Gerenciamento de acesso e identidades: conceitos essenciais Page 1 of 14

Mapa do Site | Brasil Home | Worldwide

Procurar no Microsoft.com por:

Ir

Home | TechNet USA | MS Brasil | Desenvolvedores | Sharepedia | TopIT | Fale Conosco

Pesquisa rápida
Conceitos essenciais
TechNet Ir Capítulo 3: Tecnologias de gerenciamento de acesso e identidades da M
Publicado em: 11 11e maio 11e 2004 | Atualizado em: 26 26e junho 26e 2006
Boletins de Segurança
Carreira O gerenciamento eficiente de acesso e identidades envolve várias
Neste artigo
Colunas tecnologias e processos interdependentes. Esses elementos são combinados
Comunidade para manter uma visão unificada de identidades em uma organização e •
usá-las efetivamente. Os principais tópicos para a discussão sobre o
Artigos Técnicos
gerenciamento de acesso e identidades incluem serviços de diretório,
Eventos gerenciamento do ciclo de vida de identidades, gerenciamento de acesso e •
Treinamento e Certificação como os aplicativos devem se integrar com a infra-estrutura.
Central de Segurança •
Observação: este capítulo fornece uma visão geral de cada um desses
Central do Windows tópicos e os capítulos restantes examinam os processos e serviços dentro
Server
de cada tópico em muito mais detalhes. Para obter uma visão geral desses
TechNet Magazine tópicos, leia este capítulo. Para obter uma abordagem técnica mais •
Central Beta rigorosa, leia os capítulos 4 a 7.
Porta 25 •
Muitas tecnologias e soluções de gerenciamento de acesso e identidades
O Que Há de Novo? evoluíram independentemente em resposta a problemas táticos específicos.
Fórum TechNet Cada vez mais, organizações, analistas, fornecedores e integradores de •
Academia de Segurança sistemas reconhecem que essas tecnologias e problemas comerciais são
todos interdependentes, resultando em uma única categoria que é descrita
Script Center
simplesmente como "gerenciamento de acesso e identidades". •
Suporte
•
Assinatura TechNet Para visualizar essa interdependência, a Microsoft criou a Estrutura de
gerenciamento de acesso e identidades, uma descrição gráfica dos serviços •
Usando TechNet
e processos envolvidos no gerenciamento de acesso e identidades.
FAQ
Meu TechNet A figura a seguir mostra os principais componentes da Estrutura de Download
gerenciamento de acesso e identidades:
Quem Somos
Obtenha a Série
gerenciamento de
identidades da M

Notificações de
atualização

Inscreva
informações sobr
atualizações e no
versões

Comentários

Envie seus comen

suas sugestões

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 2 of 14

Figura 3.1. Principais tópicos da Estrutura de

gerenciamento de acesso e identidades

Este capítulo estabelece cada um dos tópicos dessa estrutura e introduz as

tecnologias, os serviços e os processos que oferecem suporte a cada um
deles.

Elementos predominantes da Estrutura de gerenciamento de acesso e

identidades da Microsoft incluem as diretivas reguladoras de negócios,
segurança e privacidade que incorporam os requisitos específicos de uma
organização. Esses elementos ajudam a definir as suposições, as regras, os
padrões e as restrições comerciais que controlam como as tecnologias e os
processos devem ser aplicados para atender aos objetivos da empresa. Por
exemplo, diretivas de segurança são amplas e de longo alcance,
influenciando todos os aspectos do gerenciamento de acesso e identidades.

Diretivas de privacidade são influenciadas por sua organização, pela

indústria e pelo país/região de operação. Essas diretivas definem etapas
razoáveis para proteger os dados pessoais nos armazenamentos de
identidades de sua organização. A legislação nacional e internacional, como
a HIPAA (The Health Insurance Portability and Accountability Act) de 1996
dos Estados Unidos, a Lei de proteção a dados de 1998 do Reino Unido, a
Diretiva de proteção a dados 95/46/EC da União Européia e os acordos e
princípios internacionais de Zona protegida desempenham um papel
importante no estabelecimento da diretiva de privacidade.

