Cloud e Internet desafiam os sistemas de controle de acesso
<p>A ideia de um sistema de gestão de identidades abrangente engloba uma mistura complexa de interações, funcionalidades e federação</p>
A Internet e a cloud computing estão desafiando os sistemas de autenticação, autorização
e controle de acessos (AAA) como nunca. Há
dezenas de normas abertas, protocolos e serviços Web em desenvolvimento ou já implantados para fornecerem processos de AAA seguros ao longo de uma diversidade
inimaginável de sistemas ligados à Internet.
Antes do final da década, praticamente todas
as empresas deverão depender de uma plataforma de cloud computing para algum aspecto das suas operações. Os usuários finais deverão ligar-se a múltiplos serviços
externos de cloud computing.
Ao mesmo tempo, as empresas deverão fornecer serviços de cloud computing acessíveis por parte dos usuários externos.
O mundo deverá conectar-se a esses servidores, e as organizações deverão ligar-se com
o mundo, de formas que vão fazer parecer os
métodos modestos e pitorescos de AAA existentes hoje.
A ideia de um sistema de gestão de identidades abrangente engloba uma mistura complexa de interações, funcionalidades e federação.
Kim Cameron, um dos maiores especialistas
em gestão de identidade e controle de acessos, criou uma lista de pressupostos básicos
aos quais chama leis de identidade. Outra
boa fonte de conhecimento é o Trusted Computing Group.
Os sistemas de gestão de identidade são necessários porque os sistemas de autenticação
na Internet, por si só, não podem ser dimensionados para suportarem os desafios modernos de segurança. Hoje, a maioria dos sites usa sistemas de “log-ons” no acesso,
mantêm os seus próprios domínios de segurança e as bases de dados de controle de
acesso.
Cada usuário é obrigado a introduzir informações de autenticação. E quando esse
mesmo usuário vai a outro site, tem de voltar a facultar informações semelhantes mais
uma vez – supostamente utilizando diferentes
verificadores de identidade, mas muitas vezes até não.
É um processo lento, descoordenado e exige
muito aos usuários. Há uma década, algumas empresas e organizações decidiram
ser necessário haver uma identidade comum
compartilhada entre vários sites.
O objetivo final era ter uma solução de “single sign-on”, de uma operação única de autenticação válida para múltiplos domínios,
em todo o mundo. Neste modelo, há um certificador de identidade comum e partilhado.
Cada entidade de segurança regista-se com
esse certificador, e cada site participante
compromete-se a aceitar os “tokens” – ou
chaves eletrônicas (geralmente arquivos de
formatos compatíveis) – desse prestador de
serviços. Já surgiram várias soluções de fornecedores e normas.
Normas abertas reagiram ao Passport
A Microsoft criou um dos maiores serviços em 1999 com o Microsoft Passport. Este transformou-se no Microsoft Windows Live ID em
2008. Mas muitos profissionais sentem-se
desconfortáveis com a ideia de a Microsoft, o
maior fornecedor de software do mundo, ser
também fornecedor comum de certificação de
identidade.
Dessa preocupação nasceram muitas outras
normas abertas e proprietárias concorrentes.
Algumas são protocolos que formam a base
dos sistemas de SSO e de gestão de identidade, outras são soluções completas.
As normas de identidade federada com o
maior suporte são desenvolvidas em torno
de HTML, XML, SOAP, SAML e Web Services. A
XML é a linguagem e o formato subjacente
usado para criar e comunicar informações
de segurança.
A SOAP é utilizada para criar “mensagens” e
trocar informações entre entidades de segurança baseados em Web Services. A SAML é
usada para trocar informações de segurança
entre domínios de segurança.
Há duas versões principais de SAML, 1.0 e
2.0, mas nem todos os fornecedores usam a versão mais recente, e por isso
há problemas de interoperacionalidade.
Os
Web Services são instâncias de software que
servem conteúdo e serviços aos participantes.
Existem dezenas de Web Services baseados
em normas abertas de serviços para cobrir as
necessidades de segurança mais comuns:
WS – Security, XML Signature, XML Encryption,
XML Key Management (KXMS), WS – Security
Policy, WS – Trust, WS – Federation, Web Services Security Kerberos Binding, Web Single-
On Interoperability Profile.
As soluções de AAA do futuro estão sendo desenvolvidas usando estas especificações. E
uma das primeiras normas abertas a emergir foi a OpenID, baseada em XML e SAML.
