Plataforma e infra-estrutura

Capítulo 4: Criando a infra-estrutura

Publicado em: 11 de maio de 2004 | Atualizado em: 26 de junho de 2006

A Contoso avaliou plataformas de gerenciamento de acesso e identidades de vários fornecedores, incluindo a Microsoft. Com base nos requisitos da empresa, a Contoso optou por adotar como padrão a plataforma de gerenciamento de acesso e identidades da Microsoft. Este capítulo aborda a criação da infra-estrutura resultante dessa decisão.

Nesta página

Conceito da solução
Arquitetura da solução
Soluções permitidas

Conceito da solução

Os principais recursos que a Contoso exige são fornecidos pelos seguintes recursos da plataforma de gerenciamento de acesso e identidades da Microsoft:

  • O serviço de diretório Microsoft® Active Directory® é compatível com a RFC 3377 da IETF (Internet Engineering Task Force) — LDAP (versão 3.0).

  • O Active Directory da extranet que armazena informações de clientes e parceiros pode residir na rede de perímetro e pode oferecer suporte à autenticação de funcionários sem uma relação de confiança com o diretório interno.

  • O Active Directory oferece várias opções de criptografia forte das credenciais de usuário. Devido à integração com protocolos de autenticação forte de rede, como o protocolo de autenticação Kerberos versão 5, o protocolo SSL ou a autenticação de cliente TLS, as credenciais jamais são distribuídas fora do diretório.

  • O Active Directory no Microsoft Windows Server™ 2003 oferece suporte a credenciais baseadas em senha por meio do protocolo Kerberos versão 5 e dos protocolos de autenticação Digest. O Active Directory também oferece suporte a credencias de PKI (infra-estrutura de chave pública) para autenticação de cliente por meio dos protocolos Kerberos versão 5, SSL e TLS.

  • O Active Directory oferece autenticação direta usando os protocolos Kerberos versão 5, SSL e TLS.

  • Os sistemas operacionais cliente para desktops, como o Microsoft Windows® 2000 Professional, o Windows® XP Professional, bem como as estações de trabalho executadas em UNIX ou Linux, interoperam sem problemas com o sistema operacional servidor para autenticação e autorização por meio dos protocolos Kerberos versão 5, LDAP e outros baseados em padrões.

  • O Windows Server 2003 e vários sistemas operacionais cliente interoperam para autenticar usuários com um conjunto de credenciais padrão que são calculadas ou recuperadas durante o processo de logon. Essa autenticação é transparente para o usuário e compatível com a experiência de SSO do usuário.

  • O Windows Server 2003 implementa autorização baseada em ACLs (listas de controle de acesso) e em funções. O Active Directory tem mecanismos robustos e flexíveis para expressar direitos por meio da associação de grupos.

  • Os serviços de diretório e segurança do Windows Server 2003 implementam vários níveis de relação de confiança, incluindo relações entre florestas, externa, de PKI e entre territórios com territórios Kerberos do UNIX.

  • O Windows Server 2003 com Active Directory fornece recursos detalhados de auditoria a todas as operações de autenticação, relação de confiança, autorização e configuração executadas no sistema.

Arquitetura da solução

A arquitetura da solução inclui os seguintes componentes:

  • Serviços de diretório

  • Métodos de autenticação

  • Métodos de autorização

  • Mecanismos de confiança

  • Gerenciamento do ciclo de vida de identidades

  • Aplicativos com reconhecimento de identidades

Serviços de diretório

A operação bem-sucedida da plataforma de gerenciamento de acesso e identidades da Contoso exige da equipe da empresa a identificação da fonte oficial de criação de informações de identidades e um local oficial para armazenar informações de aplicativos e identidades. A equipe também precisa implementar um fluxo de informações de atributos adequado entre diretórios.

A atual configuração dos serviços de diretório da organização para essa infra-estrutura inclui:

  • Uma floresta do Active Directory na intranet.

  • Uma floresta do Active Directory na extranet.

