A gestão de identidades define uma identidade digital para cada entidade (pessoas, hardware ou processo), associa atributos à identidade e reforça os meios através dos quais a identidade pode ser verificada. Normalmente distribuída como um programa ou um conjunto de programas e por vezes acompanhada por um equipamento dedicado, a gestão de identidades difere do Network Access Control (NAC) na medida em que, para lá de gerir direitos e permissões, também gere processos; a tecnologia NAC está preocupada com a configuração do equipamento e politicas de segurança, como ter actualizado os “patches” de segurança.
Desde a criação até à dissolução, e contemplando todas as alterações neste processo, um sistema complete de gestão de identidades inclui autenticação e autorização dos utilizadores, direitos de acesso, privilégios e autorizações. A autenticação dos utilizadores inclui sign-on simplificado, a capacidade de um utilizador aceder a todos os recursos de rede após uma única autenticação. Adicionalmente a gerir as identidades dos indivíduos, as ferramentas de gestão de identidade permitem aos administradores controlar a infra-estrutura de identidades, eliminando os privilégios de acesso latentes.
Um mercado recente
Apesar de terem emergido fabricantes poderosos, o mercado de gestão de identidades está carregado de fabricantes (e de inovação) e com mais a caminho.
O mercado de gestão de identidades ainda está num estádio evolucionário, mas a progredir a um bom ritmo. Nesta conjuntura, grandes fabricantes, como a BMC Software, a CA, a Hewlett-Packard, a IBM, a Microsoft, a Novell, a Oracle e a Sun Microsystems, deram entrada neste segmento de mercado. No entanto, estas empresas estão longe de serem os únicos a disponibilizar tecnologia significativa. Fabricantes de pequena dimensão estão a introduzir funcionalidades inovadoras no mercado, particularmente nas áreas de gestão de funções, gestão de entitlement e auditoria de identidades. Isto num mercado que, segundo o Burton Group, até aqui tem resistido à consolidação e que conta com mais de 100 fabricantes (com mais no horizonte).
A IDC estima que as receitas globais de gestão de acesso e identidade tenham ultrapassado três mil milhões de dólares em 2006 e deverá ascender a 4,9 mil milhões de dólares em 2011. O mercado está dividido entre diferentes fabricantes. Por exemplo, cerca de 12% das receitas mundiais é a maior quota de mercado que um fabricante detém. A IBM reivindica esta pedaço do queijo e, mesmo assim, com receitas provenientes de três produtos Tivoli – Identity Manager, Access Manager and Federated Identity Manager. Globalmente, os fabricantes que disponibilizam produtos que contemplam as funcionalidades de gestão de acesso e de identidades possuem mais clientes, refere o estudo da IDC. Até que o mercado alcance a maturidade e a consolidação seja a regra, as parcerias serão the major thrust do mercado de gestão de identidades. Os fabricantes de menor dimensão irão concorrer contra outros produtos através de parcerias. Entretanto esteja atento à inovação que irá continuar em áreas quentes como a autenticação de consumidores e a protecção à fraude de identidades.
A Wintergreen Research refere ainda que o “middleware” é uma das áreas centrais de desenvolvimento do mercado de gestão de identidades na medida em que permite o desempenho de funções de gestão de identidades mais avançadas. Tal inclui a resolução de identidades e a gestão de identidades digitais. A resolução de identidades envolve a capacidade de identificar proactivamente pessoas fraudulentas através da correlação de eventos semelhantes em tempo real através de sistemas de gestão de identidades. Subjacente a esta capacidade está o software de gestão de identidades digitais. Tal permite às organizações a partilha de identidades sem revelar detalhes específicos das pessoas.
Fabricantes com “buffet” de gestão de identidades
Neste mercado, existem soluções que se colocam entre as “suites” integradas e os produtos isolados, desde que saiba como procurar.
Os maiores fabricantes no mercado da gestão de identidades gostam de lhe dizer que adquirir uma “suite” integrada de um único fabricante constitui a garantia de sucesso neste segmento. Os pequenos fabricantes, com produtos vencedores em uma ou duas áreas da gestão de identidades irão dizer-lhe que construir a sua própria “suite” com os melhores produtos disponíveis no mercado é o caminho para o sucesso na adopção de gestão de identidades. E, será, que ambos podem ter razão?
Bem, até podem.
