O que é gerenciamento de identidade e acesso (IAM)?

O que é gerenciamento de identidade e acesso (IAM)?
Lucas Ribeiro Mata
Lucas Ribeiro Mata

Compartilhe

É um exercício cada vez mais difícil pensar em qualquer setor de trabalho sem o uso de alguma tecnologia computacional. Desde de fábricas, bancos, hospitais e até em escolas, o uso de diferentes soluções computacionais facilita a realização de atividades repetitivas, otimiza processos e melhora a produtividade.

Sendo assim, a interação entre pessoas colaboradoras, redes, sistemas de armazenamento e processamento é comum no ambiente de trabalho. Quando nos referimos a empresas ou instituições de médio e grande porte ou que lidam com dados sensíveis ou críticos, é essencial que essa interação tenha mecanismos de gerenciamento e controle para garantir a segurança operacional, proteção dos dados armazenados e bom uso dos recursos computacionais.

Neste contexto, temos um conjunto de soluções de gerenciamento de identidade e acesso, comumente designadas pelo acrônimo IAM (Identity and Access Management), que nos permite implementar políticas de acesso e controlar o uso de recursos por parte de entidades digitais e usuários.

Neste artigo, vamos entender melhor como é esse gerenciamento e suas aplicações no contexto de diferentes organizações!

Gerenciamento de Identidade e Acesso (IAM)

Imagine que trabalha em um laboratório farmacêutico que faz estudos e pesquisas sobre novos medicamentos e vacinas. Nessa instituição tem várias pessoas pesquisadoras, equipamentos, sistemas que podem ser acessados remotamente e ambientes cuidadosamente controlados. Os dados obtidos na série de experimentos realizados devem ser processados e armazenados com muita cautela, evitando qualquer vazamento de conhecimento e informação que possa entregar ao mercado gratuitamente os frutos de um trabalho que demanda um longo tempo de desenvolvimento e grande investimento.

Esse exemplo deixa claro que além de adotar um conjunto de medidas e boas práticas de cibersegurança para mitigar riscos de ataques externos, é necessário também que tenhamos um sistema com capacidade de gerenciar a identidade de cada usuário da instituição, assim como das entidades digitais (equipamentos e outros sistemas), controlando assim o acesso à rede.

Na prática, podemos definir o gerenciamento de identidade e acesso como um sistema de identificação e administração das entidades individuais (pessoas, equipamentos e outros sistemas) em uma organização.

Talvez você esteja pensando num dispositivo biométrico ou leitor de retina para controlar o acesso de pessoas em laboratórios mais restritos , como em cenas de séries ou filmes, não é mesmo!? Essa solução de controle de acesso é um bom caso de gerenciamento de identidade e acesso.

Banner da Escola de DevOps: Matricula-se na escola de DevOps. Junte-se a uma comunidade de mais de 500 mil estudantes. Na Alura você tem acesso a todos os cursos em uma única assinatura; tem novos lançamentos a cada semana; desafios práticos. Clique e saiba mais!

Como funciona um IAM?

O principal componente desse sistema é a identificação única de usuários e recursos que possuem permissões de acordo com os perfis de acesso definidos pela política da organização.

Podemos criar perfis com base em cargos ou atividades de trabalho, incluindo até mesmo pessoas externas à empresa, como clientes e fornecedores. Assim, definimos e organizamos as identidades, deixando claro funções e responsabilidades de cada uma delas.

Além de definir perfis e criar identidades, é preciso elaborar um conjunto de processos e regras que sirvam de base para a administração das identidades. Estabelecendo como será realizada, por exemplo, a inclusão de novos usuários, a aprovação de acesso a um recurso de acesso restrito ou a modificação do perfil de um usuário.

Quando um usuário solicita o acesso a um banco de dados, essa pessoa possui uma identidade única, com perfil e permissões de acesso bem definidos, que precisa ser verificada por um processo de autenticação. É aqui que empregamos a biometria ou usamos outras credenciais de acesso como reconhecimento por voz, senhas, tokens e certificados digitais.

A autenticação pode utilizar diferentes métodos para verificar a identidade de um usuário ou sistema. De acordo com a criticidade de acesso, podemos adotar um mecanismo de autenticação multifator (MFA) que requer, ao menos, duas formas de autenticação para liberação do acesso (biometria e senha, por exemplo).

Cabe ressaltar que as credenciais de acesso e outros dados críticos do sistema de identificação devem ser armazenados de forma segura utilizando técnicas de criptografia, afastando qualquer possibilidade de interceptação.

Uma vez validada a identidade de usuário, essa pessoa estará autorizada a realizar operações no banco de dados de acordo com suas permissões de acesso. O acesso e permissões de uso de um recurso podem ser revogados ou alterados, a qualquer momento, em função do ciclo profissional de uma pessoa usuária. Vamos pensar no caso de alguém que mudou de setor ou localidade de trabalho (agência bancária, por exemplo), normalmente essa pessoa perde o acesso a dados e salas do seu antigo setor ou localidade e ganha acesso a outros sistemas, conjuntos de dados e ambientes de seu novo cotidiano de trabalho.

É cada vez mais comum a contratação de software (SaaS) ou infraestrutura computacional (IaaS) como um serviço. Um bom exemplo disso é a utilização de plataformas de computação em nuvem como Google Cloud, Microsoft Azure, AWS, dentre outras. Nesse caso, surge a necessidade de possibilitar que as pessoas colaboradoras da organização contratante acessem os serviços fornecidos por outras empresas utilizando um único conjunto de credenciais (SSO - Single Sign-On). O SSO facilita o acesso aos serviços e permite que o IAM atue com a regulação das permissões de acesso.

