Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar
Este tópico ainda não foi avaliado como - Avalie este tópico

Conceitos essenciais

Capítulo 2: Terminologia e iniciativas

Publicado em: maio 11, 2004 | Atualizado em: 26 de junho de 2006

O gerenciamento de acesso e identidades combina processos, tecnologias e diretivas para gerenciar identidades digitais e especificar como as identidades digitais são usadas para acessar recursos.

As iniciativas de gerenciamento de acesso e identidades tendem a ser mais complexas do que a maioria dos outros projetos de TI, simplesmente devido ao número e à diversidade de armazenamentos de identidades, protocolos, mecanismos de criptografia, diretivas e agências reguladoras que precisam funcionar em conjunto. Uma estratégia abrangente pode reduzir significativamente o esforço necessário para gerenciar identidades digitais em uma grande rede, implementando padrões, reduzindo o número de armazenamentos de identidades, estabelecendo relações de confiança, delegando a administração e melhorando a experiência de logon do usuário e, ao mesmo tempo, reforçando a segurança.

Uma estratégia organizacional para o gerenciamento de acesso e identidades precisa incluir respostas bem-definidas para as seguintes perguntas:

  • Quais são os benefícios que as iniciativas de gerenciamento de acesso e identidades devem produzir?

  • Quais desafios devem ser superados por cada iniciativa?

  • Quais fatores organizacionais específicos devem ser resolvidos?

  • Quais projetos e soluções de negócios e de tecnologia são necessários para oferecer suporte a cada iniciativa?

Sua organização precisa ter uma idéia clara dos benefícios específicos que as iniciativas de aprimoramento do gerenciamento de acesso e identidades devem oferecer. Sem essa visão orientadora, o resultado não oferecerá melhorias concretas e, provavelmente, levará a um sistema mais complexo e ineficiente.

Ao avaliar os benefícios potenciais, não ignore os desafios da implementação de uma solução tecnológica específica. Deve haver um equilíbrio entre os benefícios esperados e o tamanho e a complexidade de cada solução.

Nesta página

Terminologia do gerenciamento de acesso e identidades
Requisitos comerciais
Iniciativas em uma estratégia de gerenciamento de acesso e identidades

Terminologia do gerenciamento de acesso e identidades

Os seguintes termos descrevem componentes ou processos dentro do gerenciamento de acesso e identidades. Os documentos restantes desta série usam e expandem esses termos.

  • Identidade digital. O identificador exclusivo e os atributos descritivos de uma pessoa, um grupo, um dispositivo ou um serviço. Os exemplos incluem contas de usuário e de computador no Active Directory, contas de email no Microsoft Exchange Server 2003, entradas de usuários em uma tabela de banco de dados e credenciais de logon para um aplicativo personalizado.

  • Credencial. Normalmente, uma parte das informações relacionadas a ou derivadas de um segredo que uma identidade digital possui, embora segredos não estejam envolvidos em todos os casos. Exemplos de credenciais incluem senhas, certificados X.509 e informações biométricas.

  • Entidade de segurança. Uma identidade digital com uma ou mais credenciais que pode ser autenticada e autorizada para interagir com a rede.

  • Armazenamento de identidades. Um repositório que contém identidades digitais. Os armazenamentos de identidades são normalmente algum tipo de diretório ou banco de dados gerenciado e acessado por meio de um provedor como o Active Directory ou o Microsoft SQL Server. Os armazenamentos de identidades podem ser centralizados, como em um computador mainframe, ou distribuídos. O Active Directory é um exemplo de um armazenamento de identidades distribuído. Geralmente, eles têm esquemas bem-definidos de quais informações podem ser armazenadas e em qual formato elas podem ser gravadas. Normalmente, eles incorporam alguma forma de criptografia ou algoritmo de hash para proteger o armazenamento e os componentes da identidade digital, como as credenciais. Armazenamentos de identidades mais antigos e personalizados não têm esses mecanismos rígidos de segurança e podem armazenar senhas em texto não criptografado (sem formatação).

  • Sincronização de identidades. Uma forma de garantir que vários armazenamentos de identidades contenham dados consistentes para uma determinada identidade digital. Esse processo pode ser obtido usando-se métodos de programação, como scripts, ou por meio de um produto dedicado, como o MIIS 2003 SP1.

  • Serviços de integração de identidades. Serviços que agregam, sincronizam e permitem a configuração e a desconfiguração centralizadas de informações de identidades entre vários armazenamentos de identidades conectados. O MIIS 2003 SP1 e o Identity Integration Feature Pack 1a (IIFP) para Active Directory fornecem serviços de integração de identidades.

  • Configuração. O processo de adicionar identidades a um armazenamento de identidades e de estabelecer credenciais e direitos iniciais para elas. A desconfiguração funciona de maneira oposta, resultando na exclusão ou desativação de uma identidade. A configuração e a desconfiguração normalmente funcionam com serviços de integração de identidades para propagar adições, exclusões e desativações para armazenamentos de identidades conectados.

  • Gerenciamento do ciclo de vida de identidades. Os processos e as tecnologias que mantêm as identidades digitais atualizadas e consistentes com diretivas reguladoras. O gerenciamento do ciclo de vida de identidades inclui sincronização, configuração, desconfiguração de identidades e o gerenciamento constante de atributos, credenciais e direitos de usuários.

  • Autenticação. Um processo que verifica as credenciais de uma entidade de segurança em relação aos valores em um armazenamento de identidades. Os protocolos de autenticação, como o Kerberos versão 5, o SSL (Secure Sockets Layer), o NTLM e a autenticação Digest protegem o processo de autenticação e impedem a interceptação de credenciais.

  • Direito. Um conjunto de atributos que especificam as permissões e os privilégios de acesso de uma entidade de segurança autenticada. Por exemplo, os grupos de segurança e as permissões de acesso do Windows são direitos.

  • Autorização. O processo de resolver os direitos de um usuário com as permissões configuradas em um recurso para controlar o acesso. A autorização no sistema operacional Windows envolve ACLs (listas de controle de acesso) de arquivos, pastas, compartilhamentos e objetos de diretório. Aplicativos como o SQL Server, o SharePoint® Portal Server e o Exchange Server implementam mecanismos de controle de acesso nos recursos que eles gerenciam. Desenvolvedores de aplicativos podem implementar um controle de acesso baseado em função usando funções do Gerenciador de Autorização do Windows ou do ASP.NET.

  • Relação de confiança. Um estado que descreve os acordos entre diferentes partes e sistemas a fim de compartilhar informações de identidades. Normalmente, uma relação de confiança é usada para estender o acesso a recursos de uma maneira controlada e, ao mesmo tempo, eliminar a administração que, de outra forma, seria necessária para gerenciar as entidades de segurança da outra parte. Mecanismos de confiança incluem relações de confiança entre florestas no Windows Server 2003 e relações de confiança entre territórios que estejam usando o protocolo de autenticação Kerberos versão 5.