Nesta página
Serviços de diretório
Gerenciamento do ciclo de vida de identidades
Gerenciamento de acesso
Aplicativos

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 3 of 14

Resumo

Serviços de diretório
Os serviços de diretório fornecem a base de uma infra-estrutura de
gerenciamento de acesso e identidades. Os serviços de diretório fornecem
uma única fonte de informações de identidade digital oficiais. Essas
informações podem incluir informações de segurança, como mapeamentos
de certificados X.509 e senhas, bem como informações sobre perfis de
usuário na forma de atributos de usuário que incluem endereços, números
de telefone, área de escritório, cargos e nomes de departamentos.

A Microsoft recomenda identificar um número mínimo de diretórios que se

tornarão os armazenamentos de identidades digitais confiáveis de sua
organização. Essa redução oferece retornos imediatos e fornece uma base
sólida na qual integrar todos os outros componentes.

Serviços de diretório em tecnologias da Microsoft

A Microsoft começou a oferecer suporte a serviços de diretório na
plataforma Microsoft® Windows® quando o Windows NT® 3.1 foi lançado.
Os serviços de diretório atuais da Microsoft incluem:

• O serviço de diretório Microsoft Active Directory®, parte integrante do

Windows 2000 Server e do Windows Server™ 2003.

• Modo de Aplicativo do Active Directory (ADAM).

Para obter mais informações sobre os serviços de diretório da Microsoft,

consulte o Capítulo 4, "Serviços de diretório", mais adiante neste
documento.

Início da página

Gerenciamento do ciclo de vida de identidades

Existem vários processos relacionados para gerenciar usuários, seus direitos
e suas credenciais. Esses processos incluem:

• Serviços de integração de identidades, incluindo agregação e

sincronização.

• Configuração, incluindo o gerenciamento de processos relacionados que

ocorrem antes, durante e após a configuração (normalmente chamado de
"fluxo de trabalho").

• Administração delegada, como o gerenciamento de contas pela equipe do

parceiro.

• Administração de auto-atendimento, como solicitações de direitos

iniciadas pelo usuário.

• Gerenciamento de credenciais e senhas, incluindo a alteração de senhas

de usuários finais e redefinições de senha pela assistência técnica.

• Desconfiguração, incluindo a desativação ou exclusão de uma conta.

• Gerenciamento de grupos.

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 4 of 14

Serviços de integração de identidades

Os serviços de integração de identidades são normalmente necessários
quando uma organização tem vários diretórios ou armazenamentos de
identidades. Como cada um desses diretórios contêm um subconjunto de
todas as informações sobre um usuário, os serviços de integração de
identidades podem ajudar a criar uma visão agregada das informações de
todos os armazenamentos de identidades.

Os serviços de integração de identidades criam essa visão agregada

obtendo informações de identidades a partir de várias fontes oficiais, como
diretórios existentes, aplicativos de RH e de contabilidade, diretórios de
email e vários bancos de dados. Todas as informações sobre identidades
que os serviços de integração de identidades reúnem preenchem um único
banco de dados ou metaverso — uma única visão global integrada de todos
os objetos combinados agregados a partir das informações de identidades
em várias fontes de dados conectadas.

Com esse banco de dados central de informações, regras podem ser

aplicadas aos dados para controlar o fluxo durante operações de importação
e exportação. A habilidade de ter fluxos de dados de importação e
exportação baseados em regras permite a implementação da sincronização
e até mesmo da configuração de identidades. Como a sincronização e a
configuração podem ser automatizadas por meio de regras de
programação, os serviços de integração de identidades permitem que a
organização reduza custos associados ao gerenciamento de dados de
identidades e limite a ocorrência de erros introduzidos pela administração
humana.

Configuração
Um componente-chave do gerenciamento de acesso e identidades é a
maneira como as identidades digitais são criadas. O processo de
configuração fornece uma ferramenta poderosa que tira proveito de
informações de usuários contidas na infra-estrutura de diretórios da
organização para acelerar a concessão e revogação de contas e direitos de
usuários aos recursos de informações. Esses recursos podem incluir email,
serviço telefônico, aplicativos de RH, aplicativos LOB (de linha de negócios)
e aplicativos funcionais, acesso a intranet e extranet e serviços de
assistência técnica.

