Federação de Identidade: Protegendo a sua Empresa Ampliada

No lado de negócios, a colaboração com as empresas parceiras para fornecer produtos e serviços aos clientes e funcionários, é a prioridade principal que promete aumentar o lucro, a lealdade do cliente e a vantagem competitiva. Mas para a TI, o crescimento desses relacionamentos de multi-participantes e entregas, como serviços Web, acarreta questões desafiadoras sobre como gerenciar identidades de usuário.

Como as organizações parceiras verificam as identidades digitais de centenas ou mesmo de milhares de indivíduos através de uma empresa ampliada de domínios de diferentes parceiros — enquanto fornece aos usuários o acesso único (SSO)? Como a TI pode proteger o acesso a aplicações e informações, e garantir a entrega de serviços de Web? Como os múltiplos sistemas de TI autenticam e autorizam a identidade de, por exemplo, um cliente de telefone sem fio ou um negociante de estoque?

A resposta é a federação de identidade — as tecnologias e as normas que possibilitam às organizações parceiras compartilharem de modo seguro as identidades digitais através de múltiplos domínios. A federação de identidade proporciona uma estrutura auditável, pela qual uma organização aceita que os usuários externos foram autenticados por um parceiro confiável e habilita o SSO através dos sites do parceiro.

Enquanto muitas empresas estão começando a usar a segurança dos seviços de Web para transações federadas seguras, outras continuam confiando nas soluções ponto a ponto que podem ser excessivamente complexas e falham nos níveis mais altos possíveis de segurança baseada na identidade com federação. Por exemplo, a segurança de camada de soquete segura (SSL) não fornece nenhuma captura de identidade, nenhuma capacidade de auditoria, sem meios de reforço, nada para provar o que aconteceu numa transação de serviços da Web. Essas capacidades são integradas nas soluções de federação de identidade de liderança.

A jornada de SSO à SOA
O conceito de federação de identidade tem estado presente por vários anos. Inicialmente, o foco esteve sobre o desenvolvimento de padrões comuns que pudessem capacitar as organizações parceiras a compartilharem dados de identidade com segurança. Devido ao fato de que cada empresa, que faz negócios com empresas além dos seus limites, deve lidar com como gerenciar a identidade através das fronteiras, a federação de identidade é cada vez mais um tópico atual para a TI e os negócios. O seu papel nesse desafio essencial foi desdobrado em três estágios.

Estágio 1: SSO interno. O precursor da identidade federada foi o SSO interno — capacitando os fucionários a fazerem o login a múltiplas aplicações, dentro de um único domínio de segurança, com um único nome de usuário e senha. Esse estágio focava em resolver o problema de SSO mais básico, mas a segurança de identidade tornou-se mais complexa. Hoje, a necessidade de SSO federado para garantir a identidade está crescendo estruturalmente dentro da empresa, à medida que mais funcionários se voltam às aplicações de Web orientadas para o consumidor, tais como o Calendário Google, Facebook e WordPress, como uma alternativa ou complemento para as aplicações internas.

Estágio 2: Contato direto Extranet. A demanda por federação no nível externo não está apenas sendo impulsionada pela oportunidade de reduzir custos através da terceirização, mas também pela capacidade das empresas em alavancar a federação para estender os serviços de contato direto com o cliente e aumentar o lucro. A federação oferece um meio atraente e seguro para tornar os recursos de outras empresas disponíveis de modo seguro para a empresa — e vice-versa.

Estágio 3: Segurança de serviços da Web. A atenção está mudando para o desafio de garantir que os serviços da Web fornecidos pelas organizações sejam seguros. Isso pode ser alcançado unindo a federação de identidade ao processo de autenticação de usuários para acessar os serviços da Web. Nesse cenário, o acesso aos serviços da Web é garantido com uma solução de gerenciamento de identidade conduzida por federação dentro de uma arquitetura orientada para o serviço (SOA).

Com uma solução de federação de identidade baseada em padrões, as organizações não precisam incorporar segurança em cada aplicação que for desenvolvida e liberada como um serviço da Web. Isso é crucial para ser capaz de escalar para garantir as milhões de transações que tipificam muitos sites da Web focados em serviços atualmente, especialmente em indústrias impulsionadas por transações, tais como serviços financeiros e telecomunicações.

Com a maturidade de tais padrões como SAML (Security Assertion Markup Language — Linguagem de Marcação de Asserção de Segurança) e mesmo com o crescimento da adoção, certos mitos em torno da federação de identidade persistem:

Mito #1: A federação leva muito tempo para ser implementada. Não é verdade. Na maioria dos casos, uma solução de ponta a ponta pode ser implementada em 90 dias ou menos. A maior parte desse tempo é normalmente de design de arquitetura e planejamento, com implementação real numa questão de semanas ou dias.

Mito #2: A federação é dispendiosa e requer um grande investimento. O curto intervalo de tempo para a implementação ajuda tornar uma solução de federação de identidade muito rentável e, uma vez implementada, é uma solução escalável e possível de repetição que ajuda a trazer lucro ao diminuir custos operacionais.

Mito #3: A federação requer uma infra-estrutura de gerenciamento de acesso existente. Não precisa. Uma boa solução de federação é "agnóstica" no que diz respeito à arquitetura e não deve exigir que uma organização altere a sua infra-estrutura de identidade existente.

Mito #4: A federação, a segurança de serviços da Web e o gerenciamento de acesso requerem produtos independentes que precisam de licença e ser desenvolvidos separadamente. Não com a Sun. O Sun Java System Access Manager é uma aplicação de Java EE completamente independente que cobre a federação, o gerenciamento de acesso e a segurança de serviços da Web num único produto.