A opção "os melhores produtos” é como jantar a la carte. Escolhe a entrada, a sopa, a salada, o prato principal e a sobremesa de todas as opções disponíveis na cozinha e constrói a sua própria visão da refeição. Talvez as diferentes partes funcionem bem, ou talvez não.
A opção “suite integrada” é como um menu de degustação do chefe – existem poucas opções e todas as refeições em qualquer mesa possuem as mesmas iguarias. Não pode escolher os pratos que gosta – são-lhe entregues apesar de poder não os comer. Claro que o benefício é de que foram todos desenhados para se integrarem numa memorável refeição (se o chefe for bom).
Uma terceira opção é mais parecida com um “menu de banquete”. O cliente senta-se com o chefe e, a partir de um limitado número de opções, escolhe a refeição que será servida aos seus convidados. Pode escolher os componentes que aprecia enquanto que confia na escolha do chefe para aqueles que são complementares.
Alguns preferem um método, outros preferem outro. Mas mais importante no que diz respeito ao festim da gestão de identidades é que existem mais do que uma maneira de construir a refeição.
Dependendo da sua experiência, as competências disponíveis no interior da sua organização e das relações estratégicas existentes com os seus fornecedores, um ou outro método pode ser o mais adequado à sua situação. O mais difícil é decidir qual a sua situação.
Sucesso depende dos esforços de equipa
As melhores práticas para gestão de identidades começam com o conhecimento de que este conceito é uma iniciativa de negócio e não um projecto de tecnologias de informação.
Assegurar-se que o projecto de implementação de gestão de identidades no interior da organização não é liderado pelo departamento de tecnologias de informação é a mais importante boa prática para alcançar um projecto seguro e de sucesso.
Um projecto de gestão de identidades necessita do envolvimento da totalidade da organização e necessita de ser liderado a partir do topo para que o comprometimento seja claro: este projecto é para ser concluído.
Esta é uma tarefa árdua de ultrapassar, mas uma vez concluída, o resto do trabalho será mais fácil, desde que divida em pequenos pedaços, com o sucesso demonstrado a intervalos regulares, para manter o compromisso da gestão da empresa, factor crucial para o sucesso do projecto.
Apesar de tudo, irá querer uma abordagem à implementação de uma solução completa de gestão de identidades de um modo coordenado e integrado. Pense em construir a sua solução de gestão de identidades como um projecto, não muito diferente de construir um edifício ou de fabricar um automóvel. A solução é composta de diferentes sistemas independentes que funcionam em conjunto para disponibilizar o conceito numa única estrutura.
Mas, do mesmo modo que não começa a construir uma casa pelo telhado, nem fabricar um automóvel escolhendo em primeiro lugar os limpa-vidros, é importante que desenhe e arquitecte a sua solução adequadamente.
Um directório virtual é necessário para converter os múltiplos armazéns de identidades espalhados pela empresa num único, pelo menos percebido deste modo pelas outras aplicações e serviços. Tal realidade irá permitir um sistema de provisionamento que normalize os sistemas de autenticação através da organização – desde a instalação de contas através de acesso singular até à eliminação automática de passwords – o aprovisionamento necessita de estar a funcionar com o objectivo de implementar com sucesso a gestão de papéis – papéis e regras – disponibilizando o controlo de acessos granular que a gestão de autorizações promete. Mas conseguimos ver que a gestão de autorizações não é o ponto final; é apenas mais uma marca no caminho para implementar totalmente um serviço de identidades.
Uma vez que a gestão de autorizações com acesso granular esteja em funcionamento pode-se passar ao nível seguinte – acessos baseados no contexto. Este conceito disponibiliza um controlo ainda mais granular, na medida em que pode variar consoante a hora do dia, o dia do mês, a localização dos utilizadores ou qualquer outra condição contextual que possa ser medida: quem, o quê, quando, onde, como e talvez porquê um utilizador necessita de acesso a determinado item. Poderá continuar a lutar para ter os serviços de aprovisionamento totalmente implementados, mas agora existe uma maior incentivo porque esse serviço de aprovisionamento irá permitir melhor controlo, acesso mais eficiente e uma experiência dos utilizadores mais agradável e, tudo isto, num ambiente mais seguro.
Finalmente, aprenda com os problemas que vai encontrando. Reúna casos de estudo dos fabricantes interessados no seu negócio, assista a apresentações de outros implementadores em feiras e conferências.
