Início
topics
Orquestração de identidade
O que é orquestração de identidade?
Publicado em: 4 de abril de 2024
Colaboradores: Matthew Kosinski, Amber Forrest
A orquestração de identidade é uma solução de software para coordenar sistemas de gerenciamento de acesso e identidade (IAM) díspares de vários provedores de identidade em fluxos de trabalho sem fricção.
Na era da transformação digital, as organizações estão adotando mais soluções de software como serviço (SaaS), migrando para ambientes de multinuvem híbrida e abraçando o trabalho remoto. Os ecossistemas de TI corporativos de hoje contêm uma mistura de aplicativos e ativos baseados em nuvem e locais de vários fornecedores, atendendo a diversos usuários, desde funcionários e contratados até parceiros e clientes.
De acordo com um relatório, o departamento médio de uma empresa usa 87 aplicativos SaaS diferentes.1 Esses aplicativos geralmente têm seus próprios sistemas de identidade, que podem não se integrar facilmente entre si. Como resultado, muitas organizações lidam com cenários de identidade fragmentados e experiências de usuário desajeitadas.
Por exemplo, um funcionário pode ter contas separadas para o sistema de gerenciamento de tickets da empresa e o portal de gerenciamento de relacionamento com o cliente (CRM). Isso pode dificultar uma tarefa simples, como resolver tickets de atendimento ao cliente. O usuário deve conciliar diferentes identidades digitais para obter detalhes do ticket de um sistema e registros pertinentes de clientes de outro.
Enquanto isso, as equipes de TI e cibersegurança lutam para rastrear a atividade do usuário e impor políticas de controle de acesso consistentes em toda a rede. No exemplo anterior, o funcionário pode acabar com mais privilégios do que precisa no sistema de gerenciamento de projetos, enquanto suas permissões no CRM são muito baixas para acessar os registros dos clientes que está atendendo.
O software de orquestração de identidade ajuda a simplificar o gerenciamento de acesso e identidade, organizando serviços distintos de identidade e autenticação em fluxos de trabalho coesos e automatizados.
Todas as ferramentas de identidade de uma empresa se integram ao software de orquestração, que cria e gerencia conexões entre elas. Esse recurso permite que a organização construa uma arquitetura IAM personalizada, como sistemas de logon único (SSO) independentes de fornecedor, sem substituir ou reformular os sistemas existentes.
Voltando ao exemplo anterior, a organização pode usar uma plataforma de orquestração de identidade para conectar as contas do funcionário nos sistemas de gerenciamento de tickets e CRM a uma plataforma de SSO e vincular tudo a um diretório central de usuários. Dessa forma, os usuários podem fazer login no SSO uma vez para acessar ambos os aplicativos, e o diretório central verifica automaticamente suas identidades e aplica as permissões de acesso corretas para cada serviço.
A identidade tornou-se um dos principais vetores de ataque. Saiba como as organizações podem combater ataques baseados em identidade e simplificar a experiência do usuário por meio da orquestração de identidade.
Na tecnologia da informação, orquestração é o processo de conectar e coordenar ferramentas diferentes para automatizar fluxos de trabalho complexos e de várias etapas. Por exemplo, no âmbito da orquestração de segurança, uma organização pode conectar um gateway de e-mail seguro, uma plataforma de inteligência de ameaças e um software antimalware para criar um fluxo de trabalho automatizado de detecção e resposta a phishing.
A orquestração de identidade conecta e coordena os recursos de ferramentas de identidade diferentes para criar fluxos de trabalho de identidade unificados e otimizados.
Ferramentas de identidade são as ferramentas que uma organização usa para definir, gerenciar e proteger identidades de usuários, como sistemas de verificação de identidade e plataformas de gerenciamento de acesso e identidade.
Fluxos de trabalho de identidade são os processos pelos quais os usuários passam por ferramentas de identidade. Exemplos de fluxos de trabalho de identidade incluem logins de usuários, integração e provisionamento de contas.
