Conceitos fundamentais de gerenciamento de identidade e acesso (IAM)

  • Artigo

Este artigo fornece conceitos e terminologia fundamentais para ajudá-lo a entender o gerenciamento de identidade e acesso (IAM).

O que é o gerenciamento de identidade e acesso (IAM)?

O gerenciamento de identidade e acesso garante que as pessoas, máquinas e componentes de software certos tenham acesso aos recursos certos no momento certo. Primeiro, a pessoa, máquina ou componente de software prova que é quem ou o que afirma ser. Em seguida, a pessoa, a máquina ou o componente de software tem permissão ou recusa de acesso ou uso de determinados recursos.

Aqui estão alguns conceitos fundamentais para ajudá-lo a entender o gerenciamento de identidade e acesso:

Identidade

Uma identidade digital é uma coleção de identificadores ou atributos exclusivos que representam um ser humano, componente de software, máquina, ativo ou recurso em um sistema de computador. Um identificador pode ser:

  • Um endereço de e-mail
  • Credenciais de início de sessão (nome de utilizador/palavra-passe)
  • Número da conta bancária
  • Documento de identificação emitido pelo governo
  • Endereço MAC ou endereço IP

As identidades são usadas para autenticar e autorizar o acesso a recursos, comunicar com outros seres humanos, realizar transações e outros fins.

Em um alto nível, existem três tipos de identidades:

  • As identidades humanas representam pessoas como funcionários (trabalhadores internos e trabalhadores da linha de frente) e usuários externos (clientes, consultores, fornecedores e parceiros).
  • As identidades de carga de trabalho representam cargas de trabalho de software, como um aplicativo, serviço, script ou contêiner.
  • As identidades de dispositivo representam dispositivos como computadores desktop, telefones celulares, sensores IoT e dispositivos gerenciados por IoT. As identidades dos dispositivos são distintas das identidades humanas.

Autenticação

A autenticação é o processo de desafiar uma pessoa, componente de software ou dispositivo de hardware para obter credenciais, a fim de verificar sua identidade ou provar que é quem ou o que afirma ser. A autenticação normalmente requer o uso de credenciais (como nome de usuário e senha, impressões digitais, certificados ou senhas únicas). Às vezes, a autenticação é encurtada para AuthN.

A autenticação multifator (MFA) é uma medida de segurança que exige que os usuários forneçam mais de uma evidência para verificar suas identidades, como:

  • Algo que eles sabem, por exemplo, uma senha.
  • Algo que eles têm, como um selo ou token de segurança.
  • Algo que são, como uma biométrica (impressão digital ou rosto).

O logon único (SSO) permite que os usuários autentiquem sua identidade uma vez e, posteriormente, autentiquem silenciosamente ao acessar vários recursos que dependem da mesma identidade. Uma vez autenticado, o sistema do IAM atua como a fonte da verdade da identidade para os outros recursos disponíveis para o usuário. Ele elimina a necessidade de fazer logon em vários sistemas de destino separados.

Autorização

A autorização valida que o usuário, a máquina ou o componente de software recebeu acesso a determinados recursos. A autorização às vezes é encurtada para AuthZ.

Autenticação vs. autorização

Os termos autenticação e autorização às vezes são usados de forma intercambiável, porque muitas vezes parecem uma experiência única para os usuários. Na verdade, são dois processos separados:

  • A autenticação prova a identidade de um usuário, máquina ou componente de software.
  • A autorização concede ou nega ao usuário, máquina ou componente de software acesso a determinados recursos.

Diagrama que mostra autenticação e autorização lado a lado.

Aqui está uma rápida visão geral da autenticação e autorização:

Autenticação Autorização
Pode ser pensado como um gatekeeper, permitindo o acesso apenas às entidades que fornecem credenciais válidas. Pode ser pensado como um guarda, garantindo que apenas as entidades com a devida autorização podem entrar em determinadas áreas.
Verifica se um usuário, máquina ou software é quem ou o que afirma ser. Determina se o usuário, a máquina ou o software tem permissão para acessar um recurso específico.
Desafia o usuário, a máquina ou o software para obter credenciais verificáveis (por exemplo, senhas, identificadores biométricos ou certificados). Determina o nível de acesso de um usuário, máquina ou software.
Feito antes da autorização. Feito após a autenticação bem-sucedida.
As informações são transferidas em um token de ID. As informações são transferidas em um token de acesso.
Muitas vezes usa o OpenID Connect (OIDC) (que é construído no protocolo OAuth 2.0) ou protocolos SAML. Muitas vezes usa o protocolo OAuth 2.0.

Para obter informações mais detalhadas, leia Autenticação versus autorização.

Exemplo

Suponha que você queira passar a noite em um hotel. Você pode pensar em autenticação e autorização como o sistema de segurança para o edifício do hotel. Os usuários são pessoas que querem ficar no hotel, os recursos são os quartos ou áreas que as pessoas querem usar. A equipe do hotel é outro tipo de usuário.

Se você estiver hospedado no hotel, você primeiro vai para a receção para iniciar o "processo de autenticação". Você mostra um cartão de identificação e cartão de crédito e a rececionista combina seu ID com a reserva on-line. Depois que a rececionista tiver verificado quem você é, a rececionista lhe concede permissão para acessar o quarto que lhe foi atribuído. Você recebe um cartão-chave e pode ir agora para o seu quarto.

Diagrama que mostra uma pessoa mostrando identificação para obter um cartão-chave do hotel.

As portas dos quartos do hotel e outras áreas têm sensores de cartão-chave. Passar o cartão-chave na frente de um sensor é o "processo de autorização". O cartão-chave só permite que você abra as portas dos quartos que você tem permissão para acessar, como o quarto de hotel e a sala de exercícios do hotel. Se você passar o cartão-chave para entrar em qualquer outro quarto do hotel, seu acesso será negado.

Permissões individuais, como acessar a sala de exercícios e uma sala de hóspedes específica, são coletadas em funções que podem ser concedidas a usuários individuais. Ao se hospedar no hotel, você terá a função de Patrono do Hotel. A equipe do serviço de quarto do hotel receberia a função de serviço de quarto do hotel. Esta função permite o acesso a todos os quartos do hotel (mas apenas entre as 11h e as 16h), à lavandaria e aos armários de abastecimento em cada piso.

Diagrama que mostra um usuário tendo acesso a uma sala com um cartão-chave.

Provedor de identidade

Um provedor de identidade cria, mantém e gerencia informações de identidade enquanto oferece serviços de autenticação, autorização e auditoria.

Diagrama que mostra um ícone de identidade rodeado por ícones de nuvem, estação de trabalho, dispositivos móveis e banco de dados.

Com a autenticação moderna, todos os serviços, incluindo todos os serviços de autenticação, são fornecidos por um provedor de identidade central. As informações usadas para autenticar o usuário no servidor são armazenadas e gerenciadas centralmente pelo provedor de identidade.

Com um provedor de identidade central, as organizações podem estabelecer políticas de autenticação e autorização, monitorar o comportamento do usuário, identificar atividades suspeitas e reduzir ataques mal-intencionados.

O Microsoft Entra é um exemplo de um provedor de identidade baseado em nuvem. Outros exemplos incluem X, Google, Amazon, LinkedIn e GitHub.

Próximos passos