  • Federação. Um tipo especial de relação de confiança entre organizações distintas estabelecidas além dos limites da rede interna.

  • Auditoria de segurança. Um processo que registra em log e resume eventos e alterações de autenticação e autorização em objetos de identidade. A definição de eventos significativos difere entre as organizações. Os registros de auditoria de segurança podem ser gravados no log de eventos de segurança do Windows.

  • Gerenciamento de acesso. Os processos e as tecnologias destinados a controlar e monitorar o acesso a recursos de forma consistente com as diretivas reguladoras. O gerenciamento de acesso inclui autenticação, autorização, relações de confiança e auditoria de segurança.

Requisitos comerciais

Avanços recentes na área de computação distribuída, especialmente através da Internet, resultaram em uma proliferação de aplicativos e de outros mecanismos para acessar informações em uma organização típica. Ao mesmo tempo, as organizações desejam fornecer acesso seguro a ativos de informações para funcionários, parceiros e clientes e, ao mesmo tempo, continuar a crescer, reduzindo custos de acesso, fortalecendo a segurança e cumprindo com requisitos reguladores.

O acesso seguro a ativos de informações deve ser fornecido dentro de ambientes de TI cada vez mais complexos. Aplicativos personalizados ou empacotados normalmente têm seus próprios sistemas de autenticação e autorização, bem como ferramentas de gerenciamento para criar e gerenciar contas de usuários que não se integram com uma plataforma abrangente de gerenciamento de acesso e identidades. Esses aplicativos normalmente resultam em ilhas não conectadas de informações de identidades digitais e em uma maior complexidade.

Com esses sistemas complexos e difíceis de gerenciar, os funcionários de TI tem dificuldades para fornecer acesso a ativos de informações e atender aos requisitos comerciais das organizações para as quais trabalham. Uma infra-estrutura de gerenciamento de acesso e identidades executada corretamente e baseada em uma plataforma sólida de gerenciamento de acesso e identidades pode ajudar a equipe de TI a atender a esses requisitos comerciais.

Reduzindo o custo total de propriedade

Se uma organização não implementar mecanismos bem-projetados, automatizados e auditáveis que imponham o controle de acesso, a implementação e a manutenção de uma diretiva de gerenciamento de acesso abrangente serão dispendiosas. Os números a seguir foram obtidos da pesquisa realizada em 2002 pela PricewaterhouseCoopers/Meta Group e intitulada "The Value of Identity Management" (O valor do gerenciamento de identidades), que está disponível no site da empresa, no endereço http://www.pwcglobal.com. Esses números incluem exemplos primários de custos associados ao gerenciamento de identidades digitais.

  • Logon e autenticação. A redução da quantidade de tempo gasto para fazer logon em diferentes sistemas pode melhorar significativamente a produtividade dos funcionários que lidam com conhecimento. O usuário médio gasta 16 minutos por dia autenticando e fazendo logon. Para uma grande organização (definida na pesquisa como tendo 10.000 usuários), isso é equivalente a 2.666 horas ou 1,3 FTE (equivalente em tempo integral) anos por dia.

  • Gerenciando o ciclo de vida de identidades. É essencial que a equipe de TI de uma organização se concentre em tarefas importantes para fornecer disponibilidade de recursos e garantir a segurança da rede. O tempo gasto gerenciando identidades por meio de mecanismos ineficientes poderia ser gasto de maneira mais eficaz com tarefas mais importantes. O tempo médio gasto para gerenciar usuários, armazenamentos de usuários e o controle de autenticação e acesso é de 54.180 horas por ano. Uma melhoria de 25 por cento em eficiência equivaleria a 13.545 horas (ou 6,7 FTEs) para uma grande organização.

  • Redefinições de senha. 45% das chamadas de assistência técnica são para redefinições de senha. A automatização de redefinições de senha reduz aproximadamente um terço do volume dessas chamadas. Para uma organização com 10.000 usuários, isso equivale a uma economia de custo anual estimada de US$ 648.000.

  • Dados duplicados. A eliminação de dados de identidade duplicados pode simplificar os processos de administração e reduzir o custo total de propriedade. 38% dos usuários externos e 75% dos usuários internos estão contidos em múltiplos armazenamentos de dados. A previsão da economia de tempo média para o gerenciamento centralizado e consolidado do armazenamento de usuários é igual a 1.236 horas por ano em grandes organizações.

As organizações que resolvem seus problemas de gerenciamento de acesso e identidades podem reduzir significativamente o custo total de propriedade. Mesmo pequenas alterações, como a redução do número de chamadas para a assistência técnica para redefinições de senha, podem produzir grandes aumentos na produtividade dos usuários finais e dos operadores de assistência técnica.

Melhorando a segurança

Segurança não é a apenas uma questão de quem ou o que você não deixa entrar. Ela também é uma questão de quem ou o que você permite entrar e o nível de acesso concedido. Funcionários, prestadores de serviços, clientes e parceiros de negócios têm necessidades diferentes de acesso a dados e aplicativos. É crucial que as organizações definam e implementem uma diretiva de gerenciamento de acesso que permita que apenas usuários especificamente autorizados acessem informações confidenciais.

Segurança também é uma questão de gerenciamento operacional efetivo. Processos inadequados de gerenciamento que afetam as contas de funcionários, parceiros e clientes podem resultar em riscos maiores de segurança. Por exemplo, o gerenciamento de contas de milhões de clientes online pode sobrecarregar sistemas de gerenciamento de contas de usuários convencionais. As organizações também não têm o mesmo conhecimento e controle sobre funcionários de parceiros que têm sobre as contas de seus próprios funcionários.

O gerenciamento controlado de acesso e identidades permite que as organizações estendam o acesso a seus sistemas de informações sem comprometer a segurança. As organizações fornecem esse acesso estendido gerenciando direitos de maneira precisa e modificando ou encerrando permissões de acesso prontamente.

Normalmente, as seguintes atividades de segurança estão associadas ao gerenciamento de acesso e identidades:

  • Aumento da imposição de diretivas de contas. É possível aumentar a segurança gerenciando contas de acordo com padrões predefinidos. A imposição de diretivas de contas define regras e procedimentos para a implementação de medidas avançadas de segurança. Alguns exemplos são exigir que os administradores usem cartões inteligentes e garantir que todos os usuários tenham senhas complexas e as alterem com freqüência.

