O que é um serviço de diretório?

Juntos, os serviços de diretório e o IAM permitem que as organizações controlem as contas de usuários, a autenticação, o controle de acesso, as permissões e outros aspectos cruciais da segurança da rede.

Com o surgimento da internet, computação em nuvem e trabalho remoto, os serviços de diretório tornaram-se cruciais para a forma como as organizações aproveitam arquiteturas de computação distribuída para aprimorar os negócios principais. Os serviços de diretório funcionam como uma agenda telefônica para recursos de rede, armazenando informações sobre usuários, dispositivos e outros recursos para que possam se conectar de forma rápida e segura.

Diferentemente dos bancos de dados relacionais tradicionais, que organizam as informações em linhas e colunas, os serviços de diretório são projetados hierarquicamente. Usando namespaces, um método de classificação de recursos de rede para que sejam facilmente identificáveis, a estrutura hierárquica dos serviços de diretório permite que milhões de usuários e dispositivos troquem informações por meio de uma rede.

Os serviços de diretório são projetados em torno de um modelo cliente/servidor, uma configuração de rede padrão onde um programa é o “cliente” e o outro é o “servidor”. Em um banco de dados de serviços de diretório, o cliente é normalmente um usuário, dispositivo ou aplicação.

O cliente procura um recurso contido no banco de dados de serviços de diretório. Enquanto isso, o banco de dados passa por um processo de autenticação para verificar se tem as permissões necessárias para acessar o recurso, um processo conhecido como “autenticação”.

O processo de autenticação está no centro da funcionalidade dos serviços de diretório porque estabelece se um usuário ou dispositivo pode acessar o recurso solicitado. A autenticação é conduzida em três etapas: credenciamento, verificação e permissões.

1. Credenciamento: o usuário ou dispositivo envia suas credenciais para acessar o recurso solicitado. Exemplos comuns de credenciais incluem nomes de usuário, senhas e dados biométricos que podem ser usados para estabelecer a identidade de um usuário.
2. Verificação: O servidor de diretório usa vários protocolos comuns para Verify que o usuário é quem ou o que ele afirma ser. Depois que a identidade de um usuário é estabelecida, o servidor de diretório fornece um ticket de autenticação ou token que pode ser apresentado a outras aplicações que o usuário encontrar.
3. Permissões: após a verificação da identidade e das credenciais do usuário, o banco de dados de serviços de diretório verifica as informações fornecidas em suas listas de controle de acesso interno (ACLs) para determinar quais recursos eles podem acessar.

Além do processo de autenticação, os servidores de diretório também podem depender de outros protocolos comuns para confirmar a identidade de um usuário e estabelecer quais recursos ele pode acessar:

• Protocolo de Acesso a Diretórios Leve (LDAP): O protocolo fundamental que rege os dados de diretório, o LDAP permite que aplicações consultem bancos de dados de serviços de diretório e gerenciem identidades de usuários em redes TCP/IP (Transmission Control Protocol/Internet Protocol), como a internet.

• Kerberos: Kerberos é um protocolo de autenticação baseado em tickets que emite tickets ou tokens por tempo limitado. As aplicações podem reutilizar esses tickets e tokens para verificar a identidade de um usuário em vez de exigir que ele insira novamente uma senha. O Kerberos é amplamente usado por alguns dos maiores serviços de diretórios e provedores de nuvem do mundo, incluindo Microsoft Active Directory (Azure Active Directory), Red Hat Enterprise Linux, AWS, Google Cloud e macOS.

• Security Assertion Markup Language (SAML): SAML é um protocolo baseado em XML que permite o logon único (SSO), um sistema de autenticação que permite aos usuários fazer login em várias aplicações com um conjunto de credenciais.

• Sistema de Nomes de Domínio (DNS): o Sistema de Nomes de Domínio (DNS) é um protocolo que converte nomes de domínio amigáveis para humanos, como google.com e facebook.com, em endereços de Protocolo de Internet (IP) que os computadores precisam para se identificarem em uma rede. O DNS é frequentemente integrado aos serviços de diretório para corresponder nomes legíveis por humanos com recursos de rede para que possam ser identificados com mais facilidade.  

Vários componentes importantes são críticos para a funcionalidade dos serviços de diretório, permitindo que usuários autorizados, dispositivos e aplicações acessem informações de diretório. Veja a seguir cada componente.