  • Um Sun One Directory Server 5.1 (anteriormente conhecido como iPlanet Directory Server).

A floresta do Active Directory na extranet não pode ser usada como serviço de diretório oficial, pois contém apenas contas de sombra dos funcionários. O Sun One Directory Server 5.1 tem o descomissionamento agendado após o aplicativo que depende dele ter sido reescrito para funcionar com o Active Directory.

A floresta do Active Directory na intranet oferece o atual repositório central de contas de usuário na Contoso. Portanto, a empresa selecionou o Active Directory da intranet para funcionar como fonte oficial de todas as informações específicas de diretório e aplicativo.

A equipe da Contoso usará um produto de integração de identidades para replicar determinados objetos de diretório para conseguir o seguinte:

  • Criar contas para todos os membros do departamento de vendas na floresta da extranet.

  • Usar um atributo no Active Directory para identificar os funcionários que ingressaram na Contoso pela empresa recém-adquirida.

  • Replicar essas contas no Lotus Notes Release 6.5.4 e no Sun ONE Directory Server 5.1.

Floresta do Active Directory na intranet

A floresta na intranet consiste em um domínio raiz vazio corp.contoso.com e em um único domínio filho na.corp.contoso.com. O domínio na.corp.contoso.com contém as seguintes unidades organizacionais:

  • Funcionários

  • Estações de trabalho Solaris

  • Clientes Windows

  • Grupos

  • Desabilitado

  • Contatos

O processo passo a passo de instalação do Active Directory no Windows Server 2003 e de criação de unidades organizacionais é abordado na documentação do produto.

Floresta do Active Directory na extranet

A floresta externa contém um único domínio perimeter.contoso.com. Esse domínio é executado no nível funcional do Windows Server 2003 e contém as seguintes unidades organizacionais:

  • Funcionários

  • Usuários em teste

  • Grupos

Não há relação de confiança entre a floresta interna e a externa. A seção sobre relação de confiança, mais adiante neste capítulo, aborda o motivo para isso.

A Figura 4.1 mostra as estruturas do Active Directory para a Contoso.

Figura 4.1. A estrutura lógica do Active Directory para a Contoso

Figura 4.1. A estrutura lógica do Active Directory para a Contoso

Para obter mais informações sobre o Active Directory, consulte a página Windows Server 2003 Active Directory (em inglês).

Para obter orientações adicionais, consulte a página Designing and Deploying Directory and Security Services (em inglês).

Métodos de autenticação

A Contoso escolheu os métodos de autenticação com base nas características de cada método e no ambiente no qual será operada. O processo de seleção resultou em um único método de autenticação para o diretório de intranet e três métodos para o diretório de extranet, como mostra as próximas duas figuras.

Dd459053.Plat4-2(pt-br,TechNet.10).gif

Figura 4.2. Mecanismos de autenticação e autorização da intranet na infra-estrutura da Contoso

Figura 4.3. Mecanismos de autenticação e autorização da extranet na infra-estrutura da Contoso

Figura 4.3. Mecanismos de autenticação e autorização da extranet na infra-estrutura da Contoso

Autenticando-se no diretório da intranet

O principal mecanismo de autenticação da rede interna é o protocolo Kerberos versão 5, ao qual o Windows Server 2003 e o Windows XP Professional oferecem suporte nativamente. Várias outras plataformas incluem bibliotecas do protocolo Kerberos, especialmente as muitas distribuições do UNIX, incluindo o Linux. A Contoso usará o protocolo Kerberos versão 5 sempre que possível, pois ele é um protocolo de rede altamente seguro baseado em padrões. Muitas plataformas implementam a autenticação do protocolo Kerberos versão 5 e, por esse motivo, esse protocolo oferece uma boa base para interoperabilidade.

Todos os computadores cliente gerenciados da rede interna, incluindo aqueles que contêm os sistemas operacionais Windows XP Professional e Sun Solaris, fazem logon usando o protocolo Kerberos versão 5 em contas da floresta interna. Após o logon, os usuários fazem autenticação em recursos específicos, novamente usando o protocolo Kerberos versão 5.