Ferramentas de identidade nem sempre se integram facilmente, especialmente quando as organizações lidam com ferramentas SaaS hospedadas em diferentes nuvens ou tentam preencher lacunas entre sistemas locais e baseados em nuvem. Plataformas de orquestração de identidade podem conectar essas ferramentas mesmo quando não foram projetadas para se integrar.
Uma plataforma de orquestração de identidade atua como um painel de controle central para todos os sistemas de identidade em uma rede. Todas as ferramentas de identidade se integram à plataforma de orquestração, criando uma arquitetura de identidade abrangente chamada de malha de identidade.
As organizações não precisam realizar a codificação rígida de nenhuma dessas integrações. Em vez disso, as plataformas de orquestração usam uma mistura de conectores pré-construídos, interfaces de programação de aplicativos (APIs) e padrões comuns como SAML e OAuth para gerenciar conexões entre as ferramentas.
Uma vez que os sistemas de identidade são entrelaçados em uma malha de identidade, a organização pode usar a plataforma de orquestração para coordenar suas atividades e controlar como os usuários navegam entre as ferramentas durante os fluxos de trabalho de identidade. Crucialmente, a plataforma de orquestração dissocia autenticação e autorização dos aplicativos individuais, o que torna possíveis fluxos de trabalho de identidade complexos.
Conforme mencionado anteriormente, diferentes sistemas de identidade podem não se comunicar entre si na ausência de uma solução de orquestração. Se, por exemplo, uma organização usar uma ferramenta de gerenciamento de relacionamento com o cliente (CRM) e um sistema de gerenciamento de documentos (DMS) de fornecedores diferentes, cada aplicativo pode ter seu próprio sistema de IAM.
Os usuários devem manter contas separadas em cada aplicativo. Para acessar qualquer um dos aplicativos, os usuários fariam login diretamente nesse serviço. A autenticação e autorização ocorreriam dentro do sistema de IAM distinto de cada aplicativo e não seriam transferidas entre os aplicativos.
Com uma solução de orquestração, as coisas são diferentes. Quando um usuário acessa qualquer um dos aplicativos, a solicitação passa primeiro pela solução de orquestração. A solução encaminha a solicitação para o serviço correto de verificação de identidade e controle de acesso, que pode ser um diretório central fora de qualquer um dos aplicativos.
Uma vez que o usuário é autenticado e autorizado pelo diretório central, a plataforma de orquestração aciona o aplicativo para permitir a entrada do usuário com as permissões corretas.
Fluxos de trabalho de identidade
Para implementar a orquestração de identidade na prática, as organizações usam plataformas de orquestração de identidade para construir fluxos de trabalho de identidade. Também chamados de "jornadas do usuário", fluxos de trabalho de identidade são processos que ditam como um usuário navega pelas ferramentas de identidade e como essas ferramentas interagem em situações definidas, como ao fazer login em um aplicativo.
Os fluxos de trabalho podem ser simples ou relativamente complexos, com lógica condicional e caminhos ramificados. Eles podem envolver muitos sistemas diferentes, incluindo alguns que não são estritamente considerados ferramentas de identidade, como serviços de e-mail e redes sociais.
As soluções de orquestração de identidade permitem que as organizações construam jornadas do usuário sem escrever nenhum código novo. Essas soluções possuem interfaces visuais, sem código, de arrastar e soltar que podem definir eventos, conectar ferramentas de identidade e construir caminhos de usuário.
Para entender o que são fluxos de trabalho de identidade, pode ser útil olhar para um exemplo. Aqui está um fluxo de trabalho hipotético de integração e login de um novo funcionário que uma organização pode construir por meio de uma plataforma de orquestração.
- Primeiro, o novo funcionário cria uma conta em um portal de RH de autoatendimento. Isso aciona o início do fluxo de trabalho de integração.
- A plataforma de orquestração de identidade aciona a criação de uma identidade de usuário única para o novo funcionário no serviço de diretório central da organização. O novo funcionário também recebe automaticamente um conjunto de privilégios de acesso baseados em função.