A automatização de processos que criam identidades digitais pode reduzir

custos e aumentar drasticamente a produtividade. Por exemplo, quando um
novo funcionário entra na organização, o sistema de configuração pode
reduzir o tempo necessário para obter contas de usuário e direitos de
acesso de uma semana para algumas horas. A configuração automatizada
também elimina o tempo que os gerentes gastam processando documentos
associados, bem como o tempo necessário ao pessoal de finanças, recursos
humanos e TI para aprovar e implementar as solicitações.

Fluxo de trabalho
O fluxo de trabalho é um requisito da maioria dos processos de
configuração. As solicitações de recursos são inseridas online, roteadas em
um caminho predeterminado para revisores e aprovadores e, finalmente,
enviadas para a pessoa ou o sistema que cria a conta do usuário.
Solicitações e cópias eletrônicas de materiais de suporte são roteadas
automaticamente para cada participante do processo. Os processos são

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 5 of 14

aplicados consistente e completamente em todos os departamentos, e cada

parte das informações é inserida apenas uma vez. Uma trilha de auditoria
completa está disponível com relação a quem concedeu aprovação e
quando. Fluxos de trabalho monitorados automaticamente notificarão um
gerente ou administrador de nível superior se ações de análise ou de
aprovação não forem concluídas a tempo.

O fluxo de trabalho também é útil dentro de alguns processos de

administração e de auto-atendimento delegados — por exemplo, para o
roteamento de solicitações para aprovação.

Administração delegada
O modelo típico de administração envolve um pequeno grupo de pessoas
confiáveis que têm a habilidade de gerenciar todos os aspectos de um
armazenamento de identidades. Esses administradores criam e excluem
usuários, configuram e redefinem senhas e podem configurar todos os
atributos do usuário.

No entanto, sempre há bons motivos de negócios para não ter um único

grupo central de administradores gerenciando todos os aspectos das
identidades de usuários. No caso de contas de parceiros em um diretório da
extranet, o método preferencial é a organização proprietária delegar a
administração das contas a um administrador na organização parceira. O
administrador do parceiro assume a responsabilidade de todas as contas de
seus próprios funcionários. Esse sistema faz sentido do ponto de vista
administrativo, pois o parceiro tem uma idéia melhor de quando os usuários
precisam ser criados ou excluídos, e as solicitações de assistência são
processadas localmente.

A administração delegada também pode ocorrer dentro de uma

organização, onde pessoas confiáveis dentro de diferentes departamentos
gerenciam um subconjunto do armazenamento de identidades de uma
organização.

Administração de auto-atendimento
Para usuários típicos, como funcionários, existem muitos atributos de
usuário que não estão relacionados à segurança. Uma organização pode
decidir permitir que usuários modifiquem esses atributos. Por exemplo, os
usuários podem receber permissão para alterar seu número de telefone
celular. No entanto, a administração de auto-atendimento deve ter
restrições adequadas, como a imposição de convenções de nomenclatura e
verificação de validade.

Gerenciamento de credenciais
Como as credenciais são "essenciais" para autenticação e autorização, elas
têm necessidades especiais de gerenciamento e devem ter considerações
restritas de segurança para todos os processos relacionados. As credenciais
precisam ser configuradas e administradas (como a revogação de um
certificado ou a redefinição de uma senha) e os usuários precisam de
recursos de auto-atendimento (como a alteração de suas senhas). O
mecanismo de recebimento de uma credencial deve ser detalhadamente
examinado (por exemplo, o recebimento de um cartão inteligente
pessoalmente, mediante identificação, ou o recebimento de uma senha
redefinida por meio de um canal direto criptografado).

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 6 of 14

Gerenciamento de senhas
O gerenciamento de senhas é um subconjunto específico do gerenciamento
de credenciais. A autenticação com o uso de combinações de nome de
usuário e senha ainda é a técnica mais usada em redes e aplicativos atuais.
Técnicas diferentes estão disponíveis para gerenciar informações de senhas
entre ambientes heterogêneos.

