Gerenciamento de acesso à intranet e logon único

  • Artigo

Capítulo 1: Introdução ao artigo Gerenciamento de acesso à intranet

Atualizado em: 8 de julho de 2004

Nesta página

Resumo executivo
Visão geral do artigo

Resumo executivo

Uma infra-estrutura de gerenciamento de acesso à intranet comum, que integra aplicativos e plataformas, pode apresentar benefícios significativos para organizações que tentam melhorar o uso e o gerenciamento de identidades digitais. Por exemplo, o uso de um conjunto de protocolos de segurança padrão e a eliminação de armazenamentos de identidades redundantes podem simplificar a infra-estrutura, diminuir os esforços de gerenciamento, ativar o SSO e facilitar ainda mais a auditoria de segurança.

Esses benefícios são principalmente financeiros, incluindo despesas administrativas mais baixas, taxas de licenciamento e custos de desenvolvimento de aplicativo. Entre os benefícios adicionais estão maior segurança (devido à reduzida superfície sujeita a ataques) e melhores opções de proteção de acesso a dados organizacionais sensíveis.

A melhoria no gerenciamento de acesso à intranet por meio de alta integração com os serviços comuns de segurança e diretório é freqüentemente algo muito desafiador em seus aspectos técnicos. Grande parte do desafio tem origem no fato de que atualmente há pouca orientação objetiva sobre configuração de plataformas e aplicativos para interoperabilidade. Este artigo foi escrito para abordar esse problema, e descreve os desafios comerciais, questões de segurança, ferramentas e protocolos envolvidos.

Este artigo faz parte da Série de Gerenciamento de Identidades e Acessos da Microsoft da Microsoft TechNet em https://go.microsoft.com/fwlink/?LinkId=14841.

O desafio do negócio

As organizações fizeram investimentos significativos em infra-estrutura tecnológica ao longo da última década, mas, em muitos casos, a infra-estrutura não está sendo utilizada em sua capacidade total. Quase todas as organizações implantaram soluções tecnológicas concorrentes e sobrepostas para resolver problemas comuns de gerenciamento de acesso à intranet.

A maioria das organizações tem os seguintes desafios empresariais comuns relacionados ao gerenciamento do acesso à intranet:

  • Inexistência de recursos SSO entre os aplicativos, o que resulta em confusão do usuário, menor produtividade e maiores custos de administração e assistência técnica.

  • A existência de vários armazenamentos de identidade resulta em um número maior de solicitações de redefinição de senha.

  • Abordagens múltiplas e inconsistentes aos serviços de segurança (como autenticação e autorização) dificultam a proteção abrangente de dados corporativos valiosos.

Funcionários de diversas organizações gastam cerca de quinze minutos por dia fazendo logon em diferentes sistemas operacionais, serviços de diretório e aplicativos. Isso significa que a multiplicidade de mecanismos de autenticação em uma organização com 10.000 usuários de computador consome diariamente até 2.666 horas. (Fonte: pesquisa realizada pelo META Group em nome da PricewaterhouseCoopers, junho de 2002.)

Vários aplicativos com diversos armazenamentos de identidade necessitam de nomes de usuário e senhas diferentes, o que leva diretamente ao aumento nos custos de assistência técnica para atender a solicitações de redefinição de senha.

A proteção dos dados é uma preocupação central nas organizações de hoje. Dados financeiros, de produtos e de clientes representam um volume significativo do capital de diversas empresas e é essencial que eles sejam protegidos, já que são acessados e operados por profissionais com conhecimento. Além das ameaças de concorrentes causadas por dados comprometidos, muitos setores empresariais também observaram um aumento significativo nas exigências de regulamentações para proteção de dados. O não cumprimento dessas exigências pode causar às organizações a incidência de multas financeiras, perda de confiança do cliente ou ambos.

Os benefícios do negócio

A implementação de um gerenciamento de acesso à intranet eficaz na organização pode resultar em uma série de benefícios comerciais, inclusive:

  • Maior produtividade do usuário. Se a quantidade de tempo que os usuários de computador gastam com autenticação pudesse ser reduzida de 16 para 2 minutos por dia, uma organização com 10.000 usuários poderia recuperar mais de 2.300 horas diariamente, o que vem a ser praticamente o número de horas trabalhadas em um ano por um funcionário de horário integral. O SSO pode facilitar isso, pois melhora a produtividade do profissional com conhecimento em 15 % e a eficiência de logon em 18 %.

  • Redução dos custos de assistência técnica. Um menor número de credenciais de logon para os usuários se lembrarem aumenta a capacidade deles seguirem diretivas de segurança e diminui as chamadas de assistência técnica dos usuários para redefinições de senha.

