*Por Eduardo Bortoluzzi Júnior
Os conceitos de segurança básicos já são de total conhecimento e amplamente aplicados nos sistemas. Não são mais aceitáveis sistemas que não controlem a complexidade das senhas ou que não bloqueiem os usuários se houver muitas tentativas mal sucedidas de acesso à conta. E já está virando um requisito a exigência de um segundo fator de autenticação, principalmente para os sistemas que contenham informações mais críticas. Mas, ainda se vê alguma dificuldade de manter o controle de quem tem permissão de entrar nos sistemas.
Analise o processo de desligamento de um colaborador na sua empresa. Você se sente no controle? Não adianta ter todo o processo de senhas fortes e segundo fator de autenticação se, quando o colaborador for desligado, ele não for desprovisionado de todos os sistemas. O token virtual, que é o segundo fator de autenticação mais utilizado, poderá estar ainda configurado no smartphone do colaborador, ou seja, esse profissional poderá ter acesso aos sistemas caso o processo de desprovisionamento não for bem realizado.
Autenticação federada ou identidade federada, é um meio de vincular a identidade eletrônica e os seus atributos, que estão espalhados por múltiplos sistemas de identidade. O Single Sign-On (SSO, ou, login único) é um subconjunto da identidade federada, o que damos ênfase neste artigo. O ganho com a autenticação federada é haver uma experiência única para o usuário e um controle centralizado da identidade deles.
Por isso que um serviço de autenticação federada é importante. Nesta era de serviços em nuvem, todos os sistemas devem utilizar uma autenticação federada. Isto é importante por alguns motivos:
1.Somente os usuários autenticados pelo sistema federado terão acesso:
- isso significa que quem estiver desabilitado, não irá acessar
2.O processo de autenticação será padronizado para todos em todos os serviços:
- login e senha únicos para todos os sistemas
- mesmos requisitos de segurança na autenticação para todos os serviços
3.Um lugar único para desabilitar o usuário quando ele for desligado:
- o desprovisionamento nos sistemas poderá ser realizado mais tarde
A simples adoção de um serviço de autenticação federada proporciona um aumento de controle e confiança no processo de desligamento de um colaborador. O padrão de federação mais comumente utilizado é o SAML 2.0 e é suportado pelos principais serviços em nuvem como Amazon AWS, Microsoft Office 365, Azure, entre outros.
Na federação com o padrão SAML 2.0, o usuário é redirecionado para um provedor de identidade, que foi configurado no serviço, onde todo o processo de autenticação do usuário, junto com a verificação se o usuário existe e está habilitado, é realizado e a asserção ou confirmação que o usuário foi autenticado é informada, de forma segura e confiável para o provedor de serviços. Normalmente é utilizado um serviço de diretório, como o Active Directory, para realizar as validações de autenticação.
Federação na Amazon AWS
Com a federação na Amazon AWS, você não precisa criar um login e senha para todos os usuários que acessam a conta na Amazon AWS. Eles se autenticam pelo sistema federado e têm as “Roles” da Amazon AWS, com as permissões necessárias, associadas de acordo com algum atributo que o sistema federado envia na resposta. Nos logs da Amazon AWS, os usuários são identificados individualmente.
Com a federação configurada, os usuários podem acessar a console ou acessar alguma API com as suas credenciais, usando as regras de autenticação que o sistema de federação impõe, inclusive o segundo fator de autenticação, e somente com as permissões que o papel associado ao usuário permite. É possível associar mais de um papel para cada usuário.
Federação no Microsoft Office 365
A federação é realizada no Windows Azure AD e os usuários são associados às suas contas no Microsoft Office 365 por um ID único, que nunca muda para o usuário: o usuário pode mudar de email, mas o ID deve ser mantido.
O usuário deve ser criado no Office 365, normalmente pelo DirSync, que usa o mesmo Active Directory que o sistema de federação utiliza para realizar a autenticação do usuário, para que seja associado um ID único para este usuário. O ID único e o email do usuário são utilizados para validar o usuário no serviço.
Vantagens de um sistema de federação
Os sistemas de federação, como o Dedalus Authentication Tool, o DAT, realizam todo o processo de validação do usuário e senha em um sistema de diretório, por exemplo, e enviam ao provedor de serviço as informações do usuário autenticado.
Além disto, os sistemas de federação podem realizar outras verificações, que os serviços não realizam. O DAT tem as seguintes configurações adicionais disponíveis:
- Identificação do local onde o usuário está se autenticando, através do IP público;
- Faixa de horários e dias que o usuário pode entrar nos serviços;
- Segundo fator de autenticação, por token virtual, token físico, SMS;
- Validação se o usuário ainda está habilitado através de outros sistemas, não o sistema de diretório;
- Outros, e ainda existe a possibilidade de se solicitar novas verificações a serem desenvolvidas.
Aumente a segurança da sua empresa e dos seus ativos, garantindo de forma efetiva que somente seus colaboradores em exercício possam acessar as informações e os serviços que eles precisam, e com uma interface segura e comum, utilizando um sistema de federação em todos os seus serviços. Assim, você terá garantia que, em uma única etapa, como a desabilitação do usuário no sistema de diretório, o usuário não poderá mais acessar os serviços.
*Eduardo Bortoluzzi Júnior é gerente de Desenvolvimento na Dedalus Prime