Um aspecto do gerenciamento de senhas inclui o uso de tecnologias para

propagar informações de senhas automaticamente de um sistema para
outro. Essa propagação permite que um usuário use a mesma senha para
fazer logon em vários sistemas, o que pode reduzir a possibilidade de
senhas esquecidas e as chamadas associadas à assistência técnica geradas
por senhas esquecidas. Com senhas consistentes entre plataformas e
aplicativos, normalmente há uma exigência de centralizar a alteração de
senhas e operações de redefinição de senhas pela assistência técnica por
meio de interfaces comuns.

A propagação de senhas deve ser considerada apenas quando as

características de segurança de cada sistema participante estiverem
totalmente compreendidas. Por exemplo, um ambiente UNIX que usa Telnet
e envia senhas em texto não criptografado pela rede não deve ter a mesma
senha que uma conta do Active Directory usada para realizar transações
confidenciais críticas para os negócios.

Desconfiguração
A desconfiguração é outra função chave do gerenciamento do ciclo de vida
de identidades. A desconfiguração garante que contas sejam desabilitadas e
excluídas sistematicamente e que direitos sejam revogados quando os
funcionários saem da organização. Boas práticas de segurança recomendam
que as contas sejam desabilitadas rapidamente (para evitar ataques por ex-
funcionários insatisfeitos), mas que não sejam excluídas até que um
período adequado tenha decorrido, no caso de ser necessário reabilitar (ou
renomear e reatribuir) a conta. A desabilitação de contas (em vez da
exclusão) também é útil para algumas organizações que precisam garantir
determinados atributos de identidade, como nomes de contas que devem
ser exclusivos e não podem ser reutilizados por um período que atenda aos
requisitos da diretiva.

Gerenciamento de grupos
O gerenciamento de grupos inclui a atribuição automática e manual de
contas de usuários para fazerem ou não parte de grupos, assim como a
remoção de contas de grupos. Normalmente, grupos existem em serviços
de diretório ou sistemas de email, como o Active Directory ou o Lotus
Notes. Os grupos se encaixam em um de dois tipos: grupos de segurança e
grupos de distribuição. Os grupos de segurança podem ser usados para
configurar direitos, enquanto as listas de distribuição organizam os
destinatários de email. As contas de usuários recebem os direitos e as
permissões de quaisquer grupos aos quais pertençam.

As organizações podem implementar grupos baseados em consulta, nos

quais a associação ao grupo depende do valor de um atributo selecionado
no serviço de diretório. Esse recurso permite que o sistema de
gerenciamento de acesso e identidades gere grupos que contenham todos
os usuários em uma cidade ou escritório específico, por exemplo. Os grupos
são criados apenas de acordo com os valores exclusivos de cada cidade ou
escritório. Se um grupo não tiver mais nenhum membro, ele será excluído.

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 7 of 14

Em seguida, esses nomes de grupos e associações são propagados para

todos os serviços de diretório e sistemas de email conectados.

Gerenciamento do ciclo de vida de identidades em

tecnologias da Microsoft
As tecnologias da Microsoft para gerenciamento do ciclo de vida de
identidades incluem:

• Active Directory, incluindo o MMC (Console de Gerenciamento Microsoft)

de usuários e grupos do Active Directory e delegação interna de recursos
administrativos.

• O Microsoft Identity Integration Server 2003, Enterprise Edition (MIIS

2003 SP1), que inclui os seguintes recursos específicos:

• Configuração

• Sincronização de senhas e interfaces da Web para redefinição e

alteração de senhas.

• O Identity Integration Feature Pack para Microsoft Windows Server Active

Directory.

• Auto-atendimento e inscrição automática de certificado X.509.

• Services for UNIX 3.5 (SFU 3.5).

• Serviços para NetWare.

• Gerenciador de Credenciais do Windows.

• Serviço de notificação IdM, aplicativo da Web Gerenciamento de Grupos

e ferramenta Group Populator nas ferramentas e modelos do
gerenciamento de acesso e identidades.