  • Remoção de contas obsoletas. A segurança dos computadores pode ser melhorada significativamente removendo contas obsoletas de maneira oportuna. As organizações devem desabilitar contas de funcionários, prestadores de serviços, parceiros e clientes quando essas contas não forem mais necessárias. Se elas não forem desabilitadas, os titulares originais das contas poderão usá-las de maneira inapropriada para obter acesso não autorizado aos sistemas. Contas obsoletas são alvos atraentes para usuários mal-intencionados e invasores, pois é provável que eles tenham credenciais estáticas desatualizadas, e qualquer uso inapropriado ou comprometimento potencial da conta terá pouca probabilidade de ser percebido.

  • Aperfeiçoamento da proteção de dados do aplicativo. Para atender aos requisitos de segurança organizacionais, os aplicativos devem transferir dados por meio de mecanismos seguros. Dados confidenciais devem exigir autenticação e autorização apropriadas antes de poderem ser acessados e devem ser protegidos na rede para impedir que sejam interceptados (detectados) por invasores.

  • Implementação de autenticação forte. As técnicas e credenciais de autenticação usadas normalmente podem não fornecer o nível de segurança necessário para aplicativos e dados críticos. A Microsoft recomenda o uso de mecanismos de autenticação forte, como o protocolo Kerberos versão 5 e tecnologias de PKI (infra-estrutura de chave pública) quando possível para melhorar a segurança geral dos recursos de computação.

  • Gerenciamento de credenciais com serviços de diretório. Embora os serviços de diretório tenham muitos usos em uma organização, eles podem fornecer benefícios específicos de segurança. Por exemplo, métodos de autenticação avançados, como cartões inteligentes e biometria, podem melhorar muito o nível de segurança da organização. Infelizmente, esses sistemas também apresentam complexidade e dados adicionais sobre usuários que devem ser rigorosamente mantidos e acessados centralmente. A implantação desses sistemas é mais fácil quando uma infra-estrutura robusta de diretório está estabelecida.

  • Aprimoramento de autorizações. A autorização deve ser flexível o bastante para fornecer acesso geral e preciso a recursos. Por exemplo, o acesso geral permite que todos os funcionários tenham acesso a um aplicativo específico, enquanto um acesso preciso permite que apenas funcionários do departamento de vendas executem uma determinada operação em um aplicativo entre 9:00 e 17:00 horas. Os usuários devem ser mapeados logicamente para suas funções, como administrador do banco de dados, operador de assistência técnica ou usuário do aplicativo, dentro do contexto de uma organização ou aplicativo.

  • Gerenciamento de direitos por meio de configuração. Um sistema de configuração implementado corretamente impõe a aplicação consistente de diretivas para a solicitação e aprovação de direitos. A imposição é mais fácil quando todas as unidades de negócios podem seguir facilmente o mesmo processo. Um sistema de configuração também fornece uma trilha de auditoria que registra o momento em que decisões e aprovações foram feitas e por quem.

  • Implementação do gerenciamento do ciclo de vida de identidades. O processo de gerenciamento do ciclo de vida de identidades ajuda a manter os direitos de usuários atualizados conforme o andamento de suas carreiras. Por exemplo, se um funcionário mudar de Finanças para Marketing, o processo de gerenciamento do ciclo de vida de identidades poderá encerrar e remover o acesso do funcionário a aplicativos financeiros e fornecer acesso a aplicativos de marketing. Os processos de gerenciamento do ciclo de vida de identidades podem ser manuais ou automatizados. Processos automatizados normalmente aumentam o nível de segurança de uma organização, removendo e concedendo acesso de uma maneira mais imediata e, se necessário, garantindo que as duas operações ocorram ao mesmo tempo.

  • Gerenciamento de grupos. Boas práticas de segurança requerem que as organizações mantenham o controle de associações de grupos por meio de um gerenciamento efetivo de grupos. A associação de grupos pode fornecer permissões e privilégios de acesso; portanto, é importante garantir que cada grupo contenha apenas as contas corretas. Os sistemas de gerenciamento de acesso e identidades podem atribuir contas de usuários aos grupos corretos ou criar grupos dinâmicos dependentes dos atributos de uma conta e, em seguida, configurar esses grupos em serviços de diretório e sistemas de email.

  • Redução da superfície de ataque. Vários armazenamentos de identidades apresentarão um risco maior de comprometimento de contas de usuários se cada armazenamento não for gerenciado de acordo com um alto padrão comum. De maneira semelhante, uma variedade de mecanismos de autenticação normalmente significa que as ameaças a todo o sistema são menos conhecidas e mais difíceis de minimizar. A redução do número total de sistemas e mecanismos de segurança significa que os remanescentes podem ser mais bem gerenciados e protegidos.

  • Facilidade para fazer a coisa certa. O SSO (logon único) facilita o cumprimento da diretiva de senha de uma organização pelos usuários. Quando precisam lembrar e gerenciar várias senhas, é natural que as pessoas criem senhas simples ou anotem senhas complexas que podem ficar desprotegidas na área de trabalho.

Aperfeiçoando o acesso

Para melhorar o acesso a ativos de informações, as tecnologias de gerenciamento de acesso e identidades devem atender aos seguintes requisitos:

  • Permitir produtividade imediata aos funcionários e acesso a ativos de informações por meio da configuração de contas e hardware.

  • Permitir que os funcionários sejam mais produtivos, oferecendo acesso remoto a aplicativos-chave fora do ambiente da rede interna da organização.

  • Permitir que parceiros participem diretamente de aplicativos comerciais de uma maneira gerenciada e controlada, simplificando processos que ultrapassam os limites da organização.

  • Atrair clientes por meio de informações personalizadas e fornecendo a habilidade de solicitar produtos e serviços online. Melhorar a experiência do usuário e aumentar a satisfação do cliente para melhorar a lucratividade.

  • Permitir economias implementando a federação, o que abrange uma oportunidade de crescimento dos negócios para trabalhar com parceiros diretamente sem precisar enfrentar a carga de gerenciar identidades e credenciais da equipe participante do parceiro.

Ao resolver esses requisitos de gerenciamento de acesso e identidades, as organizações podem obter uma maior produtividade dos funcionários, reduzir custos e melhorar a integração dos negócios.

Garantindo a conformidade com as normas

A identidade tornou-se rapidamente um ponto crucial de muitas diretivas governamentais e reguladoras. Essa ênfase é o resultado do crescente foco sobre privacidade, à medida que mais informações pessoais são armazenadas em sistemas de informações. O controle de acesso a informações de clientes e funcionários não é apenas uma boa prática de negócios. Uma organização que falha nessa área está sujeita a obrigações financeiras e legais significativas.

