De volta ao básico: A Vingança

Gebara — Mon, 09 Mar 2009 19:28:12 GMT

No meu último post da série De Volta ao Básico (veja também os posts 1 , 2 , 3 e 4 ), escrevi que a federeção de identidades seria uma das tábuas de salvação para o caos das identidades e para a interoperabilidade entre plataformas. Mas, infelizmente,...(read more)

De volta ao básico: A federação a nosso alcance

Gebara — Wed, 19 Mar 2008 22:25:00 GMT

Bem, pretendo que este seja o último post da série De volta ao básico . Por que? Porque a partir de agora teremos que entrar um pouco mais fundo nos temas que foram abordados para entender melhor as tecnologias utilizadas. Só para relembrar, esta série...(read more)

De volta ao básico: E quando não é possível usar um diretório único?

Gebara — Mon, 10 Dec 2007 23:30:44 GMT

Continuando (muito mais tarde do que eu imaginava, peço desculpas) o blog anterior, precisamos colocar um pouco mais os pés no chão. A idéia de se ter um único diretório acessível por diversos protocolos é muito interessante, mas é um tanto quanto fora da realidade. Por que?

Quantos de vocês possuem diversos sistemas (internos ou licenciados de terceiros) que possuem um diretório próprio para os processos de autenticação e autorização, isto é, quantos deles possuem base própria de pares usuário/senha e controle de perfis de acesso? Aposto que a esmagadora maioria tem. E o que é possível fazer sobre isso?

Há, pelo menos, três soluções no horizonte:

Deixar do jeito que está, mas melhorar o que está para vir:
Muitas vezes é extremamente difícil justificar os investimentos necessários para alterar os sistemas atuais, a não ser que sua empresa esteja sendo pressionada por alguma legislação. Mas dá para melhorar o que vem por aí.
Tenho um caso interessante de um cliente que veio discutir sobre este assunto há um par de anos: eles tinham uma bem estabelecida infra-estrutura de Active Directory na empresa mas precisavam estabelecer um esquema de single sign-on para sua infra-estrutura. Analisamos durante algum tempo o impacto que isto teria, tanto em projetos, quanto em aquisição de licenças e novos procedimentos operacionais e resolvemos partir para o princípio do KISS (Keep It Simple, Sam): estabelecemos requisitos para a aquisição de novos produtos e para a atualização dos produtos atuais, usando as idéias de múltiplos protocolos como fachada para o mesmo diretório. Com isso foi possível traçar no tempo, com menos investimentos, um caminho para o diretório único;
Usar um produto de single sign-on:
Muitas empresas de grande porte partem para esta solução. Normalmente estes produtos fazem um mapeamento de contas de usuários e suas senhas, oferecendo uma API que permite fazer o controle de perfis. O usuário se loga em todos os sistemas usando um único par usuário/senha mas, por debaixo do pano, o sistema de single sign-on verifica qual usuário/senha deve ser utilizada para cada um dos sistemas, efetivamente mascarando para o usuário a parafernália de identidads do seu ambiente. É normalmente uma tecnologia complexa, de custo elevado, que nem todas as empresas têm disponibilidade para investir;
Usar um produto de sincronização e provisionamento:
É uma solução que permite a sincronização dos pares usuário/senha dos diversos sistemas/plataformas, facilitando principalmente a vida do usuário final (que não precisa se lembrar de tantos pares de usuário/senha), mas traz complexidade extra para o ambiente. As funções de provisionamento permitem que, ao se incluir ou excluir um usuário na empresa, seja possível, com regras pré-definidas, criar ou excluir o mesmo usuário em diversos sistemas com diretórios desconexos ao mesmo tempo em que, ao se trocar uma senha em um dos diretórios, esta senha seja replicada em todos os sistemas ao qual o usuário tem acesso. Idéia simples, mas que também embute mais complexidade na infra-estrutura.

Para a opção 1, temos uma técnica que é possível ser utilizada depois de uma análise mais aprofundada do ambiente: se os sistemas desenvolvidos internamente compartilharem uma API de autenticação/autorização própria, em muitos casos é possível substituir o código desta API (sem alterar as interfaces) por uma nova API que faça acesso ao diretório principal da empresa, migrando gradualmente de um cenário de múltiplos diretórios para um cenário de diretório único.

Mas aqui fica mais um pensamento: quando se utilizam as técnicas 2 e 3 acima, é provável que a força da sua senha seja em realidade, a da senha de complexidade mais baixa. Se, por exemplo, um dos sistemas aceita apenas senhas de 8 caracteres maiúsculos, para que o single sing-on funcione ou a sincronização seja efetiva, todos os sistemas ficam com os mesmos 8 caracteres maiúsculos. Assim, mesmo que um ou mais sistemas permitam uso de senhas complexas, esta características não será explorada adequadamente. Razão esta para um outro cliente que eu conheço não usar nenhum destes esquemas: eles definiram um grupo de 3 a 5 diretórios, atribuindo a cada um deles um grupo de sistemas dependentes. Sistemas críticos dependem do diretório que permite maior controle da complexidade da senha, enquanto sistemas mais simples ficam com os diretórios que oferecem menor complexidade. Para eles também há uma vantagem de se manter esse número de diretórios: caso a senha de um usuário fique comprometida, apenas aqueles sistemas dependentes do diretório que hospeda o par usuário/senha com problemas é que serão um alvo potencial de ataque, minimizando o risco de se ter um ponto único de falha no controle de acesso à informação.

A seguir (próximo blog): A federação a nosso alcance.

Os conceitos de identidade em uso inusitado

Gebara — Wed, 07 Nov 2007 22:29:00 GMT

Quando eu li hoje o blog do Kim Cameron sobre um novo dispositivo que carrega em si conceitos e artefatos de identidade digital, fiquei realmente espantado. Vale a pena vocês darem uma olhada. Em resumo: a Mattel criou um tocador de MP3 para as fãs da Barbie e embutiu neles mecanismos que permitem também estabelecer, através da troca de identidades digitais, um grupo virtual de amigos(as) que podem fazer chat em um site próprio da Mattel. Pelo fato da(o)s participantes somente serem usuários(as) conhecidos(as) dos brinquedos (um(a) usuário(a) tem que usar a docking station de outro(a) para se "tornar amigo(a)"), cria-se um círculo mais conhecido de participantes.

Idéia interessante. O mundo dos brinquedos torna mais lúdico esses conceitos tão pesados que comentamos por aqui. Vamos ver se aparece algo para o mundo Hotwheels. :-)

Bem, e para finalizar, não foi exatamente um jeito muito tradicional de apresentar o blog do Kim Cameron, mas para quem quiser acompanhar alguns dos desenvovimentos e repercussões do uso das identidades digitais no mundo de hoje, vale a pena acompanhar o blog dele: http://www.identityblog.com.

Pensando sobre Tecnologia da Informação : identidades digitais

De volta ao básico: A Vingança

De volta ao básico: A federação a nosso alcance

De volta ao básico: E quando não é possível usar um diretório único?

A seguir (próximo blog): A federação a nosso alcance.

Os conceitos de identidade em uso inusitado