• Servidor de diretório: o servidor de diretório é um servidor físico ou virtual que armazena dados para que possam ser acessados e gerenciados em um serviço de diretório. Os servidores de diretórios dependem de protocolos comuns como LDAP, LDAPS e DNS para gerenciar informações sobre recursos em uma estrutura hierárquica que é facilmente acessível para usuários, dispositivos e aplicações autorizadas.

• Clientes de diretório: um cliente de diretório é uma aplicação que possibilita que operações como autenticação de usuário e gerenciamento de identidade sejam executadas em um servidor de diretório. Assim como os servidores de diretório, os clientes de diretório dependem de protocolos comuns de serviços de diretório para sua funcionalidade.

• Árvore de Informações de Diretório (DIT): a DIT é a organização hierárquica das informações em um serviço de diretório. São compostas por entradas individuais que representam usuários, grupos, aplicações e dispositivos. Uma estrutura DIT forte permite que os dados do diretório sejam acessados por usuários autorizados de forma rápida e segura, uma funcionalidade central dos serviços de diretório.

• Esquema: os esquemas de diretório são outra maneira de definir informações em um banco de dados de serviços de diretório. Embora a DIT seja hierárquica, os esquemas definem como os objetos de diretório individuais são armazenados em um serviço de diretório e suas propriedades exclusivas, garantindo que os dados sejam definidos de maneira consistente em todo o banco de dados.

• Ferramentas de replicação: as ferramentas de replicação, também conhecidas como instâncias do servidor de replicação, são processos de software que permitem que as informações de diretório sejam replicadas. A replicação de informações de diretório fornece vários recursos importantes dos serviços de diretório, como tolerância a falhas e recuperação de desastres (DR).

Empresas modernas dependem de serviços de diretório para uma ampla gama de recursos. Desde aprimorar a segurança e a conformidade até ajudar a alcançar alta disponibilidade — veja aqui os principais benefícios corporativos dos serviços de diretório.

Em vez de exigir que os usuários autentiquem várias vezes à medida que migram por diferentes partes de um banco de dados, os serviços de diretório se concentram em uma abordagem diferente. Eles permitem que os usuários se autentiquem uma vez e usem um token ou um ticket para estabelecer sua identidade daqui para frente.

Essa abordagem reduz a necessidade de criar e armazenar várias senhas e permite que as mesmas políticas de autenticação sejam aplicadas em todo o banco de dados.

Os serviços de diretório permitem que os administradores centralizem e automatizem a abordagem a permissões e funções. Por exemplo, eles podem adicionar um usuário ou aplicação a um grupo e automatizar o processo de concessão de acesso aos mesmos recursos que os outros usuários desse grupo.

Essa abordagem simplifica e otimiza as tarefas administrativas e reduz a probabilidade de erros humanos em processos manuais.

Os serviços de diretório modernos são equipados com algumas das ferramentas de criptografia mais fortes disponíveis, garantindo que a comunicação e o compartilhamento de recursos permaneçam seguros e reduzindo a probabilidade de uma violação de dados.

Além disso, muitos protocolos comuns dos serviços de diretório (por exemplo, TLS, SSL, MFA e SAML) já estão em conformidade com os padrões mais rigorosos de segurança de dados, como HIPAA e SOC 2.

Os serviços de diretório são projetados para processar milhões de solicitações de autenticação ao mesmo tempo sem afetar seu desempenho, o que os torna sistemas altamente disponíveis.

Ao distribuir amplamente réplicas de dados de diretório que os usuários estão acessando, eles podem evitar consistentemente o downtime mesmo enquanto gerenciam cargas de trabalho mais pesadas do que o normal.

Os serviços de diretório podem ser facilmente integrados a ambientes locais e baseados na nuvem, aproveitando recursos físicos e virtuais e mesclando-os sem dificuldades.

As interfaces de programação de aplicativos (APIs) ajudam as equipes a integrar facilmente serviços de diretório com sistemas comuns, como bancos de dados de RH, sistemas de gerenciamento de relacionamento com o cliente (CRM) e aplicações da web amplamente usadas.

Assim como outros sistemas distribuídos modernos e complexos, os serviços de diretório estão tendo dificuldades para lidar com o aumento massivo de dados de rede trazido por novas tecnologias como inteligência artificial (IA) e Internet das Coisas (IoT).

Com mais aplicações, usuários e dispositivos acessando e compartilhando informações do que no passado, até mesmo os serviços de diretório mais sofisticados enfrentam novos desafios.

Manter a consistência dos dados (ou seja, o estado dos dados em que todas as cópias ou instâncias permanecem as mesmas) sempre foi um desafio nos serviços de diretório.