Autenticando-se no diretório da extranet

A rede externa usa vários tipos diferentes de autenticação, pois o protocolo de autenticação Kerberos versão 5 no momento não é compatível com clientes Web em aplicativos da Internet no ambiente da Contoso. Os três aplicativos externos da Internet hospedados na rede de perímetro da Contoso usam os seguintes métodos de autenticação distintos:

  • Microsoft Passport.

  • Autenticação baseada no Microsoft Windows Forms.

  • Autenticação de certificado cliente com os protocolos SSL e TLS.

Os três mecanismos de autenticação usam a floresta do Active Directory na extranet como armazenamento de identidades. O domínio da extranet contém contas de usuário com mapeamentos para o Passport e autenticação de certificado cliente, bem como credenciais de senha secreta para autenticação baseada no Windows Forms.

Métodos de autorização

O principal método de autorização que a Contoso usará emprega ACLs (listas de controle de acesso) em servidores de arquivos e impressão (não mostrado na Figura 4.3). No entanto, a Contoso usará o controle de acesso baseado em funções por meio do Gerenciador de Autorização do Windows Server 2003. O Gerenciador de Autorização interage com o IIS (Serviços de Informações da Internet) 6.0 pra fornecer autorização no nível de URL e direitos detalhados no nível do aplicativo para acesso aos aplicativos Web.

A Contoso usará grupos de segurança para organizar usuários; por exemplo, por departamento ou função. Esses grupos de segurança simplificarão a concessão de direitos aos usuários e reduzirão as operações administrativas envolvidas quando os usuários mudam de cargo na organização.

Relação de confiança

A equipe da Contoso tinha o conjunto a seguir de opções para considerar ao implementar a federação entre o diretório externo e o diretório da infra-estrutura interna:

  • Relações de confiança entre florestas

  • Subordinação qualificada para PKI

  • Contas de sombra

Relações de confiança entre florestas

O Windows Server 2003 permite usar relações de confiança entre florestas. No ambiente da Contoso, essa opção foi considerada para que os funcionários que usassem aplicativos externos pudessem fazer a autenticação no diretório interno por meio da relação de confiança.

A visão de longo prazo da empresa é criar e implantar aplicativos que aproveitem a autenticação de ponta a ponta. Uma tarefa necessária antes de alcançar esse objetivo é realizar uma análise completa da segurança da rede interna e, em seguida, fazer o acompanhamento com ações corretivas necessárias para corrigir quaisquer problemas identificados.

Por fim, a equipe da Contoso decidiu não estabelecer essa relação de confiança no ambiente da organização. Uma combinação de preocupações com a segurança específicas do cenário da Contoso e o fato de os cenários de aplicativo da empresa não exigirem a relação de confiança no momento serviram de base para essa decisão. No caso da Contoso, a principal preocupação é quanto à segurança da rede interna e não à funcionalidade adicional do aplicativo resultante de uma relação de confiança entre a floresta externa e a interna.

Por outro lado, sua organização poderia apresentar cenários em que fosse necessário implementar relações de confiança entre florestas. Por exemplo, usuários externos talvez precisem fazer autenticação em um servidor externo e acessar informações da intranet da organização. Nesse caso, você poderia exigir que a identidade do usuário fosse passada com a solicitação de aplicativo do servidor Web para a fonte de dados do aplicativo. Um cenário como esse é possível usando os novos recursos de delegação do protocolo Kerberos versão 5 e os mecanismos de relação de confiança entre florestas incluídos no Windows Server 2003.

Subordinação qualificada para PKI

A PKI (infra-estrutura de chave pública) proporciona a uma organização a capacidade de trocar dados em segurança por uma rede pública usando criptografia de chave pública. Uma PKI consiste em autoridades de certificação que emitem certificados digitais, em diretórios que armazenam os certificados (incluindo o Active Directory no Windows 2000 Server e no Windows Server 2003) e em certificados X.509 emitidos para entidades de segurança na rede. A PKI fornece a validação das credenciais baseadas em certificados verificando se não foram revogadas, danificadas nem modificadas.