Uma característica fundamental do IAM é a garantia da rastreabilidade, afinal ele registra todas as atividades de autenticação possibilitando auditorias e investigações em atividades e eventos diversos. Isso permite que administradores gerem relatórios detalhados das ações de um usuário, incluindo sistemas acessados, horários e datas.

Dentro das atividades rotineiras de um IAM, o provisionamento e desprovisionamento são bem comuns, entenda melhor cada um deles- O provisionamento é a tarefa de conceder acesso a um recurso ou sistema ao usuário, envolvendo a atualização de suas autorizações de uso ao longo do ciclo de vida de sua identidade (período em que o usuário permanece na organização como pessoa colaboradora, cliente ou fornecedora); -Por outro lado, o desprovisionamento consiste na retirada ou criação de restrições de acesso a um recurso ou sistema.

Mas você sabia que podemos construir um IAM com diferentes abordagens? A seguir, vamos conhecer alguns modelos de IAM.

Modelos de IAM

O modelo tradicional utiliza uma única entidade ou sistema para centralizar todas as tarefas relacionadas ao gerenciamento de identidade e acesso, desde a gestão das identidades até a autenticação de usuários e autorização de acesso. Nesse modelo, cada provedor de serviço assume a responsabilidade de identificar seus usuários, não havendo, portanto, compartilhamento de identidades entre os provedores.

Apesar da centralização de funcionalidades facilitar o controle e administração de identidades e acesso, o crescente uso de serviços externos (PaaS, SaaS ou IaaS) e a colaboração entre diferentes instituições criam a necessidade de compartilhar identidades entre domínios administrativos e provedores de serviço. Assim, há o modelo de identidades federadas para permitir que um usuário de um determinado domínio administrativo consiga usar sua identidade para acessar recursos de outros domínios e consumir serviços externos.

Um domínio administrativo representa uma empresa ou organização, tais como banco, instituição de ensino, hospital, fábrica, dentre outros. Cada domínio opera como uma unidade organizacional própria, estabelecendo suas políticas de identificação e regulação de acesso. Desse modo, quando diferentes domínios compartilham identidades, é necessário definir um acordo que garanta uma base comum de segurança na definição e autenticação das identidades de usuários.

A Comunidade Acadêmica Federada (CAFe) é um exemplo de aplicação do modelo de identidades federadas no Brasil. Trata-se de um serviço de compartilhamento de recursos e serviços que reúne universidades e institutos de pesquisa, cada organização representando um domínio administrativo próprio. Assim, uma pessoa que estude ou trabalhe em uma das universidades integrantes da comunidade, consegue acessar uma base de dados externa utilizando as credenciais de acesso definidas pelo serviço de tecnologia da informação da própria universidade.

Quando a segurança de acesso a um recurso ou sistema é um requisito altamente crítico em uma organização, é recomendável adotarmos o modelo de confiança zero (zero trust) fundamentado na ideia “nunca confie, sempre verifique”. Essa abordagem utiliza autenticação contínua, isto é, valida constantemente a identidade e permissões dos usuários, independentemente de rede ou perfil. Para saber mais sobre o modelo zero trust, acesse o artigo .

Além disso, o modelo de confiança zero pode incorporar outros princípios, práticas e políticas visando reduzir riscos de violações de segurança, tais como a segmentação da rede em áreas reduzidas ou concessão de permissões mínimas para realização de um conjunto de atividades.

Por outro lado, temos modelos de identidade descentralizada auto-soberana (Self-Sovereign Identity - SSI) que se baseiam em atribuir aos usuários ou entidades o controle de suas identidades por meio de estruturas que lhes permitam armazenar, validar e garantir o acesso aos seus dados de identificação. Sendo, portanto, modelos que proporcionam às pessoas um maior controle sobre suas informações de identidade, decidindo quem poderá acessá-las e para quais finalidades. O funcionamento desse modelo depende da atuação de:

  • Emissores de identidade, entidades responsáveis pelo registro da identidade digital de um usuário ou outras entidades;
  • Verificadores de identidade, entidades responsáveis pela análise e validação dos dados de identificação digital para autorização de acesso;
  • Por fim, o uso conjunto de diferentes técnicas de criptografia para a garantia da segurança e integridade dos dados de identificação durante a emissão, compartilhamento e autenticação.

Conclusão

Como abordamos ao longo do artigo, o gerenciamento de identidade e acesso constitui um conjunto de ferramentas, práticas e tecnologias essenciais para garantir o uso eficaz e seguro dos recursos de uma organização. Além disso, facilita a identificação dos usuários, regulando a atribuição de perfis e autorização de acesso a funcionalidades em diferentes sistemas e serviços externos.

Há diversas soluções de IAM disponíveis no mercado, desde modelos centralizados até modelos de confiança zero baseados na autenticação contínua como mecanismo de segurança. A análise cuidadosa do perfil de uso da empresa, dos recursos e serviços que requerem controle de acesso e da diversidade de usuários é um passo importante para seleção da solução adequada.

Lucas Ribeiro Mata
Lucas Ribeiro Mata

Professor universitário, Instrutor e Engenheiro de Pesquisa e Desenvolvimento. Possui graduação em Engenharia Mecânica pela Escola Politécnica da UFRJ e Mestrado em Engenharia Elétrica com foco em Sistemas Eletrônicos pela Escola Politécnica da USP/University of Twente.

Veja outros artigos sobre DevOps