Compreender as identidades federadas
A gestão de identidades federadas está a tornar-se rapidamente um método popular – aqui fica como funciona.
A gestão de identidades federadas é um conceito relativamente novo e que é uma extensão da gestão de identidades, a qual é uma abordagem centralizada, automatizada para regulamentar o acesso a recursos corporativos pelos empregados e outros indivíduos autorizados.
O foco da gestão de identidades está na definição de uma identidade para cada utilizador (pessoa ou processo), associando atributos à identidade e reforçando os meios de verificação da identidade de cada utilizador. Uma vez implementado, os sistemas de gestão de identidades suportam acesso único (Single Sign-On, SSO), a capacidade dos utilizadores acederem a todos os recursos após uma única autenticação. «
A gestão de identidades federadas refere-se a acordos, normas e tecnologias que possibilitam a portabilidade das identidades, atributos das entidades e autorizações através de múltiplas empresas e numerosas aplicações, suportando milhares, ou mesmo, milhões de utilizadores.
Quando múltiplas organizações implementam esquemas de identidades federadas interoperacionais, um empregado numa determinada organização pode utilizar SSO para aceder a serviços através da federação com relacionamentos de confiança associados à identidade.
Para lá da funcionalidade de SSO, a gestão de identidades federadas disponibiliza outras funcionalidades. Uma delas é um meio normalizado de representação de atributos. Crescentemente, as identidades digitais incorporam outros atributos diferentes dos identificadores e da informação de autenticação (tais como passwords e informação biométrica). Os atributos podem incluir números de conta, funções organizacionais, localização física e propriedade de ficheiros. E um utilizador pode ter diferentes identificadores associados a múltiplas funções, cada uma com as suas permissões de acesso.
Outra das funções centrais da gestão de identidades federadas é o mapeamento das identidades. Os domínios de segurança podem representar identidades e atributos diferentemente. Por outro lado, a quantidade de informação associada a um indivíduo num domínio pode ser mais do que é necessário noutro domínio. Os protocolos de gestão de identidades federadas mapeiam identidades e atributos de um utilizador num domínio aos requerimentos de outro domínio.
Uma arquitectura genérica de gestão de identidades federadas inclui fornecedores de identidades e fornecedores de serviços. O fornecedor de identidades adquire atributos de informação através do diálogo e de trocas de protocolos com utilizadores e administradores.
Os fornecedores de serviços são entidades que obtêm e empregam dados mantida e disponibilizada por fornecedores de identidades, com frequência para suportar decisões de autorização e coleccionar informação auditada. Por exemplo, diz-se que uma base de dados ou servidor de ficheiros consome dados porque necessita de uma credencial do cliente para saber que acesso pode disponibilizar a esse cliente. Um fornecedor de serviços pode estar no mesmo domínio do utilizador e do fornecedor de identidades ou num domínio diferente.
O objectivo é partilhar identidades digitais para que o utilizador possa autenticar-se apenas uma vez e aceder a aplicações e recursos através de múltiplos domínios. As organizações cooperantes formam uma federação baseada em normas comuns e níveis de confiança mútuos.
A gestão de identidades federadas utiliza um conjunto de normas como blocos de construção da troca segura de identidades. Na essência, as organizações emitem alguma forma de bilhetes de segurança para os seus utilizadores que podem ser processados pelos parceiros cooperantes. As normas de federação de identidades estão preocupadas com a definição de bilhetes, em termos de conteúdos e formatos, disponibilizando protocolos para troca e desempenhando um número de tarefas de gestão. Estas tarefas incluem a configuração de sistemas para desempenhar transferências de atributos e mapeamento de identidades, assim como funções de auditoria e de acesso.
A principal norma para as identidades federadas é a Security Assertion Markup Language (SAML), que define a troca de informação entre parceiros de negócio online. A SAML faz parte de uma colecção de normas publicadas pela Organization for the Advancement of Structured Information Standards para a gestão de identidades federadas.
A integração de múltiplas tecnologias, normas e serviços para disponibilizar um ambiente seguro e amigável dos utilizadores é o principal desafio da gestão das identidades federadas. A chave é confiar nalgumas normas maduras bastante aceites pela indústria. A gestão de identidades federadas parece ter alcançado um grau de maturidade.
