Conceitos essenciais

Artigo
03/24/2009

Capítulo 5: Gerenciamento do ciclo de vida de identidades

Publicado em: maio 11, 2004 | Atualizado em: 26 de junho de 2006

A maioria das organizações precisa lidar com vários armazenamentos de identidades. Logo que um ambiente de rede passa a ter mais de um local para armazenar identidades digitais, surge o problema de como gerenciar várias identidades.

O gerenciamento do ciclo de vida de identidades inclui o processo e as tecnologias de configuração, desconfiguração, gerenciamento e sincronização de identidades digitais de acordo com as diretivas legislativas. O êxito do gerenciamento de acesso e identidades dependerá principalmente da eficiência com a qual é possível gerenciar o ciclo de vida de identidades digitais.

Os serviços de gerenciamento do ciclo de vida de identidades permitem a criação de entidades de segurança, o gerenciamento de atributos, sincronização, agregação e exclusão. Além disso, é necessário executar essas ações de forma segura com uma trilha de auditoria abrangente. Esta seção descreve como os produtos da Microsoft atendem a esses requisitos.

Nesta página

Integração de identidades
Configuração
Administração delegada
Auto-atendimento
Gerenciamento de credenciais

Integração de identidades

Os serviços de integração de identidades (IdI) vinculam informações de identidades em vários diretórios, bancos de dados e outros armazenamentos de identidades. Eles fornecem uma exibição unificada de usuários e podem implementar a configuração e desconfiguração de identidades em vários armazenamentos.

A Microsoft oferece dois aplicativos relacionados para a integração de identidades, discutidos nesta seção. Os produtos são os seguintes:

Microsoft® Identity Integration Server 2003, Enterprise Edition (MIIS 2003 SP1).
Identity Integration Feature Pack 1a for Microsoft Windows Server™ Active Directory.

O MIIS 2003 SP1 amplia o serviço de diretório do Microsoft Active Directory®, fornecendo amplos recursos de interoperabilidade, que incluem:

Integração com uma grande variedade de repositórios de identidades.
Configuração de informações de identidades em vários armazenamentos.
Associação de informações de identidades, detecção automática de atualizações e sincronização das alterações nos sistemas.
Transformação de dados de um armazenamento de identidades para que se ajustem ao esquema em outro armazenamento.

O Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory é uma versão reduzida do conjunto de recursos do MIIS 2003 SP1, disponível para download gratuito. O feature pack possibilita integrar informações de identidades entre listas de endereços globais do Active Directory, do ADAM e do Exchange 2000/2003. Baixe o feature pack na página Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory (em inglês) no site da Central de Download da Microsoft.

A Microsoft também oferece produtos que permitem a integração com plataformas específicas. Esses produtos permitem integrar sistemas operacionais que não são da Microsoft em um ambiente Windows e podem ser úteis em alguns cenários para os quais o MIIS 2003 SP1 não dá suporte total ou caso seja necessário integrar apenas uma outra plataforma.

Esses outros produtos de integração incluem:

Services for UNIX. Esse produto aumenta os registros do Active Directory para incluir credenciais e direitos UNIX, permitindo administrar usuários e grupos do UNIX de forma idêntica aos usuários e grupos do Windows. O produto também permite a sincronização de senhas entre o UNIX e o Active Directory.
Services for NetWare. Esse produto fornece um serviço altamente flexível que oferece uma solução completa de interoperabilidade entre o Active Directory, o Novell eDirectory 8.7 e sua ligação. O produto reduz o custo do gerenciamento de acesso e identidades por meio de uma sincronização de senhas bidirecional entre os sistemas Active Directory e Novell.
Services for Macintosh. Esse produto habilita um componente integrado do Microsoft Windows Server para permitir que computadores que executam sistemas operacionais baseados no Windows e no Macintosh compartilhem arquivos e impressoras. Além disso, o Windows Server pode funcionar como um roteador AppleTalk. O produto Services for Macintosh também inclui o MSUAM (Microsoft User Authentication Module), que fornece um mecanismo de SSO seguro para que os clientes Macintosh acessem aplicativos que estejam executando o Windows Server 2003.
HIS (Host Integration Server). Esse produto fornece integração de aplicativos, dados e redes para estender o acesso de sistemas operacionais baseados no Windows a sistemas host herdados, como o AS/400 e mainframes que executam DB2, RACF, ACF2 e outros sistemas operacionais. O HIS também pode mapear identificações e senhas de usuários de um sistema operacional Windows para um sistema host sem alterar o ambiente de segurança do host.

