Alcançando Agilidade: Serviços de Federação de ID
Antigamente (estou falando de 2003, ou seja, anos bem distantes da tecnologia), havia muitas esperanças e sonhos por uma experiência de gerenciamento de identidade mais integrada. Foi quando a Security Assertion Markup Language (SAML) estava entrando em voga e começou a ter uso proeminente no provisionamento de identidade, especialmente para implementar soluções de logon único (SSO).
A grande preocupação naquela época eram as contas órfãs e a simplificação do gerenciamento de senhas. Se você se lembra, esta foi a Era da Webificação e do SOA, quando tudo estava sendo transformado em um aplicativo web. Fazia sentido, então, empregar um padrão nativo da web para ajudar nos desafios de gerenciamento de identidade.
Acontece que agora também faz sentido.
Afinal, tudo hoje está sendo “nublado”. O que é realmente uma maneira simpática de dizer que todos os seus aplicativos webificados estão sendo movidos para lá, para a “nuvem”. Os desafios com provisionamento e gerenciamento (e evitar contas órfãs ou acesso não autorizado) agora se concentram não apenas em sistemas internos, mas também em sistemas hospedados externamente (baseados em nuvem).
E isso é comprovado pelos resultados da nossa pesquisa State of Application Delivery de 2016. Quando perguntamos sobre os desafios que os entrevistados estavam enfrentando com ambientes de nuvem híbrida (multi), as duas principais respostas foram a falta de análises para ajudar a determinar onde hospedar um determinado aplicativo (29%) e não ter identificado uma solução abrangente de gerenciamento de identidade (29%). Talvez seja por isso que no topo dos serviços planejados para implantação em 2016 estava, rufem os tambores, a federação de identidades (26%).
A federação de identidades é, na verdade, o amadurecimento (ou evolução) das soluções projetadas para dar suporte ao provisionamento, auditoria e gerenciamento automatizados de identidade dentro da empresa para incluir sistemas externos (fora das instalações, nuvem). A solução depende de uma “fonte de identidade autorizada”, como o DNS, contra a qual identidades específicas de aplicativos podem ser governadas. Essa fonte quase sempre está no local, porque é o armazenamento de identidade corporativa (autoritária).
A federação de identidades aproveita o SAML para servir como intermediário para aplicativos fora do controle da TI, como SaaS. O serviço de Federação de ID faz a mediação entre os usuários e os aplicativos que eles desejam acessar e garante que, quando Bob tentar acessar o Office365, sua identidade ainda seja válida e autorizada a acessar o aplicativo. Se não, NEGADO. Caso contrário, você pode ter certeza de que outra apresentação do Power Point logo estará a caminho da sua caixa de entrada.
De acordo com a Osterman Research , a TI não está ciente da necessidade de desprovisionar uma conta por 9 dias após um usuário deixar a organização . Em média, eles descobriram que 5% dos usuários do Active Directory não são mais empregados pela organização. E não ignore a parte "autorizada", pois é um negócio arriscado, já que a mesma pesquisa descobriu que 19% dos funcionários mudam de função ou responsabilidades a cada ano, o que pode alterar seu nível de acesso.
Os serviços de Federação de ID também podem fornecer recursos de SSO. Por exemplo, posso fazer login em nosso portal remoto (F5), fazer login uma vez e, então, por meio da mágica dos serviços de federação de ID, iniciar automaticamente vários aplicativos da web diferentes, alguns deles locais e outros SaaS. Eu entro uma vez e não preciso me preocupar com isso novamente.
E nem a TI, porque eles estão verificando minha função, níveis de acesso e validade em relação à fonte autorizada. Ele está sempre atualizado – não 9 dias depois – porque as alterações não precisam ser propagadas por meio de algum processo manual ou assistido pela web. Isso significa melhorias de produtividade não apenas para mim, mas para os pobres profissionais de TI que, de outra forma, ficariam sentados o dia todo verificando alterações usando uma planilha do Excel que alguém do SaaS-1 e do SaaS-2 enviou por e-mail mais cedo naquele dia. E sim, era assim que funcionava antes do SAML se tornar o padrão de fato para federação de ID de SaaS de classe corporativa.
Mas não fique pensando que SAML é apenas para aplicativos de "usuário" como DropBox, SFDC e Office365. Também é uma ferramenta muito valiosa para governar os sistemas baseados em nuvem aos quais a TI tem acesso. Considere, por exemplo, que você tem pessoas gerenciando instâncias, acesso e serviços na AWS. Isso acontece (na maioria das vezes) por meio do portal de gerenciamento da AWS. Um portal que pode ser governado por meio de um serviço de federação de ID .
Os mesmos motivos pelos quais você desejaria controlar o acesso ao Office365 a partir de uma fonte centralizada e autorizada são verdadeiros para controlar o acesso aos sistemas que gerenciam sua infraestrutura de nuvem. Você não quer que pessoas que não estão mais empregadas tenham acesso a esse sistema, nem quer esperar 9 dias antes que o acesso seja encerrado. Eliminar o risco e melhorar o fluxo de trabalho de provisionamento por meio da integração e automação via SAML é como uma promoção BOGO (compre um e leve dois) na sua loja favorita.
Os serviços de Federação de Identidade não apenas melhoram a produtividade e reduzem os riscos, mas também podem reduzir os custos operacionais ao eliminar a necessidade de executar processos manuais dispendiosos (que exigem supervisão) sempre que alguém sai da empresa ou muda de função/responsabilidades.
Essa capacidade, em última análise, melhora a agilidade, o que significa que a TI está mais apta a se adaptar, dar suporte e viabilizar iniciativas de negócios. Quando a TI não está mais presa a longos processos manuais ou integrações personalizadas, ela pode alterar sistemas com mais facilidade e presteza, além de garantir consistência na aplicação de políticas sem precisar passar por muitos obstáculos. Isso significa que as empresas podem migrar, adicionar e remover sistemas e aplicativos conforme necessário, sem serem impedidas pela necessidade de a TI "conectar" manualmente todas as partes móveis necessárias para garantir a conformidade e o acesso.
Os serviços de Federação de ID são cada vez mais valiosos como uma ferramenta não apenas para facilitar a vida dos usuários com SSO e acesso federado, mas também para melhorar a agilidade, reduzir riscos e diminuir os custos operacionais associados ao gerenciamento do número crescente de aplicativos que precisamos usar todos os dias no local e na nuvem.
Quer saber mais detalhes sobre o SAML? Confira esta lição do Lightboard sobre SAML do nosso próprio John Wagnon .