Para obter mais informações sobre o gerenciamento do ciclo de vida de

identidades com tecnologias da Microsoft, consulte o Capítulo 5,
"Gerenciamento do ciclo de vida de identidades", mais adiante neste
documento.

Início da página

Gerenciamento de acesso
O gerenciamento de acesso envolve o controle de acesso de usuários a
recursos, seja usando autenticação para identificar um usuário,
mapeamento de credenciais para relacionar identidades digitais umas com
as outras ou autorização para verificar identidades de usuários em relação a
permissões do recurso. Tópicos adicionais sobre o gerenciamento de acesso
discutem a implementação de federação e de relações de confiança para
estender o acesso e auditoria para controlar e registrar as ações dos
usuários.

Autenticação
Autenticação é o processo de comprovar a identidade digital de um usuário
ou objeto em uma rede, aplicativo ou recurso. Depois de autenticados, os
usuários podem acessar recursos com base em seus direitos por meio do
processo de autorização.

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 8 of 14

Técnicas de autenticação
As técnicas de autenticação variam de um simples logon baseado na
identificação do usuário e em informações de senha (algo que você sabe),
biometria (algo que o distingue), até mecanismos de segurança mais
potentes, como tokens, certificados digitais e cartões inteligentes (algo que
você tem). Ambientes de alta segurança podem exigir um processo de
autenticação de multifatores. Por exemplo, eles podem exigir a combinação
de algo que você sabe (como uma senha) com um recurso que o distingue
(como uma impressão digital) ou algo que você tem (como um cartão
inteligente).

Em um ambiente de e-business, os usuários podem acessar vários

aplicativos atravessando muitos servidores Web dentro de um único site ou
entre vários sites. Estratégias efetivas de gerenciamento de acesso e
identidades implantam serviços de autenticação para simplificar a
experiência do usuário e reduzir a sobrecarga da administração. Por esses
motivos, os serviços de autenticação devem oferecer suporte a ambientes
heterogêneos.

Exemplos de técnicas de autenticação incluem:

• Nomes de usuários e senhas

• PINs (números de identificação pessoal)

• Certificados digitais X.509

• Senhas de uso único

• Biometria (por exemplo, impressões digitais ou da íris)

• Cartões inteligentes

• Passaportes eletrônicos

• Tokens de hardware

Comparando técnicas de autenticação forte e fraca

As técnicas de autenticação podem variar de técnicas simples, em que o
usuário fornece senhas diretamente aos aplicativos ou hosts, até técnicas
mais complexas que usam mecanismos avançados de criptografia para
proteger credenciais de usuários contra aplicativos e hosts potencialmente
mal-intencionados.

O fornecimento de uma senha de texto não criptografado (isto é, que não

seja criptografada de maneira nenhuma) a um aplicativo ou host é
considerada a técnica mais fraca de autenticação devido ao perigo de
interceptação da seqüência de autenticação. Além disso, se o usuário
autenticar-se em um host mal-intencionado, o proprietário do host terá
todas as informações necessárias para atuar como aquele usuário em
qualquer lugar da rede. Se você considera uma senha como um segredo,
ela não será muito secreta se o usuário precisar informá-la a todos os
computadores da rede.

Técnicas de autenticação mais fortes protegem as credenciais de

autenticação de forma que o host ou o recurso no qual o usuário está se
autenticando não saiba qual é realmente o segredo. Normalmente, isso é
feito através de dados assinados criptograficamente com a senha secreta
que é conhecida apenas pelo usuário e por uma terceira parte confiável
(como um controlador de domínio do Active Directory). Um computador

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 9 of 14

autentica o usuário apresentando os dados assinados à terceira parte

confiável. Em seguida, a terceira parte compara a assinatura com aquilo
que ela conhece sobre o usuário e aconselha o computador a acreditar (ou
não) que o usuário é quem ele diz ser. Esse mecanismo ajuda a manter as
senhas como segredos reais.

Logon único
Uma parte importante de qualquer discussão sobre autenticação é o
conceito de SSO (Logon único). O SSO no nível do aplicativo envolve o
estabelecimento de uma "sessão" entre o cliente e o servidor que permite
que o usuário continue usando o aplicativo sem fornecer uma senha a cada
vez que executar uma ação dentro do aplicativo.