Configuração

O problema central do gerenciamento de ciclos de vida de identidades digitais é assegurar que você possa adicionar e remover entidades de segurança no armazenamento de identidades centralizado mantido pelo Active Directory, além de outros armazenamentos de identidades para aplicativos que não estão totalmente integrados ao Active Directory. Normalmente, esse cenário é chamado de cenário "contratar/dispensar".

Adicionando o fluxo de trabalho à configuração

Freqüentemente, a configuração precisa se unir aos procedimentos operacionais da organização. Por exemplo, ao contratar um novo funcionário, seu gerente pode precisar aprovar o processo de configuração. Existem três formas principais de adicionar o fluxo de trabalho ao mecanismo de configuração.

Extensões de regras do MIIS 2003 SP1. Você pode implementar uma configuração simples controlada pelo fluxo de trabalho usando extensões de regras do MIIS 2003 SP1. Uma alteração de estado em um banco de dados conectado, como um aplicativo de RH, dispararia uma seqüência de configuração automatizada. As extensões de regras no MIIS 2003 SP1 determinam a criação resultante de identidades digitais nos armazenamentos de identidades apropriados. Contudo, esse mecanismo não permitiria nenhum processo de aprovação manual.
Fluxo de trabalho simples. Outra opção seria implementar um aplicativo de fluxo de trabalho simples, provavelmente com uma interface baseada na Web que permitisse etapas manuais de fluxo de trabalho no processo de configuração automático. Essa opção poderia incluir o cenário no qual um novo funcionário exige a aprovação do gerente, mas um gerente pode aprovar apenas seus novos funcionários. Quando o departamento de RH cria uma nova conta de funcionário, são inseridos detalhes do gerente correspondente para enviar uma notificação por email para ele. Quando o gerente fizer logon no site, ele verá uma lista dos novos funcionários a serem aprovados. A concessão da aprovação criará, então, novas contas de usuário em todos os armazenamentos de identidades relevantes.
Orquestração do Microsoft BizTalk® 2004. A orquestração do BizTalk 2004 fornece recursos avançados de fluxo de trabalho para ambientes heterogêneos complexos.

Configuração de contas de sombra

O capítulo 6, "Gerenciamento de acesso", descreve como você pode usar contas de sombra como uma alternativa para a criação de uma relação de confiança entre dois territórios que, de outra forma, não teriam essa relação. Para manter este mecanismo e torná-lo robusto, o melhor a fazer é automatizar a criação e a remoção de contas de sombra entre territórios diferentes. O MIIS 2003 SP1 é uma ótima ferramenta para a configuração e sincronização de contas de sombra.

Administração delegada

O gerenciamento do ciclo de vida de identidades inclui a delegação da capacidade de gerenciar determinados aspectos das identidades digitais mantidas no Active Directory. Você pode conseguir isso usando o preciso controle de acesso interno do Active Directory por meio de várias opções de interfaces. Se o esquema possuir uma diretiva de autorização configurada corretamente para as listas de controle de acesso de objetos do Active Directory, os snap-ins do Console de Gerenciamento Microsoft fornecerão uma forma de delegar o gerenciamento de qualquer objeto no Active Directory, incluindo as contas de usuário que representam identidades digitais.

Outra opção conhecida de interface de gerenciamento é a criação de um aplicativo da Web integrado ao Active Directory que forneça gerenciamento de contas e atributos. Normalmente, os parceiros da Microsoft especializados em gerenciamento de acesso incluem essa funcionalidade em seus produtos.

Para obter mais informações sobre os recursos de administração delegada do Active Directory, consulte "Design Considerations for Delegation of Administration in Active Directory" (em inglês) no Microsoft TechNet.

Auto-atendimento

A capacidade de os usuários comuns gerenciarem um subconjunto de seus atributos de diretório é um fator importante na redução dos custos de gerenciamento de identidades. Os produtos da Microsoft dão suporte indireto a esse recurso, por meio da autorização detalhada para o nível de atributos no Active Directory. Vários clientes da Microsoft desenvolveram suas próprias interfaces, normalmente páginas da Web, para a modificação de atributos de auto-atendimento, usando o Visual Studio.NET. Para os clientes que desejam adquirir um produto existente, os parceiros da Microsoft fornecem interfaces da Web fáceis de usar, que permitem aos usuários gerenciar determinadas informações de atributos.

