Plataforma e infra-estrutura
Capítulo 2: Métodos de escolha de uma plataforma
Publicado em: 11 de maio de 2004 | Atualizado em: 26 de junho de 2006
Para estabelecer uma plataforma de gerenciamento de acesso e identidades, é necessário tomar algumas decisões importantes que terão impacto significativo sobre os recursos de TI de uma organização. A primeira decisão que uma organização precisa tomar é definir se ela deve escolher entre uma solução de um único fornecedor ou selecionar vários produtos "de ponta" que possam ser integrados para formar uma solução completa.
As vantagens de uma solução de um único fornecedor incluem:
Integração facilitada.
Suporte completo e de uma única fonte.
Licenciamento com desconto ou por pacote.
As vantagens de uma solução de ponta podem incluir (mas nem sempre incluem) as seguintes:
A capacidade de escolher produtos individuais de acordo com as necessidades.
A capacidade de licenciar e implantar somente os produtos necessários.
Muitas organizações aproveitam as vantagens dos dois modelos selecionando um único fornecedor (normalmente, um fornecedor de plataforma) para uma parte considerável da infra-estrutura e, posteriormente, aumentam essa linha de base de produtos com outros produtos de fornecedores a fim de preencher lacunas de funcionalidade específicas. Se uma organização escolher esse caminho, é importante que o fornecedor da plataforma esclareça que a tecnologia irá interoperar com muitos outros fornecedores de diferentes áreas tecnológicas.
O restante deste capítulo analisa as escolhas que devem ser feitas ao selecionar uma única plataforma ou um produto de ponta nas seguintes áreas de tecnologia:
Serviços de diretório.
Serviços de gerenciamento de acesso.
Mecanismos de confiança.
Ferramentas de gerenciamento do ciclo de vida de identidades.
A plataforma de aplicativos.
Nesta página
Escolhendo os serviços de diretório
Escolhendo os serviços de gerenciamento de acesso
Escolhendo ferramentas de gerenciamento do ciclo de vida de identidades
Escolhendo uma plataforma de aplicativos
A plataforma de gerenciamento de acesso e identidades da Microsoft
Escolhendo os serviços de diretório
A operação bem-sucedida da plataforma de gerenciamento de acesso e identidades requer um local apropriado para armazenar informações de aplicativos e de identidades. Embora existam outras opções de armazenamento de informações de usuários, a indústria rapidamente adotou a tecnologia de diretório como o padrão para obter essa capacidade. A maioria dos diretórios disponíveis no mercado atualmente dão suporte a um conjunto comum de recursos, que incluem:
Suporte aos protocolos LDAP ou DAP, ou a ambos, com base no padrão X.500 da ITU (International Telecommunication Union).
Tipos de atributos padronizados com base no padrão X.520.
Classes de objetos padronizadas com base no padrão X.521.
Como os mecanismos de acesso a diretórios e de armazenamento de objetos de diretório são razoavelmente consistentes entre a maioria dos diretórios, o que diferencia esses produtos normalmente são recursos como:
Desempenho em pesquisas.
Eficiência em armazenamento e multiprocessamento para escalabilidade vertical.
Desempenho em replicação de dados para escalabilidade horizontal.
Excelentes recursos de failover e recuperação.
Integração com diferentes tipos de serviços de segurança.
Integração com diferentes tipos de serviços de gerenciamento de sistemas e de aplicativos.
Tecnologias de publicação.
Controle de acesso preciso no nível de objeto e de atributo.
Licenciamento.
Suporte.
As exigências em termos de diretório também podem depender da função que um diretório precisa executar. Os recursos necessários para uma função podem não ser os mesmos de que outra função precisa. Por exemplo, muitas organizações terão de implantar serviços de diretório para executar as seguintes funções:
Diretório de intranet (corporativo)
Diretório de extranet (de perímetro)
Diretório de aplicativos
As próximas seções deste capítulo trazem análises sobre diretórios nessas funções.
Diretório de intranet
Atualmente, a maioria das organizações possui um ou mais serviços de diretório em suas intranets. Os serviços de diretório de intranet devem oferecer os seguintes recursos:
Um repositório central de contas de usuário.