O mesmo tipo de conceito pode ser estendido a um conjunto de aplicativos

disponíveis na rede. Para implementar o SSO entre diferentes aplicativos,
as sessões podem ser estabelecidas entre o cliente, uma terceira parte
confiável na rede e vários aplicativos de servidor e recursos da rede. A
sessão é representada em muitas implementações por um tíquete ou
cookie, que pode ser considerado como uma credencial substituta para o
usuário. Em vez de exigir que o usuário forneça sua credencial durante a
autenticação, o tíquete ou cookie é enviado ao servidor e aceito como
comprovante da identidade do usuário.

O resultado final é que o usuário precisa assinar apenas uma vez antes de
usar diversos aplicativos — fornecendo, dessa forma, uma experiência de
logon único.

Observação: somente em situações muito raras é considerado apropriado

que um mecanismo de autenticação force o usuário a fornecer credenciais
de autenticação repetidamente. Por outro lado, os aplicativos podem
algumas vezes solicitar credenciais antes de executar uma operação
altamente confidencial.

Autenticação em tecnologias da Microsoft

O Active Directory do Microsoft Windows Server 2003 fornece suporte
integral para uma variedade de métodos de autenticação, incluindo:

• Autenticação baseada em PKI (infra-estrutura de chave pública)

• O protocolo de autenticação Kerberos versão 5

• Mapeamento de certificado X.509

• Microsoft Passport

• Desafio/resposta do Windows NT LAN Manager (NTLM)

• Protocolo EAP

• Criptografia de protocolo SSL 3.0 e TLS 1.0

• Suporte para cartões inteligentes com certificados X.509

O IIS (Serviços de Informações da Internet) 6.0 do Windows Server 2003

oferece suporte a todos os métodos acima, além dos seguintes:

• Autenticação Digest

• Autenticação baseada em formulários

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 10 of 14

Autenticação básica

Os aplicativos podem chamar métodos de autenticação por meio de APIs,

como a interface SSPI, que inclui SPNEGO (Secure Protocol Negotiation).

O Windows XP inclui autenticação integrada para logon na estação de

trabalho e acesso a recursos, o Internet Explorer para a autenticação
integrada em sites e o Gerenciador de Credenciais para o gerenciamento de
senhas, certificados digitais e Passports usados para autenticação.

Autorização
Autorização é o processo de determinar se uma identidade digital tem
permissão para executar uma ação solicitada. A autorização ocorre após a
autenticação e mapeia atributos associados à identidade digital (como
associações em grupos) para acessar permissões em recursos a fim de
identificar quais recursos a identidade digital pode acessar.

Listas de controle de acesso

Plataformas diferentes usam mecanismos diferentes para armazenar
informações de autorização. O mecanismo de autorização mais comum é
conhecido como uma ACL (lista de controle de acesso), que é uma lista de
identidades digitais juntamente com um conjunto de ações que elas podem
executar no recurso (também conhecidas como permissões).

Normalmente, as ações são definidas em relação ao tipo de objeto que a

ACL protege. Por exemplo, uma impressora pode permitir ações como
“imprimir” ou “excluir trabalho”, enquanto um arquivo pode permitir ações
como “ler” e “gravar”.

Grupos de segurança
Sistemas operacionais que oferecem suporte a vários usuários normalmente
oferecem suporte a grupos de segurança que constituem um tipo especial
de identidade digital. O uso de grupos de segurança reduz a complexidade
de gerenciamento de manipular milhares de usuários em uma grande rede.

Grupos de segurança simplificam o gerenciamento porque uma ACL pode

ter algumas entradas especificando quais grupos têm um nível específico de
acesso a um objeto. Com o design cuidadoso dos grupos, a ACL deve ser
relativamente estática. É possível alterar facilmente a diretiva de
autorização de muitos objetos ao mesmo tempo manipulando os membros
de um grupo mantido por uma autoridade centralizada, como um diretório.
O aninhamento de grupos dentro de outros aumenta a flexibilidade do
modelo do grupo de gerenciar autorizações.

