2. Alfredo Santos
• Formado em:
– Ciências da Computação
– Gestão de Empresas
– Gestão de TI
• Autor de livros de Segurança e Arquitetura de
Sistemas
• Certificado em Cobit e ISO 27002
• Email: alfredo.luiz@gmail.com
• Linkedin: http://www.linkedin.com/profile/view?
id=871673
3. Agenda
• O que é Gerenciamento de
Identidades?
• O que é Gerenciamento de Acesso?
• Componentes de um GIA
• Boas práticas de GIA
4. O que é Gerenciamento de
Identidades?
• Gerenciamento de identidades é o conjunto
de processos e tecnologias voltadas para o
tratamento e manipulação de identidades de
usuários desde o nascimento dos dados em
sistemas de RH e cadastros de terceiros até as
aplicações gerenciadas (sistemas
operacionais, correios eletrônicos, acesso
físico etc.).
5. O que é Gerenciamento de
Acessos?
• Gerenciamento de acessos é o conjunto de
processos e tecnologias voltadas para o
tratamento das tentativas de acessos aos
sistemas e inclui além da autenticação a
autorização e o registro dos acessos.
6. Componentes de um GIA
• Fontes autoritativas
• Metadiretório
• Recursos conectados
• Workflow
• Rastreabilidade
7. Fontes autoritativas
Fontes autoritativas são os repositórios de
origem de dados cadastrais de usuários.
Fontes autoritativas podem ser divididas em
categorias, exemplos:
• Cadastros básicos.
• E-mail.
• Autorização de acesso.
8. Fontes autoritativas
Fontes autoritativas de cadastros básicos
Responsáveis por prover os dados básicos de um usuário, como
nome, departamento, localidade. Devem conter dados
confiáveis, sendo o primeiro local a saber que um usuário
mudou de departamento, de unidade na empresa, saiu de férias
ou foi demitido.
Exemplos:
• Sistemas de RH.
• Cadastros de terceiros.
• Cargas periódicas de dados.
9. Fontes autoritativas
Fontes autoritativas de e-mail
Responsáveis por prover o e-mail atualizado do usuário. Tradicionalmente,
esta informação é gerenciada pelo administrador de correio
eletrônico e a mesma é propagada aos demais recursos
conectados, conforme figura 1.4, mas um ponto de atenção
em gerenciamento de identidade na origem do e-mail é que
o e-mail pode ser originado também pela ferramenta de
gerenciamento de identidade, baseando-se em regras de
criação, como, por exemplo, primeiro nome + sobrenome ou
primeira letra do primeiro nome + sobrenome, mas um
processo deste tipo pode ser complicado de gerenciar
devido a conflitos de nomes gerados.
(asantos@empresa.com pode ser Alfredo Santos ou André
Santos).
10. Fontes autoritativas
Fontes autoritativas de e-mail
Exemplos de fontes autoritativas:
•Sistemas de correio eletrônico.
•Gerador de nome de e-mail corporativo.
Nota: Gerador de nome de e-mail corporativo é uma ferramenta
de cadastro e sugestão de e-mails utilizada em grandes
corporações.
Esta função pode ser exercida pelo gerenciamento de
identidade, mas não é uma tarefa recomendada.
11. Fontes autoritativas
Fontes autoritativas de autorização de acesso
Responsáveis por prover o que cada usuário pode fazer em cada sistema
conectado. Pode ser um sistema desenvolvido na própria empresa ou um
produto de mercado. Esta fonte autoritativa determina a concessão e
remoção de acessos de usuários, informando o serviço de gerenciamento de
identidade.
Exemplos:
•Cadastro em um banco de dados de aplicações/acessos.
•Cadastro em um repositório ldap de aplicações/acessos.
12. Metadiretório
Metadiretório é o repositório central de identidades e
acessos, responsável por ser o intermediário entre as
fontes autoritativas e os recursos conectados.
O armazenamento de dados pode ser em banco de dados
relacional ou em diretórios hierárquicos como, por
exemplo, LDAP compatíveis, mas alguns dados não ficam
armazenados no metadiretório, apenas trafegam pelo
gerenciamento de identidade, porque só interessam para
um ou outro recurso.
13. Recursos conectados
Recursos conectados são todos os ambientes destino que
possuem um repositório de usuários que possa ser gerenciado
recebendo leituras, inserções, exclusões, alterações etc.
Exemplos de recursos:
•Correio eletrônico.
•Bancos de dados JDBC.
•Mainframe.
•Unix.
14. Workflow
• Workflow em GIA é responsável por gerenciar
os fluxos de solicitação de acesso,
cancelamentos e alterações.
• Este fluxo interage com a solução de GIA para
disparar atividades contra os Recursos
conectados, como por exemplo a exclusão de
um usuário.
15. Rastreabilidade
• Rastreabilidade é todo registro de atividades
tanto de manutenção quanto de solicitações
de acesso.
• Este item é muito importante para atender
fins de auditoria, quando é necessário
identificar tudo que ocorreu a um usuário.
16. Boas práticas de GIA
• Realizar um projeto prévio de organização de
cadastro de usuários eliminando usuários
duplicados.
• Definir processos de GIA de acordo com as
regras de compliance necessárias para sua
empresa
17. Boas práticas de GIA
• Definir pessoas responsáveis por recursos
• Definir perfis de acesso aos recursos
• Definir pessoas responsáveis por estes perfis
• Incluir o Gestor Hierarquico nas aprovações
de solicitações
18. Boas práticas de GIA
• Incluir áreas de controle como aprovadoras no
processo quando isso se aplicar
• Automatizar a integração das aprovações com
os recursos, diminuindo interações manuais
• Gravar todos acessos de um usuário em um
repositório central
19. Boas práticas de GIA
• Eliminar todos acessos de um usuário no
desligamento, consultando este repositório
central
• Incluir uma análise de segregação de funções
no processo de concessão de acesso
• Gravar todas atividades relacionadas a
concessão de acesso
20. Boas práticas de GIA
• Utilizar autenticação forte (Ex token, sms,
biometria) quando possível.
• Tratar de forma diferenciada acessos
privilegiados ao ambiente.
• Conceder de forma temporária acessos
críticos ao ambiente
21. Boas práticas de GIA
• Controlar no Workflow de solicitação de
acesso o que o usuário pode pedir,
minimizando solicitações incorretas
• Realizar reconciliação de cadastros entre o
Metadiretório e os recursos para identificar
inconsistências.
22. Boas práticas de GIA
• Realizar recertificações de acesso períodicas
junto aos usuários responsáveis por recursos e
perfis para que eles identifiquem eventuais
acessos indevidos.