A subordinação qualificada é o processo de certificação cruzada de hierarquias de autoridades de certificação que usa restrições básicas, de diretivas, nomes e aplicativos para limitar os certificados que são aceitos de hierarquias de autoridades de certificação de parceiros ou de uma segunda hierarquia na mesma organização. Você pode usar a subordinação qualificada para definir os certificados emitidos pela PKI de um parceiro nos quais sua organização confia. A subordinação qualificada também fornece métodos para compartimentalizar e controlar a emissão de certificados em uma organização, de acordo com as orientações das diretivas.

A Contoso implementou uma infra-estrutura de PKI formada por uma autoridade de certificação emissora, uma autoridade intermediária offline e uma autoridade de certificação raiz offline, conforme as práticas recomendadas pela Microsoft. Os administradores de IIS da Contoso solicitaram, então, certificados de servidor da autoridade de certificação emissora para habilitar a criptografia SSL nos aplicativos Web da Internet no IIS. A Contoso também habilitou a diretiva de inscrição automática de certificado de usuário no Active Directory para os funcionários, bem como o Mapeador do Active Directory e o mapeamento de certificado de cliente no IIS.

Para obter mais informações sobre relações de confiança entre florestas e subordinação qualificada para PKI, consulte as seguintes páginas do Microsoft.com:

Para obter mais informações sobre como implantar os Serviços de Certificados da Microsoft, baixe e leia o capítulo 16, "Designing a Public Key Infrastructure" (em inglês).

Contas de sombra

O design de federação que a Contoso optou por implementar autentica usuários internos (funcionários) nos aplicativos da rede de perímetro criando contas de sombra no Active Directory externo. Essas contas de sombra são apenas para autenticação baseada em certificado. As contas de sombra contêm uma quantidade limitada de informações de autorização relevantes para o aplicativo da extranet, como nome e associação de grupo, mas não contêm a senha da conta do usuário.

Os funcionários do departamento de vendas usam essas contas de sombra para acessar um aplicativo hospedado na rede de perímetro. Como as contas de sombra são suficientes para acessar o aplicativo externo, não há necessidade de uma relação de confiança entre a floresta externa e a interna.

Gerenciamento do ciclo de vida de identidades

Para gerenciar o ciclo de vida das identidades digitais, a Contoso escolheu o Microsoft Identity Integration Server 2003, Enterprise Edition com Service Pack 1 (MIIS 2003 com SP1). Esse produto fornece o suporte necessário à integração de identidades para sincronização, configuração e desconfiguração eficientes das identidades digitais. Ele também fornece agentes de gerenciamento que permitem conexões com vários armazenamentos de identidades no ambiente da Contoso.

A implementação da Contoso usará os serviços de certificados e a configuração de diretiva da Microsoft para habilitar a inscrição automática de certificados de usuário. O recurso de inscrição automática torna possível e econômico o gerenciamento de certificados de usuário. Na Estrutura de gerenciamento de acesso e identidades da Microsoft, a autenticação de usuário com certificados cliente é mais apropriada em cenários nos quais ela adiciona uma vantagem de segurança identificável.

Por exemplo, a autenticação de certificado do cliente evita o risco à segurança associado ao uso de senhas para fazer a autenticação em servidores que hospedam o aplicativo de Vendas e Contatos na rede de perímetro. A Contoso implanta apenas serviços de certificado e configura a inscrição automática em sua rede interna, pois nenhum cenário de aplicativo exige a autenticação baseada em certificados para clientes e parceiros externos.

Aplicativos com reconhecimento de identidades

Para fornecer suporte à implantação de aplicativos com reconhecimento de identidades, a Contoso implementou uma diretiva de uso do protocolo de autenticação Kerberos versão 5 com controladores de domínio do Active Directory, onde possível. Os aplicativos que não podem usar o protocolo Kerberos para autenticação (como aplicativos da extranet) usarão a autenticação baseada no Windows Forms entre empresas (B2), o Microsoft Passport entre a empresa e o consumidor (B2) e certificados ou cartões inteligentes (no futuro) entre a empresa e o funcionário (B2E).

