White Paper

WHITE PAPER

04/2019

Um guia para o WSO2 Identity Server

Pela equipe da WSO2 IAM

1. Por Que Gerenciamento de Identidade e Acesso?

O gerenciamento de identidade e acesso (IAM) é a integração e o gerenciamento eficientes de identidades, oferecendo aos usuários acesso aos recursos certos no momento certo. A identidade não é mais um mero projeto de segurança para empresas. No domínio de integração e API, conforme as empresas continuam aumentando o número de APIs internas e de terceiros, é mais importante do que nunca que as APIs sejam integradas e gerenciadas com segurança. No domínio do usuário, com o aumento de espaços de identidade do usuário, políticas de toda a empresa, hierarquias e funções de estrutura complexas, pressões regulatórias e aplicativos voltados ao cliente, a segurança se torna um desafio cada vez maior para arquitetos e administradores de identidade.

O WSO2 Identity Server visa abordar tanto a API quanto os domínios do usuário, proporcionando ao mesmo tempo uma experiência aprimorada ao usuário como parte do software de código aberto Integration Agile Platform (Plataforma Ágil de Integração) da WSO2. É um produto IAM altamente extensível, projetado para proteger APIs e microsserviços e permitir Gerenciamento de Identidades e Controle de Acesso de Clientes (CIAM).

2. Desafios Enfrentados no IAM

Além do gerenciamento de acesso do usuário, o aplicativo, o container, os microsserviços e os espaços de integração cresceram em complexidade e se tornaram mais descentralizados. Os desafios para o gerenciamento de identidade para proteger esses modelos também aumentaram. Por exemplo:

  • Complexidades criadas por silos de identidade: Aplicativos heterogêneos e/ou distribuídos em uma empresa que usam mecanismos de acesso diferentes podem criar vários silos de identidade. Isso causa complicações secundárias para os administradores de TI, como a incapacidade de estender ou integrar novos aplicativos e usuários e aplicar consistentemente políticas de segurança em toda a empresa.
  • Protegendo o número crescente de APIs e endpoints: As empresas estão expondo cada vez mais suas APIs. Como resultado, o sistema IAM deve ser capaz de integrar e proteger efetivamente essas APIs. À medida que novas ameaças e vulnerabilidades são criadas todos os dias, a segurança desempenha um papel fundamental na proteção de APIs contra-ataques.  Embora um gerente de API possa ajudar até certo ponto (por exemplo, lista negra e limitação de APIs), uma solução de IAM é muito mais útil para fornecer uma abordagem holística para proteger as APIs.
  • Dificuldades encontradas pelo gerenciamento de contas: Com a proliferação de usuários e forças de trabalho distribuídas, os administradores de segurança de TI acham difícil gerenciar os controles de acesso lado a lado com as alterações de funções. Também é difícil manter uma experiência de usuário satisfatória para os funcionários que se conectam a aplicativos corporativos enquanto equilibram segurança e controle.
  • O ônus da manutenção da senha do usuário: Os administradores de TI gastam muito tempo com a recuperação de senhas e contas. Na maioria das vezes, os usuários acham difícil lembrar de suas senhas e gerenciar várias identidades/perfis usados para acessar diferentes aplicativos. Isso os leva a buscar constantemente suporte de administradores, o que, por sua vez, resulta em ineficiências operacionais  e de tempo.
  • Variando os desafios de compliance: Diferentes abordagens e silos de IAM adicionam complexidade ao tentar cumprir com regulamentos como o Regulamento Geral de Proteção de Dados (GDPR), a segunda Diretiva de Serviços de Pagamento (PSD2) e os Serviços eletrônicos de Identificação, Autenticação e Confiança (eIDAS).
  • Custos de licenciamento e software onerosos para implementar soluções IAM: O software proprietário carrega altos custos de licenciamento e encargos de inicialização. O WSO2 Identity Server foi projetado para solucionar esses desafios por meio de seus principais recursos. Dada a sua estrutura extensível e interoperabilidade, o produto fornece benefícios de negócios que incluem uma experiência aprimorada do cliente e melhor produtividade dos funcionários nas empresas por meio do IAM ágil.

3. Introdução ao WSO2 Identity Server

O WSO2 Identity Server, uma parte da Plataforma Ágil de Integração WSO2, é uma solução IAM de código aberto que facilita o login único (SSO) entre aplicativos e federa identidades entre vários sistemas heterogêneos. É otimizado para proteger APIs, microsserviços e projetos de customer IAM.

