Академический Документы
Профессиональный Документы
Культура Документы
Pesquisa rápida
Conceitos essenciais
TechNet Ir Capítulo 3: Tecnologias de gerenciamento de acesso e identidades da M
Publicado em: 11 11e maio 11e 2004 | Atualizado em: 26 26e junho 26e 2006
Boletins de Segurança
Carreira O gerenciamento eficiente de acesso e identidades envolve várias
Neste artigo
Colunas tecnologias e processos interdependentes. Esses elementos são combinados
Comunidade para manter uma visão unificada de identidades em uma organização e •
usá-las efetivamente. Os principais tópicos para a discussão sobre o
Artigos Técnicos
gerenciamento de acesso e identidades incluem serviços de diretório,
Eventos gerenciamento do ciclo de vida de identidades, gerenciamento de acesso e •
Treinamento e Certificação como os aplicativos devem se integrar com a infra-estrutura.
Central de Segurança •
Observação: este capítulo fornece uma visão geral de cada um desses
Central do Windows tópicos e os capítulos restantes examinam os processos e serviços dentro
Server
de cada tópico em muito mais detalhes. Para obter uma visão geral desses
TechNet Magazine tópicos, leia este capítulo. Para obter uma abordagem técnica mais •
Central Beta rigorosa, leia os capítulos 4 a 7.
Porta 25 •
Muitas tecnologias e soluções de gerenciamento de acesso e identidades
O Que Há de Novo? evoluíram independentemente em resposta a problemas táticos específicos.
Fórum TechNet Cada vez mais, organizações, analistas, fornecedores e integradores de •
Academia de Segurança sistemas reconhecem que essas tecnologias e problemas comerciais são
todos interdependentes, resultando em uma única categoria que é descrita
Script Center
simplesmente como "gerenciamento de acesso e identidades". •
Suporte
•
Assinatura TechNet Para visualizar essa interdependência, a Microsoft criou a Estrutura de
gerenciamento de acesso e identidades, uma descrição gráfica dos serviços •
Usando TechNet
e processos envolvidos no gerenciamento de acesso e identidades.
FAQ
Meu TechNet A figura a seguir mostra os principais componentes da Estrutura de Download
gerenciamento de acesso e identidades:
Quem Somos
Obtenha a Série
gerenciamento de
identidades da M
Notificações de
atualização
Inscreva
informações sobr
atualizações e no
versões
Comentários
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 2 of 14
Nesta página
Serviços de diretório
Gerenciamento do ciclo de vida de identidades
Gerenciamento de acesso
Aplicativos
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 3 of 14
Resumo
Serviços de diretório
Os serviços de diretório fornecem a base de uma infra-estrutura de
gerenciamento de acesso e identidades. Os serviços de diretório fornecem
uma única fonte de informações de identidade digital oficiais. Essas
informações podem incluir informações de segurança, como mapeamentos
de certificados X.509 e senhas, bem como informações sobre perfis de
usuário na forma de atributos de usuário que incluem endereços, números
de telefone, área de escritório, cargos e nomes de departamentos.
Início da página
• Gerenciamento de grupos.
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 4 of 14
Configuração
Um componente-chave do gerenciamento de acesso e identidades é a
maneira como as identidades digitais são criadas. O processo de
configuração fornece uma ferramenta poderosa que tira proveito de
informações de usuários contidas na infra-estrutura de diretórios da
organização para acelerar a concessão e revogação de contas e direitos de
usuários aos recursos de informações. Esses recursos podem incluir email,
serviço telefônico, aplicativos de RH, aplicativos LOB (de linha de negócios)
e aplicativos funcionais, acesso a intranet e extranet e serviços de
assistência técnica.
Fluxo de trabalho
O fluxo de trabalho é um requisito da maioria dos processos de
configuração. As solicitações de recursos são inseridas online, roteadas em
um caminho predeterminado para revisores e aprovadores e, finalmente,
enviadas para a pessoa ou o sistema que cria a conta do usuário.
Solicitações e cópias eletrônicas de materiais de suporte são roteadas
automaticamente para cada participante do processo. Os processos são
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 5 of 14
Administração delegada
O modelo típico de administração envolve um pequeno grupo de pessoas
confiáveis que têm a habilidade de gerenciar todos os aspectos de um
armazenamento de identidades. Esses administradores criam e excluem
usuários, configuram e redefinem senhas e podem configurar todos os
atributos do usuário.