- A plataforma de orquestração então provisiona contas para o novo funcionário em todos os serviços relevantes, incluindo aplicativos que eles usarão no trabalho e sistemas de back-office, como software de folha de pagamento. Essas contas são associadas à identidade principal do novo funcionário no diretório central.
- Agora que o funcionário está no sistema, ele pode fazer login no aplicativo de e-mail corporativo. Em vez de acessar diretamente o aplicativo de e-mail, a solicitação de login vai para a plataforma de orquestração.
- A plataforma de orquestração encaminha a solicitação por meio de um sistema de detecção de fraudes, procurando sinais de comportamento suspeito. Como esse novo funcionário está acessando sua conta de e-mail pela primeira vez, ele é marcado como de maior risco.
- Em seguida, a solicitação de login é enviada para a plataforma SSO da organização. Como o novo funcionário foi marcado como de maior risco, a autenticação adaptativa entra em ação. O novo contratado deve usar a autenticação multifator (MFA) para acessar sua conta.
- O novo funcionário completa os desafios de autenticação e é autenticado e autorizado pelo diretório central. A plataforma de orquestração retransmite essa informação para a plataforma SSO, que permite que o novo funcionário acesse sua conta de e-mail e todos os outros aplicativos por trás do SSO com os privilégios corretos.
Embora existam vários passos aqui, vale notar que tudo isso acontece automaticamente em segundo plano, sem o usuário perceber. A plataforma de orquestração supervisiona o processo do início ao fim.Além disso, os logins futuros são ainda mais simplificados. O usuário faz login no SSO, que agora o reconhece e concede acesso a tudo o que ele precisa.
As plataformas de orquestração de identidade não substituem os sistemas de identidade existentes. Elas criam conexões entre esses sistemas, permitindo que vários aplicativos e ferramentas trabalhem juntos, mesmo que não tenham sido projetados para isso. Essa funcionalidade pode ajudar as organizações a resolver alguns problemas comuns.
Muitas organizações usam vários provedores de nuvem e ferramentas locais de diferentes fornecedores. Quando esses sistemas não se integram, as organizações perdem visibilidade do comportamento do usuário em toda a rede. As equipes de TI e segurança não conseguem rastrear um único usuário entre Microsoft Azure e Amazon Web Services, por exemplo, porque estão usando contas separadas para cada nuvem.
Esse cenário fragmentado também pode dificultar a aplicação de políticas de acesso consistentes e controles de segurança em todos os aplicativos e ativos da empresa.
Essas lacunas na visibilidade e segurança criam oportunidades para hackers e agentes internos maliciosos causarem estragos sem serem detectados. Os riscos são especialmente altos quando se trata de sistemas de identidade, que são alvos principais para criminosos cibernéticos. De acordo com o índice X-Force Threat Intelligence, ataques cibernéticos usando credenciais roubadas ou comprometidas aumentaram 71% entre 2022 e 2023.
As organizações podem, hipoteticamente, evitar silos de identidade usando apenas ferramentas de um fornecedor ou apenas ferramentas projetadas para integração. No entanto, isso significaria que a organização nem sempre teria a liberdade de escolher as ferramentas certas para o trabalho.
A orquestração de identidade pode eliminar silos de identidade e restaurar a visibilidade sem mudanças drásticas nos sistemas existentes. As organizações podem criar diretórios centralizados para suportar uma única identidade digital para cada usuário, permitindo que a empresa rastreie o comportamento e identifique ameaças em tempo real em aplicativos e ativos. As empresas também podem usar a orquestração para aplicar controles de acesso uniformes em toda a rede.
Além disso, as plataformas de orquestração de identidade podem centralizar o gerenciamento do ciclo de vida da identidade para todos os tipos de usuários, incluindo funcionários, clientes e mais. As organizações podem trazer controles de cibersegurança robustos para ativos voltados ao consumidor sem interromper a experiência do cliente.