Gerenciamento de credenciais

Freqüentemente, diferentes mecanismos de autenticação possuem credenciais diferentes (como certificados x.509, senhas do protocolo de autenticação Kerberos e senhas do Microsoft Passport). Dessa forma, qualquer plataforma que dê suporte a vários mecanismos de autenticação deverá permitir que os usuários gerenciem suas várias credenciais. No Windows, esse recurso é chamado Gerenciador de Credenciais.

O Gerenciador de Credenciais do Windows permite que os usuários finais armazenem credenciais em cache e as associem a locais específicos. Por exemplo, você pode usar várias contas do Microsoft Passport em sites diferentes e pode identificar vários certificados para usar com diversos aplicativos da Web.

Gerenciamento de senhas

Muitos ambientes incluem sistemas e aplicativos que não podem ser imediatamente integrados com os recursos de segurança do Windows Server 2003 e do Active Directory. Normalmente, esses sistemas dependem de diferentes protocolos de autenticação ou usam um armazenamento de identidades separado para a autenticação.

Contudo, vários desses sistemas usam senhas para a autenticação. É possível conseguir uma melhor experiência do usuário (apesar de isso possivelmente aumentar também a superfície de ataque) por meio da configuração e sincronização de contas e do gerenciamento de credenciais (senhas) usadas para fazer logon no Active Directory com contas e senhas usadas em outros sistemas. Os produtos da Microsoft que executam o gerenciamento de senhas incluem os seguintes:

MIIS 2003 SP1. Esse produto fornece propagação de senhas entre diretórios conectados por meio de uma interface de instrumentação de gerenciamento do Windows (WMI). A interface WMI é usada por páginas da Web criadas previamente para a alteração e redefinição de senhas fornecidas com o MIIS ou por uma solução personalizada que usa outros recursos do Windows, como o filtro de notificação de senhas descrito no último item desta lista.
Services for UNIX. Esse produto executa a propagação de senhas entre o Active Directory e a plataforma UNIX.
Services for NetWare. Esse produto executa a propagação de senhas entre o Active Directory e o NetWare.
HIS (Host Integration Server). Esse produto executa a sincronização de senhas entre o Active Directory e vários sistemas baseados em hosts.
Filtros de notificação de senhas personalizados do Active Directory. O Software Development Kit (SDK) da plataforma Windows e o documento "Gerenciamento de senhas", desta série, incluem informações sobre o desenvolvimento de um filtro de notificação de senhas personalizado para implementar serviços avançados de gerenciamento de senhas.

Você pode gerenciar contas e senhas com outros sistemas, especialmente outros sistemas de diretórios e bancos de dados de armazenamento de identidades, por meio do MIIS 2003 SP1. O produto é fornecido com conectores que se integram aos diretórios e bancos de dados mais comuns, facilitando a tarefa de implantação de um mecanismo de gerenciamento de senhas. O MIIS 2003 SP1 dá suporte ao gerenciamento de senhas das seguintes maneiras:

Redefinição pela assistência técnica. A equipe de assistência técnica redefine as senhas de usuários através da interface da Web fornecida com o MIIS. Você pode configurar a alteração de senhas para que passe para o Active Directory e outros diretórios para os quais há suporte no MIIS 2003 SP1 para o gerenciamento de senhas.
Alterações iniciadas pela Web. Os usuários alteram as senhas por meio de um aplicativo comum de alteração de senhas baseado na Web. A senha é, então, distribuída para todos os diretórios e sistemas para os quais há suporte no MIIS, incluindo o Active Directory.
Alterações iniciadas pelo Windows. Os usuários alteram as senhas por meio da caixa de diálogo Alterar Senha em computadores cliente baseados no Windows. O filtro de notificação de senhas do Active Directory obtém as senhas alteradas e as distribui para outros sistemas por meio do MIIS 2003 SP1. Atualmente, esse recurso não é interno do MIIS 2003 SP1, mas pode ser implementado usando o Visual Studio .NET com codificação personalizada, como mostrado no exemplo incluído no documento "Gerenciamento de senhas", desta série.
Alterações iniciadas por outros sistemas. Os usuários alteram as senhas por meio de sistemas operacionais não baseados no Windows. A senha é obtida através de mecanismos para os quais há suporte no sistema operacional e, em seguida, é distribuída pelo MIIS 2003 SP1. Há suporte a esse recurso apenas com a utilização de aplicativos que não sejam da Microsoft e que se integrem com o Active Directory ou o MIIS 2003 SP1.

Qualquer que seja o sistema de gerenciamento de senhas utilizado, você só tirará proveito dele se for fácil de usar e se os usuários entenderem como acessá-lo.