  • Aprimoramento na segurança da rede. Um menor número de credenciais de logon também ajuda a melhorar a segurança da rede, pois diminui a probabilidade de que usuários utilizem técnicas inadequadas para gerenciar várias senhas, como anotá-las.

  • Maior proteção dos dados. As capacidades de segurança dos melhores produtos de infra-estrutura podem aumentar a proteção dos dados e permitir que as organizações atendam às exigências de regulamentação.

  • Consolidação da infra-estrutura. A criação de um ambiente para integração de plataforma e aplicativos permite que as organizações consolidem armazenamentos de identidade, o que reduz os custos administrativos e de licenciamento.

  • Administração reduzida. O gerenciamento de acesso a várias plataformas, na grande maioria dos aplicativos da organização, ajuda a empresa a obter um retorno ainda maior do investimento feito para consolidar os armazenamentos de identidade. Essa oportunidade existe porque as economias de custo relacionadas resultarão em um custo indireto de administração menor.

Quem deve ler este artigo

O público-alvo deste artigo inclui arquitetos, profissionais e gerentes de TI, responsáveis por decisões empresariais e consultores envolvidos nos esforços de gerenciamento de identidades e acessos.

Pré-requisitos do leitor

Este artigo presume que o leitor tem um conhecimento razoável sobre tecnologias e conceitos de gerenciamento de identidades e acessos descritos no artigo "Conceitos básicos" desta série.

Para implementar as duas soluções descritas neste artigo, os leitores devem ter uma compreensão da infra-estrutura descrita no artigo "Plataforma e infra-estrutura" desta série e como implementar essa infra-estrutura. Os diferentes cenários da solução têm estes requisitos adicionais:

  • O primeiro cenário de solução necessita de familiaridade com administração e configuração UNIX.

  • O segundo cenário de solução necessita de familiaridade com administração e configuração SAP.

Visão geral do artigo

Este artigo aborda os desafios do negócio, as questões de segurança, as ferramentas e os protocolos para aperfeiçoamento do gerenciamento de acesso à intranet por meio da integração com os serviços de segurança e diretório do Windows Server 2003.

O artigo consiste nos seguintes sete capítulos:

Capítulo 1: Introdução

Este capítulo apresenta o artigo e descreve os dois cenários principais abordados pelo artigo.

Capítulo 2: Abordagens para o gerenciamento de acesso à intranet

Este capítulo descreve os diferentes métodos para melhorar o gerenciamento de acesso à intranet, que incluem:

  • Integração direta com os sistemas operacionais cliente e servidor com base no Microsoft Windows.

  • Integração personalizada com os serviços de segurança e diretório baseados no Windows.

  • Integração por intermédio do protocolo LDAP.

  • Técnicas de mapeamento de credenciais que usam produtos ESSO (logon único empresarial).

  • Contas e senhas de usuário sincronizadas por vários sistemas.

O capítulo lista as vantagens e desvantagens de cada método e destaca situações em que cada um deles é mais apropriado.

Capítulo 3: Questões e requisitos

Este capítulo leva em conta o cenário da Contoso Pharmaceuticals e destaca as questões e os requisitos técnicos para aprimoramento do gerenciamento de acesso à intranet no ambiente da Contoso.

Capítulo 4: Design da solução

Este capítulo explica o design dos dois cenários de solução da Contoso. Ele utiliza as informações do capítulo anterior para descrever os componentes do gerenciamento de acesso à intranet de cada cenário e como eles operam entre si.

Capítulo 5: Implementação da solução

Este capítulo oferece orientações prescritivas passo a passo sobre como implementar cada um dos designs do capítulo anterior. O capítulo usa a infra-estrutura de gerenciamento de identidades e acessos da Contoso como base e demonstra como você pode configurar cada cenário de gerenciamento de acesso à intranet de forma segura e funcional.

Capítulo 6: Teste da solução

Este capítulo oferece orientação sobre como resolver problemas e validar os cenários de solução da Contoso implementados no capítulo anterior.

Capítulo 7: Considerações operacionais

O capítulo final do artigo fornece uma visão geral de alguns procedimentos operacionais centrais necessários à gestão diária das soluções de gerenciamento de acesso à intranet.

Cenários de solução

Os capítulos de 3 a 7 fornecem detalhes de design e implementação para os dois cenários de solução a seguir:

  • Integração de estações de trabalho UNIX com o Active Directory.

  • Integração da autenticação do SAP R/3 Application Server usando o Kerberos.