Armazenamento centralizado e seguro das credenciais usadas para autenticação.
Armazenamento centralizado de informações de atributos usadas para autorização.
Informações para localizar recursos de rede.
Informações para localizar pessoas e grupos.
Além desses recursos, será de grande valia se o serviço de diretório de intranet também se integrar totalmente aos serviços de segurança comuns em uma intranet.
Diretório de extranet
Os diretórios de extranet têm os mesmos requisitos fundamentais que os diretórios de intranet na maioria das organizações. Os outros requisitos a serem considerados na escolha de um diretório que deve dar suporte aos aplicativos usados por parceiros, clientes e funcionários incluem:
A capacidade de se expandir para acomodar milhões de usuários.
Licenciamento com ótima relação custo/benefício.
Suporte para mecanismos de autenticação compatíveis com a Internet.
A capacidade de apresentar várias comunidades ou organizações distintas (como parceiros e clientes) em um único diretório.
Diretório de aplicativos
Os diretórios de aplicativos são implantados em organizações nas quais as tecnologias de serviços de diretório atendem às necessidades do cenário, mas onde os dados armazenados no diretório não são úteis para um grande grupo de usuários ou aplicativos. Os diretórios de aplicativos normalmente têm um subconjunto de diretórios que são utilizados no nível organizacional, além de necessidades adicionais em termos de capacidade de gerenciamento e interoperabilidade. Os diretórios de aplicativos devem oferecer:
Armazenamento de informações específicas de aplicativos.
Facilidade de configuração e implantação.
Um modelo de administração simples.
Recursos razoáveis de escalabilidade vertical e failover.
Licenciamento de baixo custo.
Escolhendo os serviços de gerenciamento de acesso
Os serviços de gerenciamento de acesso oferecem aos aplicativos da organização a capacidade de autenticar usuários com segurança e executar autorização robusta. Ao estudar as opções de gerenciamento de acesso, escolha tecnologias que se integrem bem ao produto de serviços de diretório.
Selecionando os métodos de autenticação
Os requisitos e as considerações referentes a mecanismos de autenticação podem variar muito de acordo com o cenário. Entre os requisitos típicos que diferenciam a maneira como a autenticação é feita estão os seguintes:
Que requisitos a organização pode impor ao usuário?
Que infra-estrutura pode ser estabelecida e mantida para dar suporte ao usuário?
O usuário deve ter experiência com SSO (logon único)?
Que tipo de aplicativos o usuário precisa acessar?
Embora possa haver variações nos cenários, a autenticação na intranet e na extranet permite classificar os usuários e os mecanismos de autenticação aplicáveis.
Autenticação na intranet
A autenticação na intranet apresenta as seguintes características que influenciarão os mecanismos de autenticação escolhidos por você:
Altos níveis de controle (através de diretivas) que determinam como os usuários de computadores (funcionários) podem utilizar a rede.
Total controle sobre o ambiente de rede e a disponibilidade dos serviços.
Controle sobre a configuração das estações de trabalho dos usuários.
Vários tipos de aplicativos, como aplicativos cliente/servidor, baseados na Web ou no Microsoft® Windows® Forms.
Devido a essas características, é possível escolher mecanismos de autenticação para a intranet que ofereçam altos níveis de segurança e, ao mesmo tempo, proporcionem uma experiência de SSO. No entanto, elas também exigem uma combinação de infra-estrutura sofisticada, configuração e certos comportamentos do usuário. Os exemplos de tecnologias de autenticação que atendem a essa descrição incluem os seguintes:
O protocolo de autenticação Kerberos versão 5.
Certificados digitais X.509 em cartões inteligentes.
Tokens de hardware, como o SecurID RSA.
Para obter mais informações sobre essas tecnologias, consulte o documento "Gerenciamento de acesso à intranet" desta série.
Autenticação na extranet
Com a única exceção sendo funcionários (e, em poucos casos, parceiros) que acessam recursos de extranet utilizando tecnologias de VPN pela Internet, o acesso à extranet via Web possui um conjunto de características totalmente diferente:
Baixos níveis de controle (através de diretivas) determinam como os usuários de computadores (clientes, parceiros) podem utilizar a rede.