Ele oferece recursos de nível corporativo, como federação de identidades, SSO, autenticação forte e adaptável, gerenciamento de contas e provisionamento de identidades, para ajudar as organizações nativas digitais a se tornarem ágeis na integração por meio da segurança do CIAM e da API.

O WSO2 Identity Server é baseado em padrões abertos e princípios de software de código aberto, permitindo a liberdade do aprisionamento do fornecedor e a velocidade da inovação. O produto vem com recursos de integração simples e fáceis de usar que ajudam a conectar aplicativos, repositórios de usuários, diretórios e sistemas de gerenciamento de identidades.

Lista de verificação rápida ao escolher um fornecedor de IAM

  • Fornece mecanismos de autenticação com alta usabilidade, como autenticação adaptativa
  • Suporta padrões abertos e suporte a protocolos, como SAML2, OAuth2 e OIDC
  • Integra e permite a ponte com IdPs e sistemas heterogêneos
  • Ajuda a integrar aplicativos em um ecossistema de identidade
  • Acomoda implantações na nuvem ou locais ou interconectividade
  • Suporta implementações em grande escala
  • Permite a liberdade de implicações de bloqueio de plataforma e fornecedor
  • Modelo de governança do negócio de software código aberto: Apache 2.0
  • Permite facilidade de extensão e personalização
  • Fornece suporte comercial: Trials de baixo custo, PoCs

4. Recursos do WSO2 Identity Server

Block diagram of IAM functionality

Figura 1 - Diagrama de blocos da funcionalidade do IAM

Federação de Identidade e SSO

Os usuários corporativos geralmente acessam vários aplicativos e provedores de identidade heterogêneos (IdPs) com os quais seus sistemas precisam se integrar. O WSO2 Identity Server alivia o trabalho com silos de identidade por meio da capacidade de conectar armazenamentos de usuários JDBC (Java Database Connectivity), LDAP (Lightweight Directory Access Protocol) ou repositório de usuário AD (Active Directory) e impor controle de acesso baseado em atributos ou funções com XACML (eXtensible Access Control Markup Language), já que apenas os repositórios de usuários não podem ativar o SSO.

Ter de preencher um formulário para se registrar como usuário ou ter que fazer login várias vezes cria uma experiência desfavorável ao usuário. O recurso de Federação de identidade permite trazer sua própria identidade (BYOID) ou realizar logins sociais para acessar aplicativos e sistemas. O recurso de SSO oferece a capacidade de permanecer conectado a vários aplicativos. Isso também inclui suporte a autorização com base em regras e suporte do Google ReCaptcha para SSO. O WSO2 Identity Server oferece esses recursos, bem como o SLO (single logout - logout único) via SAML2 (Security Assertion Markup Language 2.0), OIDC (OpenID Connect) e SSO federativo passivo e WS-federation com provedores externos. Com o WSO2 Identity Server, você também pode se integrar ao Azure AD, Microsoft 365 e outros aplicativos MS com o uso de padrões como o OIDC para provisionamento de usuários. Com o Microsoft 365, o produto pode ser usado para fornecer SLO e sincronização de nuvem.

Autenticação Forte e Adaptável

Autenticação é o processo de validar a identidade de um usuário antes de conceder acesso a um recurso. A autenticação forte envolve várias etapas e várias opções com autenticadores locais e federados, como FIDO, IWA, SAML2, OIDC, MePIN, e-mail/SMS OTP e segurança Duo.

O recurso de Autenticação adaptativa com o WSO2 Identity Server permite autenticar um usuário considerando os fatores de contexto, como perfil/comportamento de risco do usuário, atributos de identidade, atributos ambientais, tipo de dispositivo, geolocalização, algoritmos de aprendizado de máquina e parâmetros de solicitação.

Com o WSO2 Identity Server, um administrador de identidade pode usar modelos de script prontos para assumir o controle total do fluxo de autenticação para implementar a autenticação adaptativa. Isso inclui imposição de regras, atribuição de transformações, uso de provisionamento/desprovisionamento, comunicação com sistemas externos, implementação de autenticação por etapas e muito mais. Com base no contexto de um usuário, a sequência de autenticação é alterada, proporcionando melhor usabilidade.

adaptive-authentication

Figura 2

A biometria está aumentando em demanda, pois os simuladores móveis podem ser clonados. O WSO2 Identity Server fornece autenticação federada com biometria por meio da Veridium, Aware Inc, e outros provedores.

