gerenciamento de identidades e acesso - gia

5/17/2018 Gerenciamento de Identidades e Acesso - GIA - slidepdf.com

http://slidepdf.com/reader/full/gerenciamento-de-identidades-e-acesso-gia-55b07dd9b7b42 1/22

Gerenciamento de Identidades e

Acessos (GIA)Alfredo Santos



Alfredo Santos

• Formado em:

– Ciências da Computação

– Gestão de Empresas

–Gestão de TI

• Autor de livros de Segurança e Arquitetura de

Sistemas

• Certificado em Cobit e ISO 27002

• Email: [email protected] • Linkedin: http://www.linkedin.com/profile/view?id=871673

mailto:[email protected]

mailto:[email protected]



Agenda

• O que é Gerenciamento de

Identidades?

• O que é Gerenciamento de Acesso?

• Componentes de um GIA

• Boas práticas de GIA



O que é Gerenciamento de

Identidades?

• Gerenciamento de identidades é o conjunto

de processos e tecnologias voltadas para o

tratamento e manipulação de identidades deusuários desde o nascimento dos dados em

sistemas de RH e cadastros de terceiros até as

aplicações gerenciadas (sistemas operacionais,

correios eletrônicos, acesso físico etc.).



O que é Gerenciamento de

Acessos?

• Gerenciamento de acessos é o conjunto de

processos e tecnologias voltadas para o

tratamento das tentativas de acessos aossistemas e inclui além da autenticação a

autorização e o registro dos acessos.



Componentes de um GIA

• Fontes autoritativas

• Metadiretório

• Recursos conectados

• Workflow

• Rastreabilidade



Fontes autoritativas

Fontes autoritativas são os repositórios de

origem de dados cadastrais de usuários.

Fontes autoritativas podem ser divididas em

categorias, exemplos:

• Cadastros básicos.

• E-mail.

•Autorização de acesso.




Fontes autoritativas de cadastros básicos

Responsáveis por prover os dados básicos de um usuário, como

nome, departamento, localidade. Devem conter dados

confiáveis, sendo o primeiro local a saber que um usuário

mudou de departamento, de unidade na empresa, saiu de férias

ou foi demitido.

Exemplos:• Sistemas de RH.

• Cadastros de terceiros.• Cargas periódicas de dados.




Fontes autoritativas de e-mail Responsáveis por prover o e-mail atualizado do usuário. Tradicionalmente,

esta informação é gerenciada pelo administrador de correio eletrônico e a

mesma é propagada aos demais recursos conectados, conforme figura 1.4,

mas um ponto de atenção em gerenciamento de identidade na origem do e-mail é que o e-mail pode ser originado também pela ferramenta de

gerenciamento de identidade, baseando-se em regras de criação, como, por

exemplo, primeiro nome + sobrenome ou primeira letra do primeiro nome +

sobrenome, mas um processo deste tipo pode ser complicado de gerenciar

devido a conflitos de nomes gerados. ([email protected] pode ser

Alfredo Santos ou André Santos).




Fontes autoritativas de e-mail

Exemplos de fontes autoritativas:

• Sistemas de correio eletrônico.

•

Gerador de nome de e-mail corporativo.Nota: Gerador de nome de e-mail corporativo é uma ferramenta

de cadastro e sugestão de e-mails utilizada em grandes

corporações.

Esta função pode ser exercida pelo gerenciamento deidentidade, mas não é uma tarefa recomendada.




Fontes autoritativas de autorização de acesso Responsáveis por prover o que cada usuário pode fazer em cada sistema

conectado. Pode ser um sistema desenvolvido na própria empresa ou um

produto de mercado. Esta fonte autoritativa determina a concessão e

remoção de acessos de usuários, informando o serviço de gerenciamento deidentidade.

Exemplos:

• Cadastro em um banco de dados de aplicações/acessos.

• Cadastro em um repositório ldap de aplicações/acessos.



Metadiretório

Metadiretório é o repositório central de identidades eacessos, responsável por ser o intermediário entre as fontes

autoritativas e os recursos conectados.

O armazenamento de dados pode ser em banco de dados

relacional ou em diretórios hierárquicos como, porexemplo, LDAP compatíveis, mas alguns dados não ficam

armazenados no metadiretório, apenas trafegam pelo

gerenciamento de identidade, porque só interessam para

um ou outro recurso.



Recursos conectados

Recursos conectados são todos os ambientes destino quepossuem um repositório de usuários que possa ser gerenciado

recebendo leituras, inserções, exclusões, alterações etc.

Exemplos de recursos:

• Correio eletrônico.

• Bancos de dados JDBC.

• Mainframe.

• Unix.



Workflow

• Workflow em GIA é responsável por gerenciaros fluxos de solicitação de acesso,

cancelamentos e alterações.

• Este fluxo interage com a solução de GIA paradisparar atividades contra os Recursos

conectados, como por exemplo a exclusão de

um usuário.



Rastreabilidade

• Rastreabilidade é todo registro de atividades

tanto de manutenção quanto de solicitações

de acesso.

• Este item é muito importante para atenderfins de auditoria, quando é necessário

identificar tudo que ocorreu a um usuário.



Boas práticas de GIA

• Realizar um projeto prévio de organização de

cadastro de usuários eliminando usuários

duplicados.

• Definir processos de GIA de acordo com asregras de compliance necessárias para sua

empresa




• Definir pessoas responsáveis por recursos

• Definir perfis de acesso aos recursos

• Definir pessoas responsáveis por estes perfis

• Incluir o Gestor Hierarquico nas aprovações de

solicitações




• Incluir áreas de controle como aprovadoras no

processo quando isso se aplicar

• Automatizar a integração das aprovações com

os recursos, diminuindo interações manuais

• Gravar todos acessos de um usuário em um

repositório central




• Eliminar todos acessos de um usuário no

desligamento, consultando este repositório

central

• Incluir uma análise de segregação de funçõesno processo de concessão de acesso

• Gravar todas atividades relacionadas a

concessão de acesso




• Utilizar autenticação forte (Ex token, sms,

biometria) quando possível.

• Tratar de forma diferenciada acessos

privilegiados ao ambiente.

• Conceder de forma temporária acessos

críticos ao ambiente




• Controlar no Workflow de solicitação de

acesso o que o usuário pode pedir,

minimizando solicitações incorretas

• Realizar reconciliação de cadastros entre oMetadiretório e os recursos para identificar

inconsistências.




• Realizar recertificações de acesso períodicas

junto aos usuários responsáveis por recursos e

perfis para que eles identifiquem eventuais

acessos indevidos.

gerenciamento de identidades e acesso - gia

Documents