A conformidade com a integridade ou o isolamento dos dados agora é obrigatória. As organizações localizadas nos Estados Unidos podem precisar atender aos requisitos de uma ou mais das seguintes leis:

  • Lei Sarbanes-Oxley (The Public Company Accounting Reform and Investor Protection Act).

  • Lei Gramm-Leach-Bliley (Financial Services Modernization Act).

  • Lei HIPAA (Health Information Portability and Accountability Act).

Como um exemplo de como essas regulamentações afetam as organizações, a Regra de segurança da HIPAA tem diretrizes restritas sobre como as organizações de saúde podem manipular informações pessoais de saúde. Essas diretrizes incluem áreas como controles apropriados de auditoria, gerenciamento de acesso e autorização. Uma infra-estrutura efetiva de gerenciamento de acesso e identidades associa de maneira precisa os registros de pacientes em diferentes sistemas de informações aos pacientes corretos. Além disso, essa infra-estrutura faz auditoria do acesso aos registros e autentica as identidades das pessoas que os examinam.

As organizações dos Estados Unidos não são as únicas e enfrentar uma regulamentação cada vez mais rígida, conforme demonstrado por estatutos, como a Diretiva de proteção de dados da União Européia de 1998 e a PIPEDA (Personal Information Protection and Electronic Documents Act) do Canadá, que impõem diretivas estritas com relação a informações de identidades. Também existem muitas leis locais que determinam como os dados relacionados a identidades devem ser armazenados e usados.

A conformidade com as normas garante que as organizações atendam aos requisitos aplicáveis de privacidade, autenticação, autorização e auditoria exigidos por qualquer uma ou todas as regulamentações aplicáveis.

Acomodando fusões e aquisições

A integração de sistemas de gerenciamento de acesso e identidades de uma organização que passou por uma fusão ou adquiriu outra organização apresenta desafios e oportunidades exclusivos. Para maximizar o valor da nova organização, a equipe de TI deve usar padrões comuns para combinar os dados e informações das organizações recém-fundidas e torná-los disponíveis para os funcionários o mais rápido possível.

A integração de sistemas de acesso e identidades é importante principalmente para fornecer a todos os funcionários da nova organização o nível apropriado de acesso aos dados consolidados. Além disso, armazenamentos de identidades redundantes e processos de gerenciamento que não são mais necessários para a nova organização devem ser consolidados para manter razoáveis os custos de administração.

Os desafios de TI durante fusões e aquisições incluem:

  • Tornar os armazenamentos de identidades das duas organizações compatíveis.

  • Combinar contas de cada sistema em um sistema consolidado.

  • Usar federação para unir sistemas de gerenciamento de acesso e identidades por meio de relações de confiança.

  • Sincronizar armazenamentos de identidades, o que normalmente é uma solução de curto prazo aceitável quando a consolidação imediata de diferentes sistemas não é viável durante uma fusão ou aquisição.

  • Atualizar diretivas de segurança para incorporar e cumprir com novos requisitos reguladores que surgem como resultado da fusão ou aquisição.

Iniciativas em uma estratégia de gerenciamento de acesso e identidades

Cada organização terá diferentes estímulos comerciais para determinar e implementar uma estratégia de gerenciamento de acesso e identidades. Para garantir a maior probabilidade de sucesso, a estratégia deve ser alinhada com os objetivos comerciais para orientar os resultados dos negócios. As prioridades do projeto devem considerar o seguinte:

  • Resultados rápidos melhoram o patrocínio executivo. Obtenha alguns resultados rápidos e de baixo custo para criar ímpeto e reforçar a aprovação gerencial.

  • Resolva as áreas de alto risco no início. Problemas de segurança normalmente são as principais preocupações dos negócios e devem ser resolvidos o mais rapidamente possível.

  • Padrões e infra-estrutura normalmente são pré-requisitos para outras iniciativas. Dependendo dos investimentos anteriores, o estabelecimento de padrões por meio de diretiva e da infra-estrutura para oferecer suporte a eles podem envolver custos e esforços significativos. No entanto, o investimento é válido considerando que o sucesso da maioria dos outros projetos depende disso.

Cada organização que contempla uma estratégia de gerenciamento de acesso e identidades terá uma combinação exclusiva de objetivos e prioridades a serem considerados. As seções a seguir discutem algumas das iniciativas mais comuns, cada uma das quais é composta por um ou mais projetos de negócios e de tecnologia, incluindo:

  • Estabelecer diretivas de segurança e acesso.

  • Estabelecer serviços de diretório e padrões de segurança.

  • Implementar a agregação e sincronização de identidades.

  • Automatizar a configuração e desconfiguração.

  • Fornecer o gerenciamento efetivo de grupos.

  • Consolidar armazenamentos de identidades.

  • Fornecer gerenciamento e sincronização de senhas.

  • Habilitar a interoperabilidade e o logon único.

  • Fortalecer os mecanismos de autenticação.

  • Melhorar o acesso para funcionários, clientes e parceiros.

  • Estabelecer diretivas de auditoria de segurança.

  • Atualizar padrões de aquisição de software.

  • Estabelecer padrões de desenvolvimento de software para uso de identidades.

  • Desenvolver e migrar aplicativos com reconhecimento de identidades.

Estabelecendo diretivas de segurança e acesso

Muitas diretivas de segurança organizacionais por escrito que envolvem pessoas, processos e elementos de tecnologia podem ser implementadas diretamente em serviços de diretório, mas outras são controladas por processos e sistemas específicos que têm a capacidade de impor a diretiva de segurança. As diretivas de acesso da organização podem especificar em um nível global as regras comerciais relativas ao acesso a aplicativos ou grupos de aplicativos específicos. Essas diretivas de acesso normalmente são definidas em termos de função, recurso, operação e restrições.

Exemplos de diretivas de segurança e acesso e das regras dentro delas incluem:

  • Diretivas de gerenciamento de contas que podem estabelecer que contas obsoletas devem ser removidas regularmente dos armazenamentos de identidades.

  • Diretivas de senhas que podem declarar que senhas de contas devem ser alteradas com regularidade e que as senhas devem ter um determinado comprimento e complexidade mínimos.

  • Diretivas de auditoria de segurança que podem definir quais ações devem ser relatadas.

  • Diretivas de privacidade que podem definir "o direito de ser deixado em paz" (liberdade contra comunicação não desejada, como spam) e regras de privacidade de informações (a habilidade de as pessoas controlarem a coleta e o uso de suas informações pessoais).

  • Diretivas de gerenciamento de acesso que podem sustentar que:

    • O acesso à VPN requer um cartão inteligente ou outra autenticação de multifatores.

    • Aplicativos específicos exigem autenticação biométrica.

    • O acesso à extranet para determinados sistemas é restrito a usuários autenticados e imposto por serviços de firewall de borda.