Administração de auto-atendimento
Para usuários típicos, como funcionários, existem muitos atributos de
usuário que não estão relacionados à segurança. Uma organização pode
decidir permitir que usuários modifiquem esses atributos. Por exemplo, os
usuários podem receber permissão para alterar seu número de telefone
celular. No entanto, a administração de auto-atendimento deve ter
restrições adequadas, como a imposição de convenções de nomenclatura e
verificação de validade.
Gerenciamento de credenciais
Como as credenciais são "essenciais" para autenticação e autorização, elas
têm necessidades especiais de gerenciamento e devem ter considerações
restritas de segurança para todos os processos relacionados. As credenciais
precisam ser configuradas e administradas (como a revogação de um
certificado ou a redefinição de uma senha) e os usuários precisam de
recursos de auto-atendimento (como a alteração de suas senhas). O
mecanismo de recebimento de uma credencial deve ser detalhadamente
examinado (por exemplo, o recebimento de um cartão inteligente
pessoalmente, mediante identificação, ou o recebimento de uma senha
redefinida por meio de um canal direto criptografado).
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 6 of 14
Gerenciamento de senhas
O gerenciamento de senhas é um subconjunto específico do gerenciamento
de credenciais. A autenticação com o uso de combinações de nome de
usuário e senha ainda é a técnica mais usada em redes e aplicativos atuais.
Técnicas diferentes estão disponíveis para gerenciar informações de senhas
entre ambientes heterogêneos.
Desconfiguração
A desconfiguração é outra função chave do gerenciamento do ciclo de vida
de identidades. A desconfiguração garante que contas sejam desabilitadas e
excluídas sistematicamente e que direitos sejam revogados quando os
funcionários saem da organização. Boas práticas de segurança recomendam
que as contas sejam desabilitadas rapidamente (para evitar ataques por ex-
funcionários insatisfeitos), mas que não sejam excluídas até que um
período adequado tenha decorrido, no caso de ser necessário reabilitar (ou
renomear e reatribuir) a conta. A desabilitação de contas (em vez da
exclusão) também é útil para algumas organizações que precisam garantir
determinados atributos de identidade, como nomes de contas que devem
ser exclusivos e não podem ser reutilizados por um período que atenda aos
requisitos da diretiva.
Gerenciamento de grupos
O gerenciamento de grupos inclui a atribuição automática e manual de
contas de usuários para fazerem ou não parte de grupos, assim como a
remoção de contas de grupos. Normalmente, grupos existem em serviços
de diretório ou sistemas de email, como o Active Directory ou o Lotus
Notes. Os grupos se encaixam em um de dois tipos: grupos de segurança e
grupos de distribuição. Os grupos de segurança podem ser usados para
configurar direitos, enquanto as listas de distribuição organizam os
destinatários de email. As contas de usuários recebem os direitos e as
permissões de quaisquer grupos aos quais pertençam.
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 7 of 14
• Configuração
Início da página
Gerenciamento de acesso
O gerenciamento de acesso envolve o controle de acesso de usuários a
recursos, seja usando autenticação para identificar um usuário,
mapeamento de credenciais para relacionar identidades digitais umas com
as outras ou autorização para verificar identidades de usuários em relação a
permissões do recurso. Tópicos adicionais sobre o gerenciamento de acesso
discutem a implementação de federação e de relações de confiança para
estender o acesso e auditoria para controlar e registrar as ações dos
usuários.
Autenticação
Autenticação é o processo de comprovar a identidade digital de um usuário
ou objeto em uma rede, aplicativo ou recurso. Depois de autenticados, os
usuários podem acessar recursos com base em seus direitos por meio do
processo de autorização.
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 8 of 14
Técnicas de autenticação
As técnicas de autenticação variam de um simples logon baseado na
identificação do usuário e em informações de senha (algo que você sabe),
biometria (algo que o distingue), até mecanismos de segurança mais
potentes, como tokens, certificados digitais e cartões inteligentes (algo que
você tem). Ambientes de alta segurança podem exigir um processo de
autenticação de multifatores. Por exemplo, eles podem exigir a combinação
de algo que você sabe (como uma senha) com um recurso que o distingue
(como uma impressão digital) ou algo que você tem (como um cartão
inteligente).
• Cartões inteligentes
• Passaportes eletrônicos
• Tokens de hardware
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 9 of 14
Logon único
Uma parte importante de qualquer discussão sobre autenticação é o
conceito de SSO (Logon único). O SSO no nível do aplicativo envolve o
estabelecimento de uma "sessão" entre o cliente e o servidor que permite
que o usuário continue usando o aplicativo sem fornecer uma senha a cada
vez que executar uma ação dentro do aplicativo.
O resultado final é que o usuário precisa assinar apenas uma vez antes de
usar diversos aplicativos — fornecendo, dessa forma, uma experiência de
logon único.