Esses cenários foram compilados para abranger os desafios típicos enfrentados pelas organizações que desejam fornecer serviços de gerenciamento de acesso à intranet. São fornecidas orientações prescritivas detalhadas sobre como as tecnologias da Microsoft podem abordar esses desafios.

A empresa fictícia Contoso Pharmaceuticals (discutida anteriormente com mais detalhes no artigo "Plataforma e infra-estrutura" desta série) serve como organização para os exemplos de orientação prescritiva.

Integração de estações de trabalho UNIX com o Active Directory

A integração de estações de trabalho UNIX com o Active Directory pode oferecer às organizações os importantes benefícios a seguir:

  • Os usuários podem fazer logon no Active Directory em qualquer estação de trabalho, independente de o sistema operacional em execução ser Windows ou UNIX, usando um único conjunto de credenciais.

  • Contas usadas nas estações de trabalho UNIX podem se beneficiar da mesma diretiva de segurança de conta de usuário aplicada a usuários de estação de trabalho baseada no Windows.

  • O protocolo Kerberos versão 5 via KDC (Centro de distribuição de chaves) integrado ao Active Directory pode fornecer credenciais baseadas no Kerberos a usuários da estação de trabalho UNIX, que fornecerá a eles acesso direto a recursos de rede de forma segura.

  • Administradores de TI podem concentrar seus esforços no gerenciamento de um único conjunto de usuários de estação de trabalho no Active Directory.

Este cenário de solução demonstra como configurar estações de trabalho UNIX que executam o sistema operacional Solaris versão 9 da Sun como parte de um domínio do Microsoft Windows Server™ 2003 e depois autenticar usuários no Active Directory usando o protocolo Kerberos versão 5.

Para obter mais informações sobre orientações e cenários de como integrar servidores UNIX e aplicativos baseados no servidor UNIX com o Active Directory, consulte Microsoft Solution Guide for Windows Directory and Security Services for UNIX (em inglês) em Microsoft.com:
https://go.microsoft.com/fwlink/?LinkID=23115

Integração da autenticação do SAP R/3 Application Server usando o protocolo Kerberos

Aplicativos de missão crítica, inclusive aplicativos ERP (Planejamento de Recursos Empresariais) como o sistema SAP, são normalmente implantados nos ambientes corporativos com seus próprios mecanismos de armazenamento de identidade e autenticação. A implementação de um armazenamento de identidades específicas do aplicativo apresenta muitas vezes problemas de gerenciamento, utilização e segurança que devem ser abordados pela organização.

Uma forma de tratar esses problemas é integrar o aplicativo com um armazenamento de identidade baseado em padrões como o Active Directory. O SAP R/3 Application Server é um exemplo de produto de terceiros com plataforma neutra que é integrado ao Active Directory por meio do protocolo Kerberos versão 5.

A utilização desse protocolo para integrar aplicativos com o Active Directory proporciona os benefícios a seguir.

  • Os usuários se beneficiam do SSO usando suas credenciais de logon de desktop.

  • Você pode usar o protocolo Kerberos versão 5 para fornecer um canal seguro para dados de aplicativo cliente/servidor.

  • Requisitos para gerenciar armazenamentos de identidades específicas do aplicativo podem ser reduzidos e, algumas vezes, eliminados.

Neste cenário, o SAP R/3 Application Server mapeia o principal do Active Directory em uma conta no armazenamento de identidade do sistema SAP. Embora isso não elimine inteiramente a necessidade de provisionar e gerenciar os direitos dos usuários no sistema SAP (eles ainda são necessários para fins de autorização SAP ), a carga administrativa é reduzida, pois não é mais necessária uma senha de usuário diferente. Além disso, remover o acesso do usuário a vários recursos, inclusive ao sistema SAP, é mais fácil, pois a desativação de contas de usuário no Active Directory também evita que os usuários sejam autenticados no sistema SAP.

Para obter outras alternativas que ofereçam integração entre o SAP R/3 Application Server e o Active Directory, consulte o documento "SAP and Active Directory Identity Management" (em inglês) em:
https://download.microsoft.com/download/2/1/2/21247a04-1b54-45f0-86d0-470a28cb54c8/SAP_AD_Final.doc.

Para obter informações mais gerais sobre a integração do sistema SAP com o Active Directory, os clientes SAP podem fazer logon na seção Microsoft do SAP Service Marketplace usando suas credenciais de extranet SAP em http://service.sap.com/microsoft.

Download

Obtenha a Série de Gerenciamento de Identidades e Acessos da Microsoft

Notificações de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie seus comentários ou sugestões