Ponte de Identidade

A ponte de identidade facilita a troca de atributos de identidade e decisões de autenticação entre sistemas de identidade heterogêneos e protocolos de maneira perfeita. Isso inclui tokens de ponte (OIDC, SAML2 e WS-Federation), solicitações de provedor de serviço a solicitações de IdP (endereços de e-mail, números de telefone e nomes) e solicitações de provisionamento de identidade (de SCIM e SOAP a SCIM, aplicativos do Google e Salesforce).

Gerenciamento de Conta e Provisionamento de Identidade

Os usuários finais podem gerenciar seus próprios perfis e definir opções de recuperação de contas no autoatendimento. O WSO2 Identity Server suporta entrada, saída, e aprovisionamento de usuários just-in-time (JIT)  . Esses recursos ajudam de maneira eficiente, econômica, confiável e segura as organizações a gerenciar as informações do usuário mantidas em vários sistemas e aplicativos.

Em termos de gerenciamento de usuários e grupos, o WSO2 Identity Server ajuda no gerenciamento flexível de perfis. Isso inclui a capacidade de vincular várias contas de usuários pertencentes a um único usuário, um portal de usuário de autoatendimento para gerenciamento de perfis e gerenciamento de senhas com o Google Recaptcha.

Por meio do gerenciamento de contas, o WSO2 Identity Server oferece suporte a repositórios de usuários heterogêneos por meio de um LDAP integrado (desenvolvido pelo ApacheDS), um LDAP externo, Microsoft Active Directory ou qualquer banco de dados JDBC.

Recursos de provisionamento de identidade podem ser usados para propagar identidades de usuários em diferentes provedores de software como serviço (SaaS). Usuários e grupos podem ser provisionados para IdPs externos usando o SCIM 2.0, e identidades podem ser criadas dinamicamente com o provisionamento JIT.

Controle de Acesso

Isso controla o acesso a aplicativos no fluxo de login, com políticas de controle de acesso refinadas e atua como um ponto de decisão de política para aplicativos de terceiros. Também ajuda no gerenciamento de direitos de usuário e controle de acesso baseado em função. Neste caso, o XACML é usado como base para controle de acesso baseado em políticas refinado, administração de política amigável ao usuário (PAP), suporte ao perfil REST e fácil integração com WSO2 Enterprise Integrator.

Segurança de APIs e Microsserviços

Protege APIs que estão sendo expostas usando tokens de acesso OAuth2 e tipos de concessão associados, incluindo APIs de controle de acesso. Sendo o OAuth2 um padrão-chave, o WSO2 Identity Server oferece suporte a OIDC, introspecção e formulário do modo pós-resposta. O produto também fornece acesso gerenciado pelo usuário e controle de acesso delegado usando o OAuth2.

O WSO2 Identity Server integra-se facilmente com o WSO2 API Manager para o Gerenciamento de Chaves OAuth2. O WSO2 API Manager, parte da Plataforma Ágil de Integração WSO2, é uma solução de software de código aberto que aborda o gerenciamento completo do ciclo de vida da API, a monetização e a aplicação de políticas. A oferta da WSO2 fez da empresa a única fornecedora de software de código aberto a ser nomeada líder em The Forrester Wave™: Relatório API Management Solutions, Q4 2018 .

Quanto aos microsserviços, o WSO2 Identity Server oferece suporte a microperfis JWT 1.0 para controle de acesso baseado em função e tipos de concessão SAML2, JWT e NTLM-IWA.

Compliance de Privacidade

O WSO2 Identity Server é otimizado para regulamentações de privacidade, como GDPR, incluindo a implementação da especificação de gerenciamento de consentimento da Kantara. Isso oferece gerenciamento de consentimento para qualquer aplicativo sem ser bloqueado em um fornecedor. O consentimento do usuário inclui a inscrição automática para fornecer consentimento e para o SSO/federação fornecer aos usuários a escolha e o controle sobre o compartilhamento de suas informações pessoalmente identificáveis (PII). O produto também oferece um portal de autosserviço para permitir que os usuários controlem seus dados pessoais, gerenciem declarações de consentimento ou façam outras alterações.

O kit de ferramentas de privacidade é fundamental na remoção de referências de identidade do usuário quando necessