Tudo sobre o universo tecnológico sob a ótica do mestre em TIC e especialista em segurança da informação, Mário Peixoto
Aproveitamento de login único. Sim é possível. E já não é uma novidade. Mas vale aqui algumas considerações, até porque o SSO (Single Sign On) não se restringe somente a isso. Na verdade, vai além do que um login, com usuário e senha. É sim o aproveitamento do acesso identificado de usuários. Aqui podemos mencionar a tríade da segurança neste quesito que é:
O que você é (Ex: biometria por Iris, face, dedos, etc..)
O que você tem (Ex: Token’s, como cartões de Identificação)
O que você sabe (Ex: Senhas, contas de acesso, etc..)
Entra em cena também a chamada “ tríade de ouro”, que são:
Autenticação (Identificação que o usuário existe)
Autorização (Permissão de determinados tipos de acesso)
Auditoria (Acompanhamento dos acessos)
De ouro porque fazendo uma analogia à tabela periódica da química em que o símbolo AU representa o ouro.
O SSO , é parte integrante de uma disciplina da Segurança da Informação chamada Gerenciamento de Acesso e Identidades, na qual o ciclo de vida do usuário passa pelo aprovisionamento, reconciliação, respeitando a tríade de ouro mencionada acima, em que toda uma análise técnica deve ser realizada para formação da arquitetura de solução adequada ao negócio, com toda uma definição dos requisitos funcionais, operacionais e de negócio, até mesmo para facilitar uma melhor justificativa do ROI. E justificar questões qualitativas geralmente será menos difícil do que a quantitativa. Pois nem sempre o SSO poderá ser de fato eficiente ao ponto de atender de maneira que realmente agregue valor ao ambiente em que o aplica.
Utilizar por exemplo, o SSO para flexibilizar o acesso do usuário/cliente dentro do portal de serviços da Empresa, em que poderá aproveitar o mesmo login de acesso que utilizou para emissão da sua fatura, assim como também para consultar seu extrato de lançamentos futuros e ainda numa outra janela, frame, applet, conseguir efetuar uma compra de produtos é uma forma em que o SSO efetivamente poderia contribuir otimizando as tarefas, facilitando a interação cliente-empresa. Mas preocupando-se sempre com a segurança, forçando por exemplo, a troca periódica com senha forte para seu acesso, assim como a expiração de sessão por tempo de inatividade.
Existem diferentes formas de aplicabilidade do SSO, seja por intermédio de recursos on-line – via Web – como no exemplo acima citado, seja Out Of The Box – local/desktop.
Em um ambiente empresarial tipicamente heterogêneo, pode haver um número de aplicações que decorrem de uma infinidade de sistemas e máquinas de usuários que podem ter acesso a uma base de dados diária (ao qual deverá ser segura), para por exemplo, criar um usuário individual para todas essas aplicações, o que de certa forma, toma tempo para cada sistema e sua atribuição de controle de acesso pode ser problemático e repetitivo. Além disso, um modelo distribuído significa uma lentidão no tempo de resposta, por exemplo, para pedidos de helpdesk, com overheads desnecessários no atendimento dessas solicitações e assim uma ineficiência por parte dos usuários.
As diferenças entre um sistema de SSO padrão e de uma empresa/fornecedor para solução de SSO são principalmente nos requisitos de escalabilidade, disponibilidade e integrações com o legado. Por causa do impacto maior na base de usuários, as implementações na empresa poderão ter muitos grupos de diferentes perfis, cada qual com seus requisitos. Os grupos mais importantes seriam de:
· Segurança
· Contratos
· Hardware de Sistema e suporte de software
· Gestão
· Financeiro
Neste contexto para implementações de uma solução de SSO, é extremamente importante a preocupação com o treinamento para com os usuários, onde sem dúvida algumas rotinas comumente empregadas serão alteradas ou completamente remodeladas.
O que podemos concluir portanto é que a implementação de uma solução Single Sign-on é um esforço intenso e que requer tempo e custos empregados para seu investimento para qualquer tipo de organização.
Não somente os usuários devem ficar satisfeitos mas sobretudo os muitos outros grupos envolvidos (normas de segurança, gerenciamento, atendimento ao cliente, suporte a aplicativos) que devem ser atingidos e estarem também satisfeitos com a solução. Numa última análise, podemos constatar que os chamados compromissos do SSO estão entre:
1) a segurança que os usuários irão aceitar;
2) o nível de segurança desejado;
3) o que pode de fato ser implementado tecnicamente,
4) a capacidade de implementação das equipes de apoio
5) o tamanho do orçamento.
Os potenciais impactos para os usuários são as considerações mais importantes neste empreendimento. O esforço será desperdiçado, ao menos que os usuários podem, e devam, de fato usar o que foi implantado como solução.