    • O logon do administrador do domínio exige um cartão inteligente.

    • Conexões de computador com sistemas de alto valor exigem o uso da criptografia IPSec.

    • Restrições operacionais são executadas, como "saques podem ser iniciados em contas de clientes por caixas apenas entre 9:00 e 17:00 horas".

Benefícios

Os benefícios potenciais do estabelecimento de diretivas de segurança e acesso incluem:

  • Maior segurança dentro da organização.

  • Maior segurança para sistemas específicos de alto valor.

  • Auditorias de segurança aperfeiçoadas.

  • Garantia de conformidade com as normas.

Desafios

Os desafios do estabelecimento de diretivas de segurança e acesso incluem:

  • Estabelecimento dos requisitos apropriados de segurança para cada cenário de acesso.

  • Implementação de diretivas com as tecnologias escolhidas, reconhecendo quaisquer restrições e limitações.

  • Enfrentar os aumentos na sobrecarga de gerenciamento e na eficiência reduzida que uma segurança mais rígida sem automação pode gerar.

  • Operação de mecanismos de segurança mais complexos.

  • Gerenciamento de requisitos de segurança conflitantes.

Estabelecendo serviços de diretório e padrões de segurança

Seja usando o Active Directory ou um programa alternativo, ter um serviço de diretório padrão é o primeiro passo para habilitar o gerenciamento de acesso e identidades. No entanto, as organizações sempre descobrem que é necessário ter mais de um serviço de diretório. Fusões, aquisições e opções de aplicativos podem introduzir dois, três ou mais serviços de diretório em uma organização. Uma estratégia eficaz de gerenciamento de acesso e identidades consolida esses serviços em um número mínimo de armazenamentos de identidades que coletivamente se tornam os serviços de diretório padrão da organização.

Os serviços de diretório podem impor padrões de diretivas de segurança, mas as organizações podem encontrar diferenças consideráveis em suas operações internas. Por exemplo, uma aquisição pode ter trazido um departamento com um serviço de diretório separado e uma diretiva de segurança diferente do serviço de diretório existente na organização. Como padrões de segurança relacionados a identidades normalmente estão intimamente integrados com serviços de diretório, eles devem ser discutidos em conjunto.

O estabelecimento de padrões de serviço de diretório e segurança é um pré-requisito necessário para estabelecer padrões de desenvolvimento e aquisição de aplicativos, mantendo custos reduzidos de gerenciamento e estendendo o acesso de uma maneira segura.

Benefícios

Os benefícios potenciais do estabelecimento de serviços de diretório padrão e padrões de segurança unificados incluem:

  • Redução da sobrecarga administrativa.

  • Configuração simplificada.

  • Maior segurança dentro da organização.

Desafios

Os desafios do estabelecimento de serviços de diretório padrão e padrões de segurança unificados são consideráveis e podem incluir:

  • Aplicativos e plataformas LOB (de linha de negócios) com necessidades específicas de diretório.

  • Diretivas de segurança incompatíveis que não podem ser alinhadas.

  • Problemas dentro da organização, como os relacionados à autonomia departamental.

  • Requisitos reguladores para a definição de limites de gerenciamento e informações dentro das organizações, como no caso de instituições financeiras (por exemplo, manter atividades bancárias pessoais separadas de atividades de seguro).

  • Descobrir um protocolo de autenticação comum que possa ser usado por aplicativos e armazenamentos de identidades existentes em toda a organização.

  • Apresentação de direitos em um formato comum que possa ser consumido por diferentes aplicativos e sistemas em toda a organização.

O documento "Plataforma e infra-estrutura" desta série fornece mais informações sobre como estabelecer um serviço de diretório e padrões de segurança.

Implementando a agregação e sincronização de identidades

Em muitos casos, não é prático migrar armazenamentos de identidades e aplicativos para um serviço de diretório padrão. No entanto, sempre é possível reduzir custos de gerenciamento e minimizar a perda de produtividade integrando esses sistemas para compartilharem informações de identidades e criarem e manterem os mesmos direitos por meio de diretivas comuns.

A agregação de identidades abrange essa ligação de várias identidades digitais de vários armazenamentos de identidades. Sem a agregação de identidades, não há como reconhecer que “Li, George Z.” no sistema de recursos humanos é a mesma pessoa que “George Li” na intranet e “G. Li” no diretório de email. A agregação e a sincronização de identidades permite que sua organização crie e mantenha uma identidade digital em sua totalidade por meio de serviços de integração de identidades, como aqueles fornecidos pelo MIIS 2003 SP1.

Benefícios

Os benefícios da agregação e sincronização de identidades incluem:

  • Redução da sobrecarga administrativa relacionada à ligação de informações de identidades espalhadas entre vários armazenamentos de identidades.

  • Aumento das informações de negócios fornecidas a partir de uma visão unificada de todas as identidades digitais da organização.

  • Melhor administração de identidades em um único armazenamento.

Desafios

Os desafios específicos associados à agregação de vários armazenamentos de identidades incluem:

  • Descoberta de todos os armazenamentos de identidades gerenciados na organização.

  • Decisão de agregar armazenamentos de identidades e sincronizar informações.

  • Escolha de quais atributos são de propriedade de quais armazenamentos de identidades.

  • Obtenção de colaboração interdepartamental entre recursos humanos, TI, departamento jurídico e outras divisões de negócios participantes.

  • Determinação de uma origem oficial dos vários atributos que formam a identidade digital usada em toda a organização.

  • Criação de uma visão global de informações de identidades da organização.

  • Auditoria de alterações por meio de uma visão global de todas as informações de identidades da organização.

  • Sincronização de informações de identidades entre diferentes armazenamentos de identidades dentro da organização.

O documento "Agregação e sincronização de identidades" desta série fornece mais informações sobre este tópico.

Automatizando a configuração e desconfiguração

As organizações desejam que os novos funcionários e prestadores de serviços se tornem produtivos o mais rápido possível. Elas não podem permitir que a equipe passe horas, dias ou mesmo semanas esperando para obter acesso a aplicativos.

A configuração automatizada pode usar uma nova entrada de um armazenamento de identidades e criar entradas correspondentes em cada um dos armazenamentos de identidades gerenciados. A desconfiguração funciona de maneira oposta, observando uma alteração em um armazenamento, como a desabilitação de uma conta, e, em seguida, propagando essa alteração para outros armazenamentos de identidades. Portanto, a alteração de um valor em um único campo em um dos armazenamentos de identidades conectados (como a alteração do status de um funcionário de "funcionário" para "ex-funcionário" no sistema de RH) pode desabilitar ou excluir uma série de identidades digitais em vários armazenamentos em minutos.