A autorização será fornecida por ACLs (listas de controle de acesso) para objetos persistentes, como arquivos e itens do diretório. Os aplicativos baseados na Web usarão o acesso baseado em função que utiliza o Gerenciador de Autorização.

A rede da Contoso

A Figura 4.4 ilustra a implementação completa da arquitetura de gerenciamento de acesso e identidades da Contoso.

Dd459053.Plat4-4(pt-br,TechNet.10).gif

Figura 4.4. O layout de rede de infra-estrutura do gerenciamento de acesso e identidades da Contoso

A implementação da arquitetura de tecnologia do gerenciamento de acesso e identidades da Contoso inclui:

  • Um firewall que isola o Active Directory externo da rede interna.

  • Nenhuma conexão direta entre a Internet e a rede interna.

  • Nenhuma conexão direta entre a Internet e o Active Directory externo.

  • Uma floresta separada para a extranet.

  • Dois servidores Web executando o IIS 6.0 na extranet que hospeda os aplicativos da empresa para funcionários de vendas e clientes.

  • Um servidor Web de rede de perímetro que também hospeda o ponto de distribuição da CRL (lista de certificados revogados) para verificar os certificados que os funcionários usam ao fazer a autenticação em aplicativos externos.

  • Um aplicativo Lotus Notes Release 6.5.4 e um Sun ONE Directory Server 5.1 que fornecem serviços como parte da rede interna.

  • Serviços de certificados que estão na rede interna.

A plataforma de gerenciamento de acesso e identidades da Contoso tem como base o Windows Server System Reference Architecture (WSSRA), desenvolvido pela Microsoft e alguns importantes fornecedores de hardware e software. O WSSRA (anteriormente conhecido como Microsoft Systems Architecture 2.0 ou MSA) fornece instruções passo a passo testadas para a implementação de infra-estruturas de TI em larga escala com base nas tecnologias da Microsoft.

Para obter mais informações sobre o WSSRA, consulte a página Windows Server System Reference Architecture (em inglês).

O Apêndice A deste documento fornece as opções de configuração do ambiente da Contoso em um ambiente de teste do Virtual PC (VPC) 2004.

Soluções permitidas

A infra-estrutura da plataforma Microsoft permite as seguintes soluções:

  • Agregação e sincronização de identidades entre vários diretórios.

  • Gerenciamento de senhas, incluindo propagação de senhas para vários diretórios.

  • Gerenciamento de acesso à intranet, incluindo integração de UNIX e SAP com o Active Directory.

  • Gerenciamento de acesso à extranet, incluindo suporte aos ambientes B2B, B2C e B2E.

  • Desenvolvimento de aplicativos ASP .NET com reconhecimento de identidades, incluindo suporte ao desenvolvimento de aplicativos de intranet e extranet.

A estratégia de base da empresa é substituir processos administrativos manuais e ineficientes de gerenciamento de identidades digitais por processos automatizados e eficientes. Os últimos documentos desta série fornecem mais detalhes sobre cada uma dessas áreas pretendidas descritas nas próximas seções.

Agregação e sincronização de identidades

Para fornecer agregação e sincronização de identidades na organização, a Contoso optou por usar o MIIS 2003 com SP1 como produto de integração de identidades que será integrado a todos os serviços de diretório e a outros armazenamentos de identidades da empresa, incluindo:

  • A floresta do Active Directory na intranet.

  • A floresta do Active Directory na extranet (contendo contas de clientes, parceiros e de sombra dos funcionários).

  • O Sun One Directory Server 5.1 (anteriormente conhecido como iPlanet Directory Server).

  • Lotus Notes Release 6.5.4.

Para obter mais informações sobre este tópico, consulte o documento "Agregação e sincronização de identidades" desta série.