Funções
Muitos aplicativos usam o termo função para se referir à classificação de um
usuário. Por exemplo, uma função "Gerente" pode ser usada para fazer
referência a todos os membros de um grupo de segurança chamado
"Gerentes de Finanças", que, como membros desse grupo, receberão
automaticamente os direitos a recursos da rede que essa função permite.

As funções também podem ser baseadas em decisões dinâmicas em tempo

de execução, que fornecem mais flexibilidade, como autorização em um
aplicativo de relatório de despesas. Esse aplicativo pode ter ações de
aprovação que apenas usuários (ou entidades) autorizados podem validar
na função de "Gerente de Aprovação". No entanto, antes de conceder a
aprovação para autorizar uma despesa, o sistema consulta o diretório para
determinar se o atributo "Gerente" do emissor corresponde ao nome da

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 11 of 14

pessoa que está aprovando a despesa. Essa lógica orientada pelos negócios
é quase impossível de configurar com mecanismos do tipo ACL.

As funções podem ser definidas globalmente, como por associações de

grupos em um diretório, ou com código de aplicativo que determina a
associação de função com base em uma consulta dinâmica. Existem até
combinações dos dois tipos, como um aplicativo que define uma função
chamada "Gerentes" que é definida localmente para incluir as funções
"Gerentes de RH" e "Gerentes da Engenharia" do grupo.

Essas são as vantagens de cada um desses métodos. Um mecanismo de

funções bem-projetado fornece aos desenvolvedores de aplicativos a
flexibilidade para escolher entre eles a fim de obter o ajuste correto.

Autorização em tecnologias da Microsoft

O Windows Server 2003 oferece suporte integral a uma série de métodos
de autorização. As tecnologias de autorização da Microsoft e os
componentes de suporte incluem:

• ACLs (listas de controle de acesso)

• Controle de acesso baseado em função por meio do Gerenciador de

Autorização do Windows

• Autorização de URL do IIS 6.0

• Autorização do ASP.NET

Para obter mais informações sobre as tecnologias de autorização da

Microsoft, consulte a seção "Autorização" do Capítulo 6, "Gerenciamento de
acesso", mais adiante neste documento.

Relação de confiança
O conceito de relação de confiança está se tornando mais importante à
medida que as organizações continuam a compartilhar recursos com
parceiros de negócios. A habilidade de estabelecer confiança entre sistemas
administrados independentemente é crucial aos sistemas de TI para
oferecer suporte ao nível necessário de troca de dados. A relação de
confiança permite autenticação e autorização seguras de identidades
digitais entre sistemas de informações autônomos com menos sobrecarga
de gerenciamento.

Os mecanismos de confiança são complicados porque existem muitas

tarefas que devem acontecer entre as organizações independentes para
tornar úteis os processos de autenticação e autorização subseqüentes. A
organização que confia precisa ter um mecanismo de segurança para
comunicar-se com a organização confiável. Assim que a organização que
confia autentica a identidade digital externa, ela deve incorporar as
informações de direitos sobre a conta externa ao processo de autorização
dentro da organização que confia.

Federação
Uma federação é um tipo especial de relação de confiança entre
organizações distintas estabelecidas além dos limites da rede interna. A
federação permite a autenticação e autorização seguras de identidades
digitais entre sistemas de informações autônomos baseados no princípio de
confiança. Por exemplo, um usuário da empresa A pode usar informações
disponíveis na empresa B porque existe uma relação de confiança federada

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 12 of 14

entre as duas empresas.

Observação: a federação inclui a implementação de especificações em

evolução, como a WS-Federation, uma iniciativa conduzida pela Microsoft e
pela IBM para padronizar a maneira como as empresas compartilham
identidades de usuários e máquinas entre sistemas díspares de
autenticação e autorização espalhados para fora dos limites organizacionais.
Para obter mais informações sobre a WS-Federation, consulte Web Services
Federation Language (em inglês).

