem). Ambientes de alta segurança podem exigir um processo de autenticação de multifatores. Por exemplo, eles podem exigir a combinação de algo que você sabe (como uma senha) com um recurso que o distingue (como uma impressão digital) ou algo que você tem (como um cartão inteligente). Em um ambiente de e-business, os usuários podem acessar vários aplicativos atravessando muitos servidores Web dentro de um único site ou entre vários sites. Estratégias efetivas de gerenciamento de acesso e identidades implantam serviços de autenticação para simplificar a experiência do usuário e reduzir a sobrecarga da administração. Por esses motivos, os serviços de autenticação devem oferecer suporte a ambientes heterogêneos. Exemplos de técnicas de autenticação incluem:
• • • • • • • •
Nomes de usuários e senhas PINs (números de identificação pessoal) Certificados digitais X.509 Senhas de uso único Biometria (por exemplo, impressões digitais ou da íris) Cartões inteligentes Passaportes eletrônicos Tokens de hardware
Comparando técnicas de autenticação forte e fraca As técnicas de autenticação podem variar de técnicas simples, em que o usuário fornece senhas diretamente aos aplicativos ou hosts, até técnicas mais complexas que usam mecanismos avançados de criptografia para proteger credenciais de usuários contra aplicativos e hosts potencialmente mal-intencionados. O fornecimento de uma senha de texto não criptografado (isto é, que não seja criptografada de maneira nenhuma) a um aplicativo ou host é considerada a técnica mais fraca de autenticação devido ao perigo de interceptação da seqüência de autenticação. Além disso, se o usuário autenticar-se em um host mal-intencionado, o proprietário do host terá todas as informações necessárias para atuar como aquele usuário em qualquer lugar da rede. Se você considera uma senha como um segredo, ela não será muito secreta se o usuário precisar informá-la a todos os computadores da rede. Técnicas de autenticação mais fortes protegem as credenciais de autenticação de forma que o host ou o recurso no qual o usuário está se autenticando não saiba qual é realmente o segredo. Normalmente, isso é feito através de dados assinados criptograficamente com a senha secreta que é conhecida apenas pelo usuário e por uma terceira parte confiável (como um controlador de domínio do Active Directory). Um computador
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 9 of 14
autentica o usuário apresentando os dados assinados à terceira parte confiável. Em seguida, a terceira parte compara a assinatura com aquilo que ela conhece sobre o usuário e aconselha o computador a acreditar (ou não) que o usuário é quem ele diz ser. Esse mecanismo ajuda a manter as senhas como segredos reais.
Logon único Uma parte importante de qualquer discussão sobre autenticação é o conceito de SSO (Logon único). O SSO no nível do aplicativo envolve o estabelecimento de uma "sessão" entre o cliente e o servidor que permite que o usuário continue usando o aplicativo sem fornecer uma senha a cada vez que executar uma ação dentro do aplicativo. O mesmo tipo de conceito pode ser estendido a um conjunto de aplicativos disponíveis na rede. Para implementar o SSO entre diferentes aplicativos, as sessões podem ser estabelecidas entre o cliente, uma terceira parte confiável na rede e vários aplicativos de servidor e recursos da rede. A sessão é representada em muitas implementações por um tíquete ou cookie, que pode ser considerado como uma credencial substituta para o usuário. Em vez de exigir que o usuário forneça sua credencial durante a autenticação, o tíquete ou cookie é enviado ao servidor e aceito como comprovante da identidade do usuário. O resultado final é que o usuário precisa assinar apenas uma vez antes de usar diversos aplicativos — fornecendo, dessa forma, uma experiência de logon único. Observação: somente em situações muito raras é considerado apropriado que um mecanismo de autenticação force o usuário a fornecer credenciais de autenticação repetidamente. Por outro lado, os aplicativos podem algumas vezes solicitar credenciais antes de executar uma operação altamente confidencial.
Autenticação em tecnologias da Microsoft O Active Directory do Microsoft Windows Server 2003 fornece suporte integral para uma variedade de métodos de autenticação, incluindo:
• • • • • • • •
Autenticação baseada em PKI (infra-estrutura de chave pública) O protocolo de autenticação Kerberos versão 5 Mapeamento de certificado X.509 Microsoft Passport Desafio/resposta do Windows NT LAN Manager (NTLM) Protocolo EAP Criptografia de protocolo SSL 3.0 e TLS 1.0 Suporte para cartões inteligentes com certificados X.509
O IIS (Serviços de Informações da Internet) 6.0 do Windows Server 2003 oferece suporte a todos os métodos acima, além dos seguintes:
• • •
Autenticação Digest Autenticação baseada em formulários
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 10 of 14
Autenticação básica Os aplicativos podem chamar métodos de autenticação por meio de APIs, como a interface SSPI, que inclui SPNEGO (Secure Protocol Negotiation). O Windows XP inclui autenticação integrada para logon na estação de trabalho e acesso a recursos, o Internet Explorer para a autenticação integrada em sites e o Gerenciador de Credenciais para o gerenciamento de senhas, certificados digitais e Passports usados para autenticação.