Gerenciamento de senhas

Para implementar um gerenciamento de senhas eficiente, a Contoso escolheu os seguintes componentes:

  • Diretiva de Grupo no Active Directory para impor o uso de senhas fortes, com complexidade e validade.

  • Um filtro de senha personalizado e uma DLL (biblioteca de vínculo dinâmico) de notificação que permite ao usuário alterar a senha no Active Directory e propaga essa alteração para outros diretórios e armazenamentos de identidades.

  • MIIS 2003 com MAs (agentes de gerenciamento) que gerenciam alterações de senhas em todos os diretórios conectados.

  • Um serviço do Windows personalizado usando WMI (instrumentação de gerenciamento do Windows) para fazer uma ponte entre os controladores de domínio do Active Directory e os MAs do MIIS 2003. Essa combinação propagará alterações de senhas para o Lotus Notes Release 6.5.4 e o Sun One Directory Server 5.1.

  • Um aplicativo Web personalizado fornecido com o MIIS 2003 para permitir aos operadores da assistência técnica redefinir senhas de usuários em um só local. O MIIS 2003 propagará então as alterações de senha nos diretórios conectados.

Para obter mais informações, consulte o documento "Gerenciamento de senhas" desta série.

Gerenciamento de acesso à intranet

Para o gerenciamento de acesso à intranet, a Contoso padronizou as seguintes configurações:

  • Uso do protocolo de autenticação Kerberos versão 5 para autenticação e proteção dos dados.

  • Uso de controladores de domínio do Active Directory como KDCs (centros de distribuição de chaves) para autenticação que usa o protocolo Kerberos versão 5.

  • Habilitação do suporte a aplicativos em estações de trabalho com o SAP R/3 e o UNIX para autenticação que usa o protocolo Kerberos versão 5.

Para obter mais informações, consulte o documento "Gerenciamento de acesso à intranet" desta série.

Gerenciamento de acesso à extranet

Para o gerenciamento de acesso à extranet, a Contoso escolheu a seguinte arquitetura para permitir o acesso de parceiros, clientes e funcionários aos aplicativos Web:

  • Uma floresta externa do Active Directory para gerenciar contas de todos os usuários externos.

  • Auto-registro para definir contas de cliente no Active Directory.

  • Serviços do Microsoft Passport para autenticação de clientes e SSO.

  • Autenticação baseada em formulários com criptografia SSL para proteger a seqüência de autenticação do parceiro.

  • MIIS 2003 para configurar contas de sombra de funcionários na floresta externa do Active Directory.

  • Gerenciador de Autorização do Microsoft Windows para autorização baseada em funções.

  • Serviços de Certificados da Microsoft para PKI.

  • IIS 6.0 para hospedar aplicativos Web.

  • Microsoft Internet Security and Acceleration Server (ISA) para fornecer rede de perímetro e controle de acesso entre redes internas e externas.

Para obter mais informações, consulte o documento "Gerenciamento de acesso à extranet" desta série.

Desenvolvendo aplicativos ASP.NET com reconhecimento de identidades

Para garantir a consistência ao desenvolver aplicativos com reconhecimento de identidades, a Contoso padronizou os seguintes métodos:

  • Uso do protocolo Kerberos versão 5 para aplicativos da intranet.

  • Uso da autenticação Kerberos entre servidores Web de aplicativos e recursos de back-end.

  • Integração de autenticação e autorização com o Active Directory, o que fornecerá o serviço de diretório exclusivo para aplicativos.

  • Uso do controle de acesso baseado em função em aplicativos Web e ACLs nos recursos de servidor back-end.

Para obter mais informações, consulte o documento "Desenvolvendo aplicativos ASP.NET com reconhecimento de identidades" desta série.

Neste artigo

Download

Obtenha a Série de gerenciamento de acesso e identidades da Microsoft

Notificações de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie seus comentários ou suas sugestões

Dd459053.pageLeft(pt-br,TechNet.10).gif4 de 9Dd459053.pageRight(pt-br,TechNet.10).gif