Benefícios

Os benefícios da configuração e desconfiguração automatizadas incluem:

  • Custos reduzidos através da criação e exclusão automáticas de contas em vários armazenamentos de identidades.

  • Maior produtividade, reduzindo o tempo necessário para criar contas, senhas e direitos de acesso para novos funcionários.

  • Geração automatizada dos atributos necessários, como nomes de caixas de correio e de contas.

  • Gerenciamento mais fácil de associação de grupos.

  • Gerenciamento de funções simplificado.

  • Maior segurança, garantindo que os direitos de acesso de funcionários que saem da organização sejam removidos imediatamente.

Desafios

Os desafios da configuração e desconfiguração automatizadas incluem:

  • Determinação do processo de negócios que leva à configuração.

  • Determinação de quais departamentos e aprovações são necessários para configurar novas contas.

  • Resolução de atrasos do processo de negócios que afetam a configuração imediata e a desconfiguração segura.

  • Substituição de tarefas manuais existentes por processos automatizados que incluem fluxo de trabalho e auditoria.

  • Configuração de identidades digitais em vários armazenamentos de identidades.

  • Criação e o gerenciamento de um conjunto de direitos consistente para usuários entre aplicativos com diferentes armazenamentos de identidades ou mecanismos de autorização.

  • Coleta rápida das informações necessárias para garantir a configuração imediata.

Automatizando o gerenciamento de grupos

O gerenciamento de grupos permite a configuração e desconfiguração automatizadas. As organizações normalmente usam grupos de distribuição para distribuir emails e grupos de segurança para agrupar usuários com direitos semelhantes de maneira conveniente.

Quando os funcionários entram em uma organização, suas contas de usuário devem entrar automaticamente nos grupos de distribuição e de segurança que são necessários para a execução de seus trabalhos. Além disso, as organizações podem criar grupos com base em valores comuns de atributos, como "Todos os usuários de Kansas". A criação manual de grupos baseados em atributos consome muito tempo e está sujeita a erros; portanto, a criação e atribuição automáticas de grupos são componentes desejáveis do gerenciamento de acesso e identidades.

Benefícios

Os benefícios do gerenciamento automático de grupos incluem:

  • Maior segurança resultante de maior controle de associações e direitos de grupos.

  • Atribuição de funcionários aos grupos corretos durante a configuração.

  • Remoção de contas de grupos quando os usuários saem da organização, mudam de função ou mudam de um departamento para outro.

  • Criação de grupos baseados em consulta, como listas de distribuição de todos os funcionários diretos de um gerente específico.

Desafios

Os desafios do gerenciamento automático de grupos incluem:

  • Identificação dos grupos de segurança e distribuição apropriados.

  • Padronização de valores de atributos para evitar a criação desnecessária de grupos baseados em consulta.

  • Implementação de um processo de auditoria adequado para controlar a criação e associação de grupos.

  • Conformidade com requisitos reguladores.

Consolidando armazenamentos de identidades

Além da agregação e sincronização de dados de identidades está a redução do número de armazenamentos de identidades em uso. Por exemplo, se uma organização tiver dois aplicativos que usam o protocolo LDAP para autenticação e autorização, ela poderá combinar esses armazenamentos separados em um único armazenamento.

Dados de identidade podem ser sincronizados e gerenciados entre armazenamentos de identidades por meio de mecanismos amplamente automatizados. No entanto, a manutenção desses mecanismos e as exceções que quase certamente ocorrerão geram um aumento da sobrecarga de gerenciamento e um aumento da superfície de ataques de segurança.

Benefícios

Os benefícios da consolidação dos armazenamentos de identidades incluem:

  • Redução da sobrecarga de gerenciamento.

  • Redução do custo total de propriedade com a eliminação de servidores e licenças.

  • Menos requisitos de manutenção do servidor.

  • Atualizações de hardware e software menos onerosas.

  • Implantação mais fácil de aplicativos.

Desafios

Os desafios da consolidação de identidades incluem:

  • Criação de um esquema de agregação em um único armazenamento de identidades.

  • Diferenças entre implementações de LDAP ou de outros protocolos em diferentes armazenamentos de identidades.

  • Migrações de aplicativos.

Fornecendo gerenciamento e sincronização de senhas

O gerenciamento e a sincronização de senhas leva o processo de agregação de identidades ainda mais longe. O gerenciamento de senhas envolve várias áreas, como o estabelecimento e a imposição de diretivas de senhas e a alteração ou redefinição de senhas. Em seguida, a sincronização de senhas propaga essas alterações de senhas para todos os armazenamentos de identidades conectados. Por exemplo, o gerenciamento e a sincronização de senhas pode permitir que os usuários alterem suas senhas de logon na rede, credenciais de contas do SAP, credenciais de email e senhas do site de colaboração da extranet em uma única operação. A sincronização de senhas permite o agrupamento, com diretivas de senhas fortes em sistemas críticos e diretivas mais fracas em outros sistemas que não podem lidar com os padrões modernos de senhas fortes.

Benefícios

Os benefícios do gerenciamento e da sincronização de senhas incluem:

  • Custos reduzidos de administração e suporte, já que a equipe da assistência técnica não precisa redefinir senhas de usuários para vários armazenamentos de identidades.

  • Maior segurança com a limitação do número de senhas que precisam ser lembradas pelos usuários e a redução da probabilidade de que os usuários façam anotações de senhas.

  • Maior segurança resultante da aplicação consistente da diretiva de senha com relação a elementos da diretiva, como requisitos de comprimento e de complexidade de senhas.

  • Redução do tempo ocioso enquanto os usuários aguardam a assistência técnica redefinir suas senhas.

Desafios

Os desafios do gerenciamento e da sincronização de senhas incluem:

  • Estar de acordo com as várias diretivas de senhas que apresentam diferentes critérios de comprimento e complexidade.

  • Lidar com intervalos de expiração e histórico de senhas em várias plataformas.

  • Determinar quais sistemas não devem ser envolvidos na propagação de senhas devido a armazenamentos de identidades ou técnicas de autenticação sem segurança e outros pontos fracos.

  • Captura de alterações de senhas de várias plataformas, se necessário.

  • Conexão e transmissão de senhas atualizadas de maneira segura para armazenamentos de identidades de destino.

  • Garantir que os usuários são quem dizem ser quando solicitam uma redefinição de senha.

  • Ter certeza de que as senhas redefinidas são enviadas com segurança para o usuário final.

  • Lidar com aplicativos e serviços que têm senhas embutidas em código ou configuradas localmente.

O documento "Gerenciamento de senhas" desta série fornece mais informações sobre este tópico.