Há pouco ou nenhum controle sobre o ambiente da rede e a disponibilidade de serviços além do perímetro da rede.
Não há controle sobre a configuração das estações de trabalho dos usuários.
O acesso requer principalmente aplicativos baseados na Web.
Devido a essas características, você deve escolher mecanismos de autenticação para a extranet que ofereçam níveis de segurança adequados sem impor requisitos irreais para os usuários. Os exemplos de tecnologias de autenticação que atendem a essa descrição incluem os seguintes:
Autenticação baseada em formulários.
Certificados digitais X.509 para funcionários.
Serviços Microsoft Passport para clientes e parceiros.
Mesmo tendo em vista as restrições bastante explícitas impostas pelo ambiente de extranet, os usuários de extranet esperam ter a mesma experiência de SSO em vários aplicativos que os usuários de intranet. Além disso, muitas organizações precisam oferecer uma experiência de SSO aos usuários de diferentes aplicativos executados em diferentes plataformas. Um sólido mercado de ISV (fornecedor independente de software) tem surgido para lidar com o problema de oferecer SSO na Web entre plataformas heterogêneas, e muitas soluções adequadas estão disponíveis através de diversos fornecedores.
Para obter mais informações sobre essas tecnologias, consulte o documento "Gerenciamento de acesso à extranet" desta série.
Implementando a autorização
A maioria das plataformas oferece suporte a alguma forma de mecanismo de ACL (lista de controle de acesso) para conceder permissões em objetos estáticos, como arquivos e impressoras. O acesso a esses objetos será concedido se você for usuário ou membro de um grupo que tenha permissão explícita para acessar o objeto.
Além disso, a maioria das organizações estão considerando a possibilidade de usar alguma forma de controle de acesso baseado em função (RBAC). O RBAC tende a ser mais intuitivo e, por isso, é mais flexível e fácil de gerenciar.
Os mecanismos de RBAC devem ser capazes de implementar uma regra comercial para definir a diretiva de autorização. Por exemplo, um mecanismo de RBAC deve ser capaz de aplicar uma regra comercial do seguinte tipo:
Somente caixas de bancos podem processar depósitos em caderneta de poupança das 9h às 16h.
Uma organização deve escolher uma plataforma que proporcione controle de acesso eficiente baseado em ACL para objetos estáticos, bem como um mecanismo de RBAC robusto e flexível que seja intuitivo para gerenciar e capaz de expressar regras comerciais complexas como diretivas de acesso.
Implementando mecanismos de confiança
De todas as tecnologias que analisamos até agora, a implementação de relações de confiança provavelmente é a maior área de tecnologia que diferencia várias plataformas. No nível mais alto, a relação de confiança é o crédito que um computador deposita em outro computador ou em um grupo de computadores para declarar a identidade de um usuário. A diferença entre os mecanismos de confiança está principalmente na maneira como computadores e usuários se tornam parte de um círculo de confiança.
Por exemplo, por sua natureza, os sistemas baseados em host são autônomos e abrangentes. São poucas as organizações que possuem mais de um mainframe e, em um ambiente com vários mainframes, pouco provavelmente os computadores confiam uns nos outros, exceto através do compartilhamento explícito de senhas.
Os sistemas operacionais UNIX e Linux geralmente são autônomos (não são membros de nenhum "círculo de confiança") ou fazem parte de um agrupamento do NIS (Serviço de Informação de Rede) ou do NIS+. Também é possível configurar estações de trabalho UNIX e Linux para usar LDAP em operações de autenticação e autorização. Quando isso acontece, todas as estações de trabalho como essas configuradas para utilizar a mesma instância de diretório se tornam parte desse círculo de confiança.
Para se tornar uma ferramenta de fato valiosa que possibilite o gerenciamento eficiente de acesso e identidades, a plataforma deve oferecer mecanismos de confiança que sejam escalonados na organização inteira e até mesmo entre organizações. A definição de círculos de confiança deve ser um componente fundamental que você pode organizar em agrupamentos hierárquicos para facilitar a administração da relação de confiança no nível apropriado.