Conforme os bancos de dados ficam maiores e mais complexos para atender às necessidades de novas tecnologias, manter as réplicas de dados atualizadas é mais difícil e pode afetar o desempenho do sistema.  

Fornecer acesso ininterrupto aos serviços de diretório para todos os vários usuários e aplicações que precisam de suporte é uma tarefa complexa e que consome muitos recursos.

Tolerância a falhas—a capacidade de permanecer operacional mesmo quando componentes e sistemas falham—requer testes processuais fortes e redundâncias ou sistemas falharão, resultando em downtime.

Os serviços de diretório são alvos atraentes para agentes mal-intencionados e ameaças cibernéticas porque contêm informações valiosas e essenciais para os principais processos de negócios das organizações que suportam.

Os invasores implementam uma ampla variedade de ataques direcionados,incluindo ransomware e roubo de identidade, para obter acesso não autorizado aos dados do diretório e usá-los para prejudicar uma empresa.

Os serviços de diretório são amplamente usados no nível empresarial e oferecem suporte a uma grande variedade de casos de uso. Veja a seguir alguns dos mais populares.

Os serviços de diretório oferecem suporte ao Gerenciamento de acesso e identidade (IAM) por meio de processos de autenticação contínuos (por exemplo, logon único (SSO)), recursos automatizados de conformidade e uma abordagem centralizada para gerenciar identidades digitais. IAM é um processo de cibersegurança que garante que as equipes possam usar aplicações em nuvem para colaborar de forma eficiente e segura.

De acordo com um relatório recente, o tamanho do mercado global de IAM valia quase USD 18 bilhões em 2023. Além disso, foi projetado um crescimento de mais de US$ 61 bilhões até 2032, resultando em uma taxa composta de crescimento anual (CAGR) de 15,3%.¹

A autenticação multifator (MFA) é um método de verificação da identidade de um usuário por meio de múltiplas formas de comprovação, como senhas e informações biométricas.

Os serviços de diretório usam MFA para oferecer às organizações camadas extras de proteção quando os usuários estão trabalhando remotamente em vários dispositivos, como computadores pessoais, tablets e smartphones. A MFA baseada em diretório ajuda a proteger cargas de trabalho e informações confidenciais contra agentes mal-intencionados e garante a conformidade com as políticas de diretório.

Os serviços de diretório permitem que as organizações configurem ambientes de computação de código aberto - ecossistemas de computação em que o software subjacente é gratuito e está disponível para qualquer pessoa usar e desenvolver.

Por exemplo, o OpenLDAP é um servidor de diretório de código aberto e o FreeIPA é uma ferramenta de IAM de código aberto. Ambos permitem serviços de diretório de código aberto para organizações que executam o Linux, o sistema operacional (SO) de código aberto mais popular do mundo.

A maioria das empresas modernas está aproveitando a nuvem como parte de sua jornada de transformação digital, um esforço contínuo para integrar a tecnologia digital em todas as áreas de sua organização. Os serviços de diretório suportam ambientes de nuvem híbrida e multinuvem, arquiteturas de TI que combinam diferentes tipos de recursos de nuvem para otimizar a infraestrutura de TI.

Por exemplo, soluções avançadas de serviços de diretório podem proteger tanto instâncias de nuvem privada quanto nuvem pública para permitir autenticação rápida e consistente para usuários e aplicações.

Os serviços de diretório ajudam as empresas a otimizar recursos críticos de rede, como grupos de usuários, impressoras e servidores de arquivos, por meio da integração com DNS e outros sistemas de rede.

Os gerentes de TI dependem de serviços de diretório para configurar e implementar recursos em uma rede com esforço mínimo, independentemente da complexidade e do número de usuários. Os serviços de diretório fornecem um hub centralizado para gerenciar recursos de rede, simplificando a administração e dando aos usuários acesso instantâneo aos recursos necessários por meio de SSO e outras formas de autenticação.

A ascensão da IA, especialmente da IA generativa, não está apenas ajudando a automatizar processos que antes exigiam entradas manuais, mas também mudando aspectos fundamentais dos serviços de diretório. Por exemplo, somente em arquiteturas de nuvem híbrida, o IBM Institute of Business Value (IBV) relata que 68% dos usuários já formalizaram uma política ou abordagem para o uso de IA generativa.

Anteriormente considerados bancos de dados estáticos, os serviços de diretório modernos com recursos impulsionados por IA estão se tornando mais inteligentes, mais adaptáveis e até autônomos. Aqui estão três exemplos de recursos impulsionados por IA que estão transformando os serviços de diretórios.