Autorização Autorização é o processo de determinar se uma identidade digital tem permissão para executar uma ação solicitada. A autorização ocorre após a autenticação e mapeia atributos associados à identidade digital (como associações em grupos) para acessar permissões em recursos a fim de identificar quais recursos a identidade digital pode acessar.
Listas de controle de acesso Plataformas diferentes usam mecanismos diferentes para armazenar informações de autorização. O mecanismo de autorização mais comum é conhecido como uma ACL (lista de controle de acesso), que é uma lista de identidades digitais juntamente com um conjunto de ações que elas podem executar no recurso (também conhecidas como permissões). Normalmente, as ações são definidas em relação ao tipo de objeto que a ACL protege. Por exemplo, uma impressora pode permitir ações como “imprimir” ou “excluir trabalho”, enquanto um arquivo pode permitir ações como “ler” e “gravar”.
Grupos de segurança Sistemas operacionais que oferecem suporte a vários usuários normalmente oferecem suporte a grupos de segurança que constituem um tipo especial de identidade digital. O uso de grupos de segurança reduz a complexidade de gerenciamento de manipular milhares de usuários em uma grande rede. Grupos de segurança simplificam o gerenciamento porque uma ACL pode ter algumas entradas especificando quais grupos têm um nível específico de acesso a um objeto. Com o design cuidadoso dos grupos, a ACL deve ser relativamente estática. É possível alterar facilmente a diretiva de autorização de muitos objetos ao mesmo tempo manipulando os membros de um grupo mantido por uma autoridade centralizada, como um diretório. O aninhamento de grupos dentro de outros aumenta a flexibilidade do modelo do grupo de gerenciar autorizações.
Funções Muitos aplicativos usam o termo função para se referir à classificação de um usuário. Por exemplo, uma função "Gerente" pode ser usada para fazer referência a todos os membros de um grupo de segurança chamado "Gerentes de Finanças", que, como membros desse grupo, receberão automaticamente os direitos a recursos da rede que essa função permite. As funções também podem ser baseadas em decisões dinâmicas em tempo de execução, que fornecem mais flexibilidade, como autorização em um aplicativo de relatório de despesas. Esse aplicativo pode ter ações de aprovação que apenas usuários (ou entidades) autorizados podem validar na função de "Gerente de Aprovação". No entanto, antes de conceder a aprovação para autorizar uma despesa, o sistema consulta o diretório para determinar se o atributo "Gerente" do emissor corresponde ao nome da
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 11 of 14
pessoa que está aprovando a despesa. Essa lógica orientada pelos negócios é quase impossível de configurar com mecanismos do tipo ACL. As funções podem ser definidas globalmente, como por associações de grupos em um diretório, ou com código de aplicativo que determina a associação de função com base em uma consulta dinâmica. Existem até combinações dos dois tipos, como um aplicativo que define uma função chamada "Gerentes" que é definida localmente para incluir as funções "Gerentes de RH" e "Gerentes da Engenharia" do grupo. Essas são as vantagens de cada um desses métodos. Um mecanismo de funções bem-projetado fornece aos desenvolvedores de aplicativos a flexibilidade para escolher entre eles a fim de obter o ajuste correto.
Autorização em tecnologias da Microsoft O Windows Server 2003 oferece suporte integral a uma série de métodos de autorização. As tecnologias de autorização da Microsoft e os componentes de suporte incluem:
• •
ACLs (listas de controle de acesso)
• •
Autorização de URL do IIS 6.0
Controle de acesso baseado em função por meio do Gerenciador de Autorização do Windows
Autorização do ASP.NET
Para obter mais informações sobre as tecnologias de autorização da Microsoft, consulte a seção "Autorização" do Capítulo 6, "Gerenciamento de acesso", mais adiante neste documento.
Relação de confiança O conceito de relação de confiança está se tornando mais importante à medida que as organizações continuam a compartilhar recursos com parceiros de negócios. A habilidade de estabelecer confiança entre sistemas administrados independentemente é crucial aos sistemas de TI para oferecer suporte ao nível necessário de troca de dados. A relação de confiança permite autenticação e autorização seguras de identidades digitais entre sistemas de informações autônomos com menos sobrecarga de gerenciamento. Os mecanismos de confiança são complicados porque existem muitas tarefas que devem acontecer entre as organizações independentes para tornar úteis os processos de autenticação e autorização subseqüentes. A organização que confia precisa ter um mecanismo de segurança para comunicar-se com a organização confiável. Assim que a organização que confia autentica a identidade digital externa, ela deve incorporar as informações de direitos sobre a conta externa ao processo de autorização dentro da organização que confia.