Escolhendo ferramentas de gerenciamento do ciclo de vida de identidades
As ferramentas de gerenciamento do ciclo de vida de identidades permitem gerenciar as seguintes tarefas básicas relacionadas a identidades:
Gerenciamento de usuários.
Gerenciamento de credenciais.
Gerenciamento de direitos.
Todas as plataformas vêm com ferramentas e interfaces que permitem ao administrador executar essas tarefas básicas, mas esta é outra área na qual tem se desenvolvido um forte mercado de ISVs, que fornecem recursos de gerenciamento amigáveis e compatíveis com várias plataformas. Em muitos casos, essas ferramentas são baseadas na Web, o que é altamente apropriado para cenários de gerenciamento de identidades em extranets, como na administração delegada pelo parceiro (em que a organização parceira assume a responsabilidade por administrar seus usuários).
Você deve avaliar a possibilidade de usar ferramentas de gerenciamento de identidades de ponta para o cenário da sua organização, caso as ferramentas fornecidas pela plataforma que foram designadas para o cenário de intranet desta série de documentos não atenderem às necessidades da sua organização.
Implementando a integração de identidades
As ferramentas de integração de identidades geralmente são produtos sofisticados e complexos. Elas têm a capacidade de integrar e sincronizar as informações que descrevem identidades digitais (atributos) entre os diversos armazenamentos de identidades existentes em organizações estabelecidas. Alguns desses produtos também são descritos como produtos de metadiretório.
Entre os pontos a serem considerados na avaliação de um produto de integração de identidades estão os seguintes:
A quantos tipos diferentes de armazenamentos de identidades ele se conecta?
Cada "conector" requer um espaço (uma conta de usuário ou tabela adicional) no sistema conectado?
Quão rigorosas são as regras que determinam o fluxo de atributos entre os armazenamentos de identidades?
Qual é o ambiente de desenvolvimento necessário para estender as regras que vêm com o produto?
O produto pode sincronizar ou propagar senhas de usuários de um armazenamento para outro?
O produto oferece suporte ao processamento baseado em estado (no estado atual de um objeto) e baseado em evento (nas alterações ocorridas no armazenamento de identidades conectado)?
O produto se integra bem ao serviços de diretório de plataforma selecionados pela organização?
Configuração e desconfiguração
A capacidade de configurar e desconfigurar contas de usuário em vários armazenamentos de identidades pode incluir recursos que fazem parte de um produto de integração de identidades ou pode ser implementada em um produto autônomo. Os recursos a serem considerados na avaliação de produtos de configuração são semelhantes àqueles de um produto de integração de identidades. A capacidade de permitir diferentes níveis de fluxo de trabalho também é uma distinção importante para a configuração.
Escolhendo uma plataforma de aplicativos
Os ambientes de desenvolvimento de aplicativos têm um histórico de boa integração com sua plataforma nativa, mas não tão boa com outras plataformas. Por esse motivo, a plataforma de aplicativos escolhida pela sua organização muito provavelmente dependerá da plataforma de infra-estrutura escolhida para os servidores de aplicativos do ambiente.
Muitas organizações optam por desenvolver ou manter aplicativos em duas ou mais plataformas. Para essas organizações, é fundamental entender como aplicativos heterogêneos podem interoperar usando protocolos comuns e tirando proveito de serviços de infra-estrutura comuns. Não se deve escolher uma plataforma de aplicativos que não se integra ou interopera bem com outras. Os fornecedores de plataformas de aplicativos devem ter um comprometimento manifesto com a interoperabilidade e apoiar os esforços de padrões relevantes que tornam possível a interoperabilidade.
A plataforma de gerenciamento de acesso e identidades da Microsoft
As próximas seções deste capítulo descrevem os principais produtos e tecnologias que constituem a plataforma de gerenciamento de acesso e identidades da Microsoft e as vantagens que ela proporciona a uma organização.
