Quando o assunto é gerenciamento de identidades, o primeiro problema que vem à tona é sempre a excessiva quantidade de senhas de acesso que os usuários são submetidos. E isso significa que o time de TI, que já administra uma imensa quantidade de sistemas e diretórios de acesso, ainda tem que lidar com várias identidades para cada usuário. Uma para o Active Directory, outra para o SAP, outra para o Siebel e assim por diante.
O caminho para a consolidação de identidades não é fácil. Primeiro porque os ambientes são cada vez mais heterogêneos com infinitos servidores operacionais, bancos de dados e aplicações. Segundo porque os acessos podem partir de várias fontes diferentes tais como workstations, web e dispositivos móveis.
Como então prover um ponto de acesso único, disponível para todo o tipo de clientes, e ainda centralizar informações sobre identidades com mínima duplicação de dados já que cada sistema possui seu próprio diretório responsável pelas informações de autenticação dos usuários? As principais abordagens possíveis para a consolidação de dados de identidades digitais:
1. Sincronização de senhas
Consiste em sincronizar as senhas entre todos os sistemas, partindo de uma fonte autoritativa central – normalmente o sistema de RH, ERP ou o Active Directory. Essa abordagem tem sido cada vez menos utilizada, pois na prática não elimina a duplicidade dos dados de identidades e tampouco melhora segurança. Os usuários continuam tendo os seus perfis de forma isolada nos sistemas e perfis com administração descentralizada, ou seja, o papel do administrador ainda é necessário para criar, alterar e excluir informações do usuário. Em termos de segurança, ganha-se com a possível imposição de padrões mais avançados de complexidade de senhas mesmo para sistemas que não exigem de forma nativa, mas perde-se com a possibilidade de acesso a todo tipo de sistema com uma única senha. Resumindo: Se alguém mal-intencionado tem acesso à senha pode acessar todos os recursos computacionais relacionados a identidade alheia.
2. Centralização das informações de acesso (Enterprise Single Sign-On)
Nessa abordagem, é possível "ensinar" um agente digital (watcher) para que esse faça o login de forma automática nos sistemas. As informações ficam em um repositório, e a administração e feita de forma centralizada, ou seja, o administrador a identidade consegue controlar acessos a todo o tipo de sistema da empresa. Quando um usuário acessa um sistema qualquer, o login é feito baseado em uma senha armazenada no repositório central, atendendo a níveis de complexidade definidos pelos administradores. Níveis esses que podem se sobrepor aos níveis das aplicações. Opcionalmente, pode ser ocultar essa senha do usuário final já que a única coisa que ele precisa para fazer o acesso é a senha principal da identidade. A segurança não fica comprometida pois não é utilizado o processo de sincronização de senhas. Cada sistema pode ter uma senha diferente, que inclusive é gerenciada pela própria solução de Single Sign-On, responsável por trocá-la periodicamente. Vale lembrar que os perfis continuam existindo nos sistemas acessados. Então ainda ocorre a duplicidade de informações de usuários e a necessidade de administrações especializada para liberar acessos nesses sistemas.
3. Consolidação de diretórios
O melhor dos mundos! Com a consolidação de diretórios é possível utilizar um único meta-diretório, com a centralização de todas as informações de acesso do usuário, e ainda utilizar uma mesma porta de entrada para os logins. Na prática, usuários do Unix, SAP, Oracle e vários outros ambientes podem ser logar em seus sistemas, ou melhor, entrar de forma automática uma vez que tenham se logado no Windows. Isso de forma totalmente transparente e segura através de canais criptografados de comunicação. Os usuários passam a ser administrados pela solução de gerenciamento de identidade e não mais pelo administrador do sistema, que fica com tempo livre para tarefas e projetos mais nobres. O papel do "root" ou do "sysdba" pode deixar de existir. O usuário passa a acessar o sistema com o seu próprio login de rede, recebendo os privilégios necessários de acordo com o seu papel organizacional gerenciado pela solução de gerenciamento de identidades e não mais pelo sistema acessado. True Single Sign-On!
Como nem tudo é fácil, a consolidação de diretórios não é possível para sistemas baseados em alguns tipos de tecnologia. Sistemas baseados em tecnologias mais antigas não podem ter seus diretórios consolidados por limitações óbvias. Nesses casos, para uma solução completa é necessário combinar soluções de consolidação de diretórios com soluções de Single Sign-On. Felizmente, no mundo SAP a consolidação de diretórios é totalmente possível.
Portanto, deixe de tratar o SAP como um ambiente isolado, tornando-o parte de sua infraestrutura e ainda garantindo sua segurança e características exclusivas. Dê aos usuários a possibilidade de auto-atendimento para requisição de contas e acessos. Reduza o número de contas independentes que sua equipe de TI tem que manter.
*Eduardo Santi é consultor estratégico de sistemas da Quest Software.
- Eduardo Santi, da Quest