A federação é uma tentativa de remover o requisito de gerenciamento de

contas em mais de um local. Na federação, um usuário de uma organização
pode autenticar-se diretamente em um recurso gerenciado por outra
organização usando sua conta normal de rede. Essa idéia é popular porque
pode remover o requisito (ou pelo menos facilitar muito mais o atendimento
dos requisitos) de administração de muitas contas diferentes.

Considere uma organização que faz negócios com cem parceiros diferentes.
A alternativa à federação seria usar uma interface de administração
delegada para gerenciar contas em cem diferentes extranets de parceiros.
Por meio desse exemplo, fica óbvio que técnicas como a da administração
delegada não são dimensionadas para ambientes de negócios altamente
conectados. A habilidade de federar identidades digitais de maneira
confiável e segura é essencial para a criação de novas oportunidades de
negócios.

Relação de confiança e federação em tecnologias da Microsoft

O Microsoft Windows fornece suporte à confiança e à federação por meio
das seguintes tecnologias:

• Relações de confiança externas no Windows NT 4.0 e no Windows 2000

Server.

• Relações de confiança entre florestas no Windows Server 2003.

• O protocolo de autenticação Kerberos versão 5.

• Contas de sombra.

• Relações de confiança de PKI.

• ADFS (Serviço de Federação do Active Directory) no Windows Server

2003 R2.

Auditoria de segurança
A auditoria fornece um meio de monitorar eventos do gerenciamento de
acesso e alterações em objetos de diretório. Normalmente, a auditoria de
segurança é usada para monitorar a ocorrência de problemas e violações de
segurança.

Auditoria de segurança em tecnologias da Microsoft

O Microsoft Windows fornece um log de eventos de segurança para registrar
eventos interessantes de segurança, como:

• Eventos de autenticação.

• Eventos de autorização.

• Alterações em objetos de diretório.

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 13 of 14

O Microsoft Operations Manager (MOM) 2005 SP1 pode consolidar logs de

eventos em um ambiente e fornecer relatórios úteis de auditoria.

Início da página

Aplicativos
Aplicativos de negócios de finalidade geral são os principais consumidores
de informações de acesso e identidades. Conseqüentemente, eles devem
ser integrados com a plataforma de gerenciamento de acesso e identidades.
Normalmente, os aplicativos se integram com os componentes de
autenticação e autorização da estrutura por meio de APIs. Aplicativos que
não se integram adicionam complexidade ao ambiente, aumentando os
custos de gerenciamento e freqüentemente criando superfícies de ataque
que, por sua vez, levam a vulnerabilidades de segurança.

Integrando aplicativos
A integração de aplicativos pode exigir um esforço enorme, mas esse
processo de integração pode fornecer um alto retorno sobre o investimento
(ROI). Se um aplicativo tiver seu próprio sistema de autenticação, a única
maneira de uma organização integrar esse aplicativo totalmente ao
processo de autenticação é projetá-lo novamente para que funcione com a
plataforma. Portanto, para garantir a compatibilidade do aplicativo com a
estrutura de gerenciamento de acesso e identidades, a metodologia de
SDLC (Software Development Life Cycle) da organização deve incluir
padrões claros sobre como os aplicativos devem usar a funcionalidade de
autenticação e autorização da plataforma padrão.

Para obter mais informações sobre integração de aplicativos usando

tecnologias da Microsoft, consulte o Capítulo 7, "Aplicativos", mais adiante
neste documento.

Início da página

Resumo
A figura a seguir lista todos os processos e serviços da estrutura de
gerenciamento de acesso e identidades da Microsoft.

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006
Gerenciamento de acesso e identidades: conceitos essenciais Page 14 of 14

Figura 3.2. Processos e serviços da estrutura de gerenciamento de

acesso e identidades da Microsoft

Início da página 3 de 9
Versão para Impressão Enviar esta Página Adicionar a Favoritos

Fale Conosco | Imprima esta página | Adicione aos Favoritos

©2006 Microsoft Corporation. Todos os direitos reservados. Nota Legal | Marcas comerciais |
Política de Privacidade

http://www.microsoft.com/brasil/technet/security/topics/identitymanagement/idmanage/p... 09/11/2006