Serviços de diretório
O Microsoft Windows Server™ 2003 inclui suporte ao serviço de diretório Microsoft Active Directory® e a um serviço de diretório de aplicativos chamado ADAM (Modo de Aplicativo do Active Directory). A figura abaixo mostra o papel central do Active Directory e como ele se integra com outras tecnologias da Microsoft e de ISVs.
.gif "Dd459051.Plat2-1(pt-br,TechNet.10).gif")
Figura 2.1. Integração do Active Directory com outros componentes de rede
Active Directory
O Active Directory possui os seguintes recursos, que o tornam adequado para a função de serviço de diretório de intranet e extranet:
Um local central para administração de rede e delegação de autoridade administrativa. Os administradores têm acesso a objetos que representam todos os usuários, dispositivos e recursos da rede, bem como a capacidade de agrupar objetos (para facilitar o gerenciamento) e de aplicar a Diretiva de Segurança e de Grupo.
Segurança de informações e SSO para acesso dos usuários a recursos da rede. A forte integração com a segurança elimina o dispendioso controle de contas para autenticação e autorização entre sistemas. Uma única combinação de nome de usuário e senha identifica cada usuário da rede, e essa identidade acompanha o usuário na rede inteira.
Escalabilidade. O Active Directory inclui um ou mais domínios, cada um com um ou mais controladores de domínio, o que permite expandir o diretório para atender a quaisquer requisitos de rede.
Pesquisas flexíveis e globais. Os usuários e administradores podem utilizar ferramentas de desktop para pesquisar no Active Directory. Por padrão, as pesquisas são direcionadas ao catálogo global, o que oferece recursos de pesquisa em toda a floresta.
Armazenamento de dados de aplicativos. O Active Directory oferece um local central para armazenar dados compartilhados entre aplicativos e para aplicativos que precisam distribuir dados entre redes inteiras baseadas no Windows.
Sincronização sistemática de atualizações de diretório. As atualizações são distribuídas em toda a rede através da replicação segura e econômica entre os controladores de domínio.
Administração remota. Você pode se conectar a qualquer controlador de domínio remotamente a partir de qualquer computador com o Windows no qual estejam instaladas ferramentas administrativas. Se preferir, você pode usar o recurso Área de Trabalho Remota para fazer logon em um controlador de domínio a partir de um computador remoto.
Esquema único, modificável e extensível. O esquema é um conjunto de objetos e regras que fornecem os requisitos de estrutura para objetos do Active Directory. É possível modificar o esquema para implementar novos tipos de objetos ou propriedades de objetos.
Integração de nomes de objetos com o DNS, o sistema de localização de computadores padrão da Internet. O Active Directory usa o DNS para implementar um sistema de nomes baseado em IP, de modo que os controladores de domínio e os serviços do Active Directory possam ser localizados via IP padrão em intranets e na Internet.
Suporte a LDAP. LDAP é o protocolo de acesso a diretórios padrão do mercado, o que torna o Active Directory amplamente acessível para aplicativos de gerenciamento e de consulta. O Active Directory oferece suporte ao LDAPv3 e ao LDAPv2.
Modo de Aplicativo do Active Directory
O ADAM (Modo de Aplicativo do Active Directory) possui os seguintes recursos que o tornam apropriado para a função de serviço de diretório de aplicativos:
Facilidade de implantação. Desenvolvedores, usuários finais e ISVs podem implantar o ADAM facilmente como um serviço de diretório simples na maioria das plataformas Windows Server 2003 e em clientes que executam o Microsoft Windows® XP Professional. Você pode instalar, reinstalar ou remover o diretório de aplicativos ADAM com facilidade, o que o torna o serviço de diretório ideal para implantação com um aplicativo.
Redução dos custos com infra-estrutura. Utilizando uma única tecnologia de diretório para suas necessidades de NOS (sistema operacional de rede) e de diretório de aplicativos, você pode reduzir os custos gerais com a infra-estrutura. Não é necessário fazer investimentos adicionais em treinamento, administração ou gerenciamento do diretório de aplicativos.