Soluções Sun para Gerenciamento de identidade Federada
O Sun Java System Access Manager e o Sun Java System Federation Manager, satisfazem a necessidade por soluções de gerenciamento de identidade implementadas rapidamente, escaláveis, baseadas em padrões, que fornecem capacidades de federação.

O Acces Manager e o Federation Manager oferecem soluções de federação agnósticas quanto à infra-estrutura, altamente integráveis que podem ser transferidas rapidamente para estender o gerenciamento de acesso aos parceiros, terceirizadores e outros usuários externos. O Federation Manager, um subconjunto do Access Manager, é uma solução somente de federação que pode ser colocado no topo de uma infra-estrutura de identidade existente da empresa, enquanto que o Access Manager cobre as três bases do gerenciamento de acesso, federação e segurança de serviços da Web.

O software é formado a partir do open source OpenSSO code base e o próximo lançamento focará a simplificação, para capacitar os usuários para realizarem facilmente tarefas comuns, com suporte e funcionalidade ampliada em:

• Gerenciamento de Acesso: Configuração e implementação centralizadas, e suporte para XACML (Extensible Access Control Markup Language - Linguagem de Marcação de Controle de Acesso Extensível)
• Gerenciamento de Federação: Interoperabilidade expandida, suporte para as epecificações do WS-Federation 1.1 para serviços da Web
• Segurança de Serviços da Web: Novos plug-ins de segurança de serviço da Web para servidores de aplicação de Web da Sun, IBM e BEA

Eis alguns exemplos de como muitas empresas têm colocado em serviço o Sun Java System Access Manager para federação de identidade.

Fabricação: Simplificação do Acesso aos Serviços de Parceiro
Um dos maiores fabricantes de automóveis do mundo quis abrir o caminho para um relacionamento de negócios mais produtivo, simplificando a maneira com que os seus funcionários acessavam os serviços dos parceiros de negócios da empresa. O SSO baseado em federação foi a chave para dar aos funcionários o acesso seguro aos serviços de múltiplos parceiros de negócios, sem ter de usar senhas diferentes para parceiros diferentes.

Os funcionários de fabricantes de automóveis podem visualizar os benefícios do "401K" num site de parceiro com SSO que abrange de modo seguro múltiplos domínios federados.

A implementação do Sun Java System Access Manager da empresa, permite que mais de 70.000 funcionários acessem diretamente as informações sobre benefícios de funcionários atrás de um firewall de parceiro, sem fazer o login para um site da Web separado. E devido ao fato da solução de federação da Sun ser baseada em normas, a empresa ganhou a flexibilidade para expandir infinitamente os seus relacionamentos de parceria e usá-los para seguir novas oportunidades.

Telecomunicações: Lançamento de Serviços Através de Múltiplos Domínios
Um provedor global de soluções que permite aos provedores de telecomunicações fornecerem serviços realizou uma grande iniciativa de integração de dados de assinantes, que incluiu federação de dados. A empresa implementou o Sun Java System Access Manager para SSO para múltiplas redes e serviços, para possibilitar aos provedores de serviços de conteúdo oferecerem serviços via portais de operador e para oferecerem aos assinantes novos serviços de valor agregado, tais como planejamento e gestão de viagens on-line, relatórios meteorológicos e de trânsito para dispositivos móveis e outros.

Com SSO federado, um provedor de identidade telco agrega conteúdo dos provedores de serviço e entrega-o aos clientes finais.

A implementação era parte de uma abordagem abrangente para integração de dados que progrediu em complexidade e desafio, a partir da centralização de dados até a consolidação de dados de intra-rede e federação inter-rede, como ilustrado no diagrama abaixo.

Transações Bancárias: Tornando Seguro, o SSO Federado Trabalha no Mundo Real
Um grande banco de varejo dos Estados Unidos — o primeiro no país a fornecer acesso on-line à conta — quis proporcionar aos clientes a capacidade de ver imagens on-line de cheques pagos, mas não quis assumir o encargo da implementação e gerenciar internamente a infra-estrutura de TI necessária para esse serviço. Em vez disso, o banco está usando o Sun Java System Access Manager para federar com um parceiro que fornece o serviço e para incorporar a segurança de serviços da Web.

O Sun Java System Federation Manager ajuda a potencializar o sistema federado que capacita os clientes do banco para verem cheques on-line.

Neste exemplo, o SSO baseado em federação capacita o cliente do banco fazer, de maneira segura, o login ao serviço on-line do banco e facilmente ver imagens de cheques sem ter de re-autenticar no site do parceiro. Pelo fato do Federation Manager ser agnóstico de infra-estrutura, a capacidade foi facilmente implementada sem o banco ou o parceiro terem de fazer alterações nas infra-estruturas de gerenciamento de identidade existentes.

O que vem a seguir: Federação num SOA
A federação de identidade é um tópico de interesse intenso nesses dias, à medida que mais e mais empresas procuram uma base que capacita a colaboração on-line segura, eficiente e rentável entre múltiplos parceiros. A fartura de possibilidades que ele oferece para fornecer serviços com segurança e compartilhar informações através das organizações está cada vez mais bem reconhecida.

Ao mesmo tempo, as empresas querem a transição longe das conexões dispendiosas de ponto a ponto entre entidades e aplicações. Com um SOA e seu modelo baseado em componente, construir estruturas seguras para federação está se tornando mais fácil do que nunca.