(Re)Avaliar o acesso ao local de trabalho e a federação
Uma das muitas dificuldades enfrentadas pelas organizações é a portabilidade, a reutilização e a interoperabilidade de identidades digitais de um domínio local para ambientes cada vez mais habilitados para serviços Web. Duas das abordagens mais antigas e mais amplamente adotadas foram a SAML (ou Security Assertion Markup Language) e a Federação de Identidades.
Uma breve história da SAML e da Federação de Identidades
Em termos mais simples, SAML é a especificação e os protocolos de interoperabilidade, definidos em três funções:
- O sujeito: é o utilizador (um colaborador, por exemplo).
- O fornecedor de identidade (IdP): uma fonte de atributos de utilizador e informações sobre credenciais
- O fornecedor de Serviços (SP): uma aplicação, um sistema ou um serviço a que o utilizador pretende aceder.
A federação de identidades é a noção de portabilidade e reutilização de identidades digitais. O objetivo final é permitir que os utilizadores de um domínio acedam de forma segura a aplicações, dados e sistemas de uma forma integrada, sem gestão redundante de utilizadores. Tal como a SAML, a Federação de Serviços Web (ou WS-Fed) é normalizada para garantir a existência de mecanismos que permitam a federação de diferentes domínios.
Tanto a SAML como a Federação de Identidades têm desempenhado um papel importante na Gestão do Acesso aos colaboradores, no entanto, nenhum deles especifica o método de autenticação utilizado pelo fornecedor de identidade.
A era da cloud, dos programadores e da camada de identidade que falta na Internet
À medida que os programadores começaram rapidamente a construir em infraestruturas de cloud pública e plataformas móveis, tornou-se claro que as complexidades da federação de identidades podiam ser resolvidas sem quaisquer domínios no local. Nascida da necessidade de criar a camada de identidade que faltava para a escala da Internet, a jornada do OpenID centrado no utilizador começou, assim como a criação do OAuth - o protocolo padrão da indústria para autorização. O OAuth centra-se na simplicidade do cliente, enquanto fornece fluxos de autorização específicos para aplicações Web, aplicações de ambiente de trabalho, telemóveis e muitos outros dispositivos ligados. O avanço da autorização foi seguido pelo OpenID Connect.
Uma introdução ao OpenID Connect
O OpenID Connect (OIDC) é um protocolo de federação baseado na estrutura do OAuth 2.0 que permite que os serviços Web externalizem as funções de autenticação para terceiros. O OIDC também permite aos clientes confirmar a identidade de um utilizador final com base em autenticações realizadas por servidores de autorização, bem como obter informações básicas de perfil sobre o utilizador final de uma forma interoperável e JSON/RESTful.
Porque é que o OpenID Connect (OIDC) é importante?
- Permite aos proprietários e programadores de aplicações autenticar os utilizadores em aplicações e websites sem terem de criar, gerir e manter identidades.
- Fornece um início de sessão único (SSO) e utiliza contas empresariais ou sociais existentes para aceder a aplicações, melhorando assim a usabilidade, a segurança e a privacidade.
- Garante a gestão de consentimento, o suporte para ambientes híbridos e multi-cloud, e também o suporte para mais tipos de clientes do que os protocolos de federação desenvolvidos anteriormente.
- Melhora a experiência do utilizador (UX) através de autenticação e de autorização ligeiras, gestão de consentimento refinada e verificação adicional através de métodos MFA.
- Em resumo, o OIDC é um substituto da SAML.
Na WatchGuard, estamos a desenvolver o nosso Identity Fabric na WatchGuard Cloud para adotar novos padrões de autorização e protocolos de federação de identidade que permitam desenvolver o AuthPoint 2.0.
Enquanto isso, saiba mais sobre o OpenID Connect e como é que este funciona. Se pretende obter mais informações sobre a proteção de identidades digitais, leia o post mais recente do nosso blog: (Re)Imagine a Gestão de Acesso no Local de Trabalho.