APIs (interfaces de programação de aplicativos) padronizadas. O protocolo LDAP, ADSI (Active Directory Service Interfaces) e a linguagem DSML são implementados no ADAM e no Active Directory. Através desses recursos, você pode criar aplicativos no ADAM e migrá-los para o Active Directory conforme o necessário, com o mínimo de alterações.
Maior segurança. Como o ADAM é integrado ao modelo de segurança do Windows, qualquer aplicativo que usa o ADAM pode autenticar o acesso no Active Directory em toda a empresa.
Maior flexibilidade. O proprietário de um aplicativo pode facilmente implantar aplicativos habilitados para diretório sem afetar o esquema de diretórios da organização inteira e, ao mesmo tempo, continuar usando as informações de identidades e as credenciais armazenadas no diretório de NOS da organização.
Confiabilidade e escalabilidade. Os aplicativos que usam o ADAM apresentam a mesma confiabilidade, escalabilidade e desempenho que têm com implantações do Active Directory no ambiente de NOS.
Para obter mais informações sobre o ADAM, baixe o white paper Introduction to Active Directory Application Mode (em inglês).
Serviços de segurança
Os serviços de segurança abaixo são totalmente integrados a servidores de aplicativos Windows, a sistemas operacionais de cliente Windows e a computadores que executam o Windows 2000 Server e o Windows Server 2003 e atuam como controladores de domínio:
O protocolo Kerberos versão 5 suporta autenticação, incluindo APIs que podem ser usadas por aplicativos cliente/servidor, bem como um KDC (centro de distribuição de chaves) Kerberos integrado ao Active Directory.
A interface SSPI da Microsoft é uma API comum bem-definida usada para obter serviços de segurança integrados para autenticação, integridade de mensagens, privacidade de mensagens e QoS de segurança para qualquer protocolo de aplicativo distribuído.
O servidor de certificados de chave pública baseado em X.509 interno do Windows Server permite que organizações emitam certificados de chave pública para autenticação aos seus usuários, sem depender de serviços de CAs (autoridades de certificação) comerciais.
Os protocolos SSL e TLS usam certificados digitais X.509 de cliente/servidor para dar suporte à autenticação mútua forte e a comunicações seguras.
Cartões inteligentes oferecem armazenamento à prova de violações para proteger chaves privadas, números de contas, senhas e outras formas de informações pessoais e são um componente fundamental da PKI (infra-estrutura de chave pública) que a Microsoft integra à plataforma Windows®.
O Microsoft Passport proporciona uma experiência de SSO ao usuário para autenticação de clientes em aplicativos da extranet de uma organização.
ACLs em recursos estáticos. O modelo de segurança baseado em objetos do Microsoft Windows Server™ permite aos administradores conceder direitos de acesso aos direitos de um usuário ou grupo que determinam quem pode acessar um objeto específico.
O Gerenciador de Autorização dá suporte a RBAC em aplicativos personalizados.
Observação O Gerenciador de Autorização é incluído no Windows Server 2003, mas você deve baixá-lo da página Windows 2000 Authorization Manager Runtime (em inglês) e instalá-lo para uso no Windows 2000 Server.
A auditoria de segurança permite que alterações em objetos de diretório e eventos de acesso sejam reportadas através do log de eventos de segurança.
Serviços de integração de identidades
O Microsoft Identity Integration Server 2003 Enterprise Edition com Service Pack 1 (MIIS 2003 com SP1) inclui os seguintes recursos, que você pode usar para simplificar o gerenciamento de acesso e identidades na sua organização:
Agregação, sincronização e configuração de identidades entre armazenamentos de identidades heterogêneos.
Agentes de gerenciamento para conexão com vários armazenamentos de identidade, incluindo serviços de diretório, bancos de dados e sistemas de email.
Gerenciamento e sincronização de senhas, incluindo um aplicativo da Web de auto-atendimento para redefinição de senha.
Sem espaço de conector nos armazenamentos de identidades conectados.
Processamento de sincronização com base em evento ou estado.
Extensibilidade facilitada através do ambiente de programação Microsoft Visual Studio® .NET.