Federação Uma federação é um tipo especial de relação de confiança entre organizações distintas estabelecidas além dos limites da rede interna. A federação permite a autenticação e autorização seguras de identidades digitais entre sistemas de informações autônomos baseados no princípio de confiança. Por exemplo, um usuário da empresa A pode usar informações disponíveis na empresa B porque existe uma relação de confiança federada
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 12 of 14
entre as duas empresas. Observação: a federação inclui a implementação de especificações em evolução, como a WS-Federation, uma iniciativa conduzida pela Microsoft e pela IBM para padronizar a maneira como as empresas compartilham identidades de usuários e máquinas entre sistemas díspares de autenticação e autorização espalhados para fora dos limites organizacionais. Para obter mais informações sobre a WS-Federation, consulte Web Services Federation Language (em inglês). A federação é uma tentativa de remover o requisito de gerenciamento de contas em mais de um local. Na federação, um usuário de uma organização pode autenticar-se diretamente em um recurso gerenciado por outra organização usando sua conta normal de rede. Essa idéia é popular porque pode remover o requisito (ou pelo menos facilitar muito mais o atendimento dos requisitos) de administração de muitas contas diferentes. Considere uma organização que faz negócios com cem parceiros diferentes. A alternativa à federação seria usar uma interface de administração delegada para gerenciar contas em cem diferentes extranets de parceiros. Por meio desse exemplo, fica óbvio que técnicas como a da administração delegada não são dimensionadas para ambientes de negócios altamente conectados. A habilidade de federar identidades digitais de maneira confiável e segura é essencial para a criação de novas oportunidades de negócios.
Relação de confiança e federação em tecnologias da Microsoft O Microsoft Windows fornece suporte à confiança e à federação por meio das seguintes tecnologias:
•
Relações de confiança externas no Windows NT 4.0 e no Windows 2000 Server.
• • • • •
Relações de confiança entre florestas no Windows Server 2003. O protocolo de autenticação Kerberos versão 5. Contas de sombra. Relações de confiança de PKI. ADFS (Serviço de Federação do Active Directory) no Windows Server 2003 R2.
Auditoria de segurança A auditoria fornece um meio de monitorar eventos do gerenciamento de acesso e alterações em objetos de diretório. Normalmente, a auditoria de segurança é usada para monitorar a ocorrência de problemas e violações de segurança.
Auditoria de segurança em tecnologias da Microsoft O Microsoft Windows fornece um log de eventos de segurança para registrar eventos interessantes de segurança, como:
• • •
Eventos de autenticação. Eventos de autorização. Alterações em objetos de diretório.
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 13 of 14
O Microsoft Operations Manager (MOM) 2005 SP1 pode consolidar logs de eventos em um ambiente e fornecer relatórios úteis de auditoria. Início da página
Aplicativos Aplicativos de negócios de finalidade geral são os principais consumidores de informações de acesso e identidades. Conseqüentemente, eles devem ser integrados com a plataforma de gerenciamento de acesso e identidades. Normalmente, os aplicativos se integram com os componentes de autenticação e autorização da estrutura por meio de APIs. Aplicativos que não se integram adicionam complexidade ao ambiente, aumentando os custos de gerenciamento e freqüentemente criando superfícies de ataque que, por sua vez, levam a vulnerabilidades de segurança.
Integrando aplicativos A integração de aplicativos pode exigir um esforço enorme, mas esse processo de integração pode fornecer um alto retorno sobre o investimento (ROI). Se um aplicativo tiver seu próprio sistema de autenticação, a única maneira de uma organização integrar esse aplicativo totalmente ao processo de autenticação é projetá-lo novamente para que funcione com a plataforma. Portanto, para garantir a compatibilidade do aplicativo com a estrutura de gerenciamento de acesso e identidades, a metodologia de SDLC (Software Development Life Cycle) da organização deve incluir padrões claros sobre como os aplicativos devem usar a funcionalidade de autenticação e autorização da plataforma padrão. Para obter mais informações sobre integração de aplicativos usando tecnologias da Microsoft, consulte o Capítulo 7, "Aplicativos", mais adiante neste documento. Início da página
Resumo A figura a seguir lista todos os processos e serviços da estrutura de gerenciamento de acesso e identidades da Microsoft.
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais
Page 14 of 14
Figura 3.2. Processos e serviços da estrutura de gerenciamento de acesso e identidades da Microsoft
3 de 9
Início da página Versão para Impressão
Enviar esta Página
Adicionar a Favoritos
Fale Conosco | Imprima esta página | Adicione aos Favoritos ©2006 Microsoft Corporation. Todos os direitos reservados. Nota Legal | Marcas comerciais | Política de Privacidade
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006