• Microsoft Passport
• Protocolo EAP
• Autenticação Digest
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 10 of 14
Autenticação básica
Autorização
Autorização é o processo de determinar se uma identidade digital tem
permissão para executar uma ação solicitada. A autorização ocorre após a
autenticação e mapeia atributos associados à identidade digital (como
associações em grupos) para acessar permissões em recursos a fim de
identificar quais recursos a identidade digital pode acessar.
Grupos de segurança
Sistemas operacionais que oferecem suporte a vários usuários normalmente
oferecem suporte a grupos de segurança que constituem um tipo especial
de identidade digital. O uso de grupos de segurança reduz a complexidade
de gerenciamento de manipular milhares de usuários em uma grande rede.
Funções
Muitos aplicativos usam o termo função para se referir à classificação de um
usuário. Por exemplo, uma função "Gerente" pode ser usada para fazer
referência a todos os membros de um grupo de segurança chamado
"Gerentes de Finanças", que, como membros desse grupo, receberão
automaticamente os direitos a recursos da rede que essa função permite.
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 11 of 14
pessoa que está aprovando a despesa. Essa lógica orientada pelos negócios
é quase impossível de configurar com mecanismos do tipo ACL.
• Autorização do ASP.NET
Relação de confiança
O conceito de relação de confiança está se tornando mais importante à
medida que as organizações continuam a compartilhar recursos com
parceiros de negócios. A habilidade de estabelecer confiança entre sistemas
administrados independentemente é crucial aos sistemas de TI para
oferecer suporte ao nível necessário de troca de dados. A relação de
confiança permite autenticação e autorização seguras de identidades
digitais entre sistemas de informações autônomos com menos sobrecarga
de gerenciamento.
Federação
Uma federação é um tipo especial de relação de confiança entre
organizações distintas estabelecidas além dos limites da rede interna. A
federação permite a autenticação e autorização seguras de identidades
digitais entre sistemas de informações autônomos baseados no princípio de
confiança. Por exemplo, um usuário da empresa A pode usar informações
disponíveis na empresa B porque existe uma relação de confiança federada
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 12 of 14
Considere uma organização que faz negócios com cem parceiros diferentes.
A alternativa à federação seria usar uma interface de administração
delegada para gerenciar contas em cem diferentes extranets de parceiros.
Por meio desse exemplo, fica óbvio que técnicas como a da administração
delegada não são dimensionadas para ambientes de negócios altamente
conectados. A habilidade de federar identidades digitais de maneira
confiável e segura é essencial para a criação de novas oportunidades de
negócios.
• Contas de sombra.
Auditoria de segurança
A auditoria fornece um meio de monitorar eventos do gerenciamento de
acesso e alterações em objetos de diretório. Normalmente, a auditoria de
segurança é usada para monitorar a ocorrência de problemas e violações de
segurança.
• Eventos de autenticação.
• Eventos de autorização.
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 13 of 14
Início da página
Aplicativos
Aplicativos de negócios de finalidade geral são os principais consumidores
de informações de acesso e identidades. Conseqüentemente, eles devem
ser integrados com a plataforma de gerenciamento de acesso e identidades.
Normalmente, os aplicativos se integram com os componentes de
autenticação e autorização da estrutura por meio de APIs. Aplicativos que
não se integram adicionam complexidade ao ambiente, aumentando os
custos de gerenciamento e freqüentemente criando superfícies de ataque
que, por sua vez, levam a vulnerabilidades de segurança.
Integrando aplicativos
A integração de aplicativos pode exigir um esforço enorme, mas esse
processo de integração pode fornecer um alto retorno sobre o investimento
(ROI). Se um aplicativo tiver seu próprio sistema de autenticação, a única
maneira de uma organização integrar esse aplicativo totalmente ao
processo de autenticação é projetá-lo novamente para que funcione com a
plataforma. Portanto, para garantir a compatibilidade do aplicativo com a
estrutura de gerenciamento de acesso e identidades, a metodologia de
SDLC (Software Development Life Cycle) da organização deve incluir
padrões claros sobre como os aplicativos devem usar a funcionalidade de
autenticação e autorização da plataforma padrão.
Início da página
Resumo
A figura a seguir lista todos os processos e serviços da estrutura de
gerenciamento de acesso e identidades da Microsoft.
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 14 of 14
Início da página 3 de 9
Versão para Impressão Enviar esta Página Adicionar a Favoritos
©2006 Microsoft Corporation. Todos os direitos reservados. Nota Legal | Marcas comerciais |
Política de Privacidade
http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006