O SSO permite que os usuários façam login em vários sistemas com um conjunto de credenciais, mas cada plataforma de SSO pode não ser compatível com todos os aplicativos e ativos de uma empresa. Isso ocorre porque diferentes SSOs podem usar diferentes padrões, como SAML ou OIDC, para trocar informações de autenticação entre sistemas. Se um aplicativo ou ativo não puder usar o mesmo padrão que um SSO específico, ele não poderá se comunicar com esse SSO
As plataformas de orquestração de identidade podem conectar SSOs com aplicativos que não se integram nativamente. Os aplicativos e o SSO se integram com a plataforma de orquestração de identidade, em vez de se integrarem diretamente um com o outro. A plataforma de orquestração de identidade então lida com a comunicação entre os sistemas, permitindo que as organizações coloquem todos os seus aplicativos e ativos sob o mesmo SSO, independentemente da compatibilidade.
As organizações frequentemente desejam estender novas medidas de segurança, como MFA ou autenticação sem senha, para aplicativos legados. No entanto, esses esforços de modernização podem ser caros e demorados, muitas vezes exigindo código personalizado ou uma substituição total do sistema.
A orquestração de identidade pode simplificar o processo. As organizações podem usar as interfaces visuais das plataformas de orquestração para projetar fluxos de trabalho de identidade que tragam as ferramentas de segurança mais recentes para aplicativos legados. Isso permite que uma organização unifique ativos baseados em nuvem e locais em uma única arquitetura zero trust.
As organizações precisam de visibilidade sobre o comportamento do usuário para cumprir regulamentos como o regulamento geral de proteção de dados (GDPR) ou a lei de portabilidade e responsabilidade de planos de saúde (HIPAA).
Esses regulamentos exigem que as organizações apliquem políticas rigorosas de controle de acesso a dados sensíveis, como números de cartões de crédito e informações de saúde, e rastreiem o que os usuários fazem com esses dados. Quando os usuários têm várias identidades digitais, pode ser difícil garantir que apenas as pessoas certas estejam acessando os dados certos pelos motivos certos.
A orquestração de identidade pode ajudar as organizações a atender aos requisitos de conformidade, tornando mais fácil rastrear o comportamento do usuário e aplicar permissões de acesso consistentes. Algumas plataformas de orquestração também mantêm registros dos fluxos de trabalho de identidade, o que pode ser útil em caso de auditoria.
Soluções relacionadas
A família IBM Security Verify fornece recursos automatizados, baseados em nuvem e locais, para administrar a governança de identidade, gerenciar identidades e acessos de força de trabalho e consumidores, e controlar contas privilegiadas.
O IBM Security Verify fornece os blocos de construção fundamentais que podem permitir que os clientes construam uma malha de identidade eficaz, consistindo tanto em soluções IBM quanto em soluções de terceiros existentes.
Simplifique os esforços de IAM com especialistas em identidade e segurança para ajudar você a definir e gerenciar soluções em ambientes de nuvem híbrida, transformar fluxos de trabalho de governança e demonstrar conformidade.
Recursos
Gerenciamento de acesso e identidade (IAM) é a disciplina de cibersegurança que lida com como os usuários acessam recursos digitais e o que eles podem fazer com esses recursos.
A IBM contratou a Forrester Consulting para conduzir um estudo de impacto econômico total (TEI) examinando o potencial retorno sobre o investimento (ROI) que as organizações podem obter ao implementar o IBM Security Verify como uma solução de identidade como serviço (IDaaS) em conjunto com sua infraestrutura de IAM local.
Para resolver os desafios de identidade criados pelos ambientes híbridos de hoje, as empresas precisam de uma solução versátil que complemente as soluções de identidade existentes, enquanto integra efetivamente vários silos de gerenciamento de acesso e identidade (IAM) em um todo coeso.
Notas de rodapé
1 2023 State of SaaS Trends (link fora de ibm.com), Productiv, 21 de junho de 2023