Uma versão com um conjunto de recursos menor, chamada Identity Integration Feature Pack para Active Directory, oferece o seguinte:
- Agentes de gerenciamento para o Active Directory, ADAM e sincronização da GAL (lista de endereços global).
Sistema operacional cliente
As organizações que adotarem o Windows XP Professional como padrão terão os seguintes benefícios:
Suporte para autenticação integrada do Windows com serviços de plataforma para obter SSO para serviços de arquivo, impressão e aplicativos Web.
Diretiva de Grupo no nível de domínio para obter maior segurança.
Recursos adicionais de SSO entre diferentes organizações que usam senhas, certificados digitais X.509 e contas do Microsoft Passport através do Gerenciador de Credenciais do Windows.
Plataforma de desenvolvimento
O Microsoft Visual Studio.NET e o .NET Framework permitem:
Desenvolver aplicativos com reconhecimento de identidades que usam os recursos da plataforma de Gerenciamento de acesso e identidades da Microsoft.
Diminuir os custos de desenvolvimento de aplicativos.
Benefícios da plataforma
A implementação da plataforma de Gerenciamento de acesso e identidades da Microsoft com as soluções descritas nos próximos capítulos deste documento permitirá que a Contoso obtenha os seguintes benefícios:
Uma única fonte segura e confiável de informações de identidades. Os administradores têm uma visualização atualizada e confiável de todos os aplicativos e sistemas, bem como de todos os usuários e seus respectivos direitos.
Integração direta de aplicativos. A plataforma de desenvolvimento da Microsoft oferece mecanismos de autenticação, autorização e proteção de dados seguros e baseados em padrões.
Segurança e configuração aprimoradas. As identidades de funcionários, clientes ou parceiros nos vários sistemas da organização são removidas assim que termina sua relação com a organização.
Administração simplificada e custos administrativos reduzidos. Os administradores podem adicionar, alterar e remover identidades digitais e direitos em um local centralizado de maneira rápida e fácil.
Controle de acesso refinado. Os administradores controlam com mais precisão os recursos que podem ser acessados pelos usuários, o que eles podem fazer com esses recursos e como diretivas de segurança são aplicadas a usuários e recursos em um nível detalhado.
Uso de menos senhas e gerenciamento de senhas aprimorado. Os usuários podem acessar aplicativos de um modo mais prático, e a equipe de assistência técnica gastará menos tempo gerenciando problemas relacionados a senhas.
Interoperabilidade entre sistemas de identidades e sistemas operacionais. A solução proporciona interoperabilidade através de mecanismos de acesso e autenticação baseados em padrões, que reduzem o tempo necessário para integrar e administrar vários sistemas.
Auditoria segura e confiável. A auditoria oferece a trilha necessária para explicar quem acessa os recursos da rede, quando, onde e de que maneira.
Gerenciamento de credenciais locais. Forte proteção de credenciais de senha armazenadas localmente usando o Gerenciador de Credenciais do Windows.
Embora a plataforma ofereça serviços básicos que são necessários para o gerenciamento de acesso e identidades, você deve implementar várias soluções com ela para obter todos esses benefícios. O Capítulo 4 deste documento, intitulado "Criando a infra-estrutura", analisa essas soluções.
Neste artigo
- Capítulo 1: Documento de introdução à plataforma e infra-estrutura
- Capítulo 2: Métodos de escolha de uma plataforma
- Capítulo 3: Problemas e requisitos
- Capítulo 4: Criando a infra-estrutura
- Capítulo 5: Implementando a infra-estrutura
- Capítulo 6: Operando a infra-estrutura
- Apêndice A – Opções de configuração da Série de gerenciamento de acesso e identidades da Microsoft
- Links
- Agradecimentos
Download
Obtenha a Série de gerenciamento de acesso e identidades da Microsoft
Notificações de atualização
Inscreva-se para receber informações sobre atualizações e novas versões
Comentários
Envie seus comentários ou suas sugestões
.gif "Dd459051.pageLeft(pt-br,TechNet.10).gif") 2 de 9 .gif "Dd459051.pageRight(pt-br,TechNet.10).gif") |