Habilitando a interoperabilidade e o logon único

Os cenários de interoperabilidade entre plataformas variam muito de uma organização para outra, uma vez que cada uma precisa ter uma combinação exclusiva de serviços de diretório, bancos de dados, aplicativos e armazenamentos de identidades associados para integração.

Os métodos de interoperabilidade e SSO (logon único) incluem:

  • Integração com o sistema operacional de servidor (usado por produtos como o Microsoft Exchange Server 2003 e o SQL Server 2000).

  • Uso de um protocolo de autenticação seguro baseado em padrões, como o protocolo de autenticação Kerberos versão 5.

  • Uso de autenticação LDAP e autorização para aplicativos ou plataformas que não oferecem suporte ao protocolo Kerberos versão 5.

  • Uso de mapeamento de credenciais e do SSO corporativo (usado por produtos como o Microsoft BizTalk® Server 2004, o SharePoint Portal Server 2003 e o Host Integration Server 2004).

  • Sincronização de nomes de usuários e propagação de senhas entre várias plataformas e aplicativos. Esse método não fornece um SSO verdadeiro, mas reduz a necessidade de os usuários lembrarem vários nomes e senhas de usuário. Ele é habilitado por meio de aprimoramentos da sincronização de identidades e do gerenciamento de senhas.

  • Implementação do SSO da Web para cenários de intranet e extranet.

Benefícios

Os benefícios da interoperabilidade e do logon único incluem:

  • Simplificação da implantação de aplicativos.

  • Obtenção de padrões mais altos para autenticação e segurança de dados na rede.

  • Redução do tempo gasto pelos usuários para se autenticarem repetidamente em vários armazenamentos de identidades por meio do SSO da Intranet.

Desafios

Os desafios da interoperabilidade e do logon único incluem:

  • Escolher os mecanismos corretos para as plataformas encontradas na organização.

  • Optar por mecanismos de SSO da Web ou da rede quando as duas opções estiverem disponíveis.

  • Escolher como e quando usar serviços de diretório LDAP para autenticação e autorização.

  • Escolher quando reconfigurar aplicativos e plataformas para implementar propagação de senhas.

  • Diferenças em implementações de protocolos LDAP ou de esquema.

  • Lidar com variações secundárias nas implementações de mecanismos de autenticação baseados em padrões.

O documento "Gerenciamento de acesso à intranet" desta série fornece mais informações sobre interoperabilidade e SSO na intranet.

Fortalecendo os mecanismos de autenticação

Há muitas razões para escolher a implementação de mecanismos mais fortes de autenticação. A iniciativa pode fazer parte de um plano geral para fortalecer a segurança dos recursos de computação da organização, pode ser uma resposta a uma ameaça específica ou (no pior caso) pode ser uma resposta a uma invasão bem-sucedida. Finalmente, ela pode ser necessária para atender aos padrões reguladores ou da indústria a fim de obter aceitação ou algo semelhante.

A maioria das organizações ainda usa combinações de nome de usuário e senha para autenticação em seus aplicativos e recursos. Mecanismos de autenticação baseados em senha podem variar de muito seguros para muito pouco seguros, dependendo da implementação do aplicativo, do protocolo, do armazenamento de identidades e do comprimento e da complexidade da senha.

Mecanismos e tecnologias mais seguros não baseados em senha estão amplamente disponíveis atualmente, como certificados digitais X.509, tokens de hardware baseados em tempo, também conhecidos como dispositivos OTP, ou confirmação secundária usando autenticação biométrica.

A combinação de diferentes mecanismos de autenticação (ou fatores) para criar a autenticação de multifatores cria o mais alto nível de segurança. Por exemplo, a combinação de um certificado digital X.509 em um cartão inteligente (algo que você tem) com um PIN (algo que você sabe) que desbloqueia a chave particular associada ao certificado cria uma credencial muito forte, que por sua vez fornece autenticação forte.

Benefícios

Os benefícios do fortalecimento dos mecanismos de autenticação incluem:

  • Maior segurança.

  • Alinhamento com requisitos reguladores que exigem validação adicional ao acessar recursos.

Desafios

Os desafios envolvidos no fortalecimento dos mecanismos de autenticação incluem:

  • Equilíbrio do custo da infra-estrutura adicional em relação à necessidade de segurança avançada.

  • Integração de mecanismos de credenciais e protocolos de autenticação mais fortes entre diferentes plataformas e aplicativos.

  • Evitar o aumento da complexidade para o usuário final e para o gerenciamento. Mecanismos de multifatores sempre aumentam o número de coisas erradas que podem acontecer (como quando os usuários perdem seus cartões inteligentes ou esquecem seus PINs).

  • Minimizar os custos e recursos associados à implantação de hardware para oferecer suporte a credenciais, como cartões inteligentes e tokens OTP.

Melhorando o acesso para funcionários, clientes e parceiros

Muitas organizações desejam otimizar seus sistemas de informações para obter vantagem competitiva ampliando o acesso com o objetivo de incluir mais tipos de usuários, aplicativos e redes. Normalmente, essa abordagem é conhecida como a " expansão do perímetro da rede", porque os firewalls em torno da rede da organização não fornecem mais uma barreira única para afastar usuários externos.

Por exemplo, o acesso de clientes a informações e aplicativos permite novas oportunidades de negócios. Parceiros de negócios simplificam as cadeias de suprimentos integrando sistemas de inventário, envio, financeiros e de desenvolvimento de produtos, permitindo que eles compartilhem informações confidenciais sobre preços, produtos e suporte. Os funcionários têm mais oportunidades de colaborar e comunicar-se remotamente ao trabalharem mais intimamente com clientes e parceiros.

Benefícios

Os principais benefícios da melhoria do acesso incluem:

  • Desenvolvimento rápido de aplicativos.

  • Implantação mais rápida de aplicativos.

  • Maior controle do acesso a recursos.

  • Melhor experiência do usuário final.

  • Redução da sobrecarga administrativa.

Desafios

Os desafios da melhoria do acesso para usuários externos são consideráveis e incluem:

  • Integração com aplicativos existentes.

  • Escolha de armazenamentos de identidades apropriados.

  • Escolha de mecanismos apropriados de autenticação para cada classe de usuário.

  • Escolha de um modelo apropriado de autorização.

  • Dimensionamento dos mecanismos de autenticação e autorização.

  • Gerenciamento de identidades de muitos parceiros e clientes.

  • Concessão de acesso a usuários aos recursos apropriados com base na função desempenhada e nos aplicativos usados.

  • Natureza complicada do estabelecimento de relações de confiança entre organizações parceiras.

O documento "Gerenciamento de acesso à extranet" desta série discute os conceitos do fornecimento de acesso seguro para funcionários, clientes e parceiros aos aplicativos internos através de experiência de logon único.

Estabelecendo diretivas de auditoria de segurança

Uma organização típica tem diretivas de segurança que exigem a auditoria no nível da plataforma e do aplicativo. Um dos maiores benefícios da implementação de algumas das iniciativas de gerenciamento de acesso e identidades descritas neste capítulo é a consolidação de armazenamentos de identidades, plataformas e mecanismos de autenticação e autorização. Essa consolidação torna a auditoria mais fácil e mais confiável porque o número de locais e a maneira pela qual os eventos de segurança são gerados são reduzidos.

A próxima etapa da organização é detalhar os tipos de auditoria necessários e como as informações de auditoria devem ser capturadas, armazenadas e usadas.

Benefícios

Os benefícios do estabelecimento de uma diretiva de auditoria de segurança incluem:

  • Impacto reduzido ao passar por uma auditoria de segurança externa.

  • Capacidade aprimorada de executar operações forenses caso ocorra um ataque de segurança.

  • Capacidade aprimorada de detectar ataques em tempo real, alertando os administradores para que iniciem os procedimentos de emergência.

  • Maior capacidade de impor diretivas retroativamente que são difíceis de serem impostas no momento da ocorrência.

Desafios

Os desafios do estabelecimento de uma diretiva de auditoria de segurança incluem:

  • Mecanismos diferentes de auditoria em plataformas e aplicativos.

  • Capacidades diferentes de auditoria com graus variados de especificidade.

  • Requisitos diferentes de auditoria para as diferentes unidades de negócios de uma organização.

  • Consolidação de relatórios de auditoria em um local central.

  • Filtragem através de volumes de informações.

  • Geração de relatórios significativos.

  • Arquivamento de grandes quantidades de dados de auditoria.

Atualizando padrões de aquisição de software

Normalmente, os aplicativos são a principal causa de sistemas complexos de gerenciamento de acesso e identidades. Geralmente, os aplicativos introduzem diferentes tipos de armazenamentos de identidades, diferentes mecanismos de autenticação e diretivas de autorização. Depois de padronizar as diretivas do serviço de diretório, de segurança e de acesso, é importante estabelecer ou atualizar os padrões organizacionais para a aquisição de software, de forma que os novos softwares se integrem bem com outros sistemas da organização.

A seleção de software de ISVs (fornecedores independentes de software) deve ser baseada em parte na capacidade de integração com seus serviços de diretório selecionados e em sua habilidade de atender às diretivas de segurança e acesso estabelecidas.

Benefícios

Os benefícios da atualização de padrões de aquisição de software incluem:

  • Implantação rápida de novos aplicativos.

  • Facilidade de integração com a infra-estrutura de gerenciamento de acesso e identidades.

  • Menor custo total de propriedade.

  • Maior segurança.

  • Redução da necessidade de treinamento para usuários finais.

  • Maior produtividade dos usuários finais.

Desafios

Os desafios da atualização de padrões de aquisição de software incluem:

  • Encontrar o software certo com os recursos certos.

  • Conhecimento de quais componentes opcionais usar ou comprar.

  • Seleção do software para maximizar a segurança.

  • Seleção do software para maximizar a produtividade.

Estabelecendo padrões de desenvolvimento de software para uso de identidades

Conforme as necessidades comerciais de uma organização aumentam, ela precisa de novos aplicativos para implementar novas funcionalidades comerciais. A configuração e imposição de padrões de desenvolvimento que descrevem a forma como os novos aplicativos interagem com a infra-estrutura de gerenciamento de acesso e identidades preparam o terreno para reduzir o custo total de propriedade e melhorar a segurança.

Benefícios

Os benefícios do estabelecimento de padrões de desenvolvimento de software para uso de identidades incluem:

  • Os aplicativos não criam novos problemas de gerenciamento de identidades.

  • Os aplicativos podem ser desenvolvidos mais rapidamente.

  • Redução dos custos administrativos.

  • Maior segurança através de uma superfície menor de ataque.

Desafios

Os desafios do estabelecimento de padrões de desenvolvimento de software incluem:

  • Fornecimento de uma origem oficial para informações de identidades que os novos aplicativos podem usar.

  • Obrigar e verificar se os aplicativos estão usando os armazenamentos de identidades existentes, bem como recursos de autenticação e autorização existentes.

  • Criação e publicação de diretivas claras, integradas com qualquer metodologia de SDLC (Software Development Life Cycle), sobre como os aplicativos devem se integrar com a infra-estrutura de gerenciamento de acesso e identidades.

  • Treinamento interno e externo dos desenvolvedores sobre como seguir essas diretrizes.

Desenvolvendo e migrando aplicativos com reconhecimento de identidades

Depois que uma organização estabeleceu os padrões para o desenvolvimento de aplicativos, novos aplicativos podem ser desenvolvidos usando esses padrões. Aplicativos existentes também devem ter o mesmo nível de integração com a infra-estrutura de gerenciamento de acesso e identidades.

Para fazer isso, faça um inventário e categorize os aplicativos existentes. Considere o valor de cada aplicativo, as informações fornecidas pelos aplicativos e suas características de segurança para determinar a importância relativa. Equilibre essas informações com o custo da migração ou da alteração de cada aplicativo para priorizar quais aplicativos devem ser migrados primeiro.

Benefícios

Os benefícios do desenvolvimento e da migração de aplicativos com reconhecimento de identidades incluem:

  • Redução da sobrecarga administrativa para o gerenciamento de identidades.

  • Maior segurança.

  • Consistência entre aplicativos.

Desafios

Os desafios do desenvolvimento e da migração de aplicativos com reconhecimento de identidades incluem:

  • Compreensão de como os aplicativos funcionam de maneira que decisões sobre a melhor maneira de integrá-los possam ser tomadas.

  • Seleção de uma plataforma para migração de aplicativos.

  • Escolha de uma linguagem ou um ambiente de desenvolvedor para o desenvolvimento de aplicativos.

  • Escolha de um armazenamento de identidades que atenda aos requisitos da organização e dos aplicativos.

  • Seleção de técnicas de autenticação e autorização para atender aos requisitos.

O documento "Desenvolvendo aplicativos ASP.NET com reconhecimento de identidades" desta série discute as técnicas necessárias para criar aplicativos integrados com a plataforma de gerenciamento de acesso e identidades da Microsoft.


Neste artigo

Download

Obtenha a Série de gerenciamento de acesso e identidades da Microsoft

Notificações de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie seus comentários ou suas sugestões



Principio de la página Dd459042.pageLeft(pt-br,TechNet.10).gif 2 de 9 Dd459042.pageRight(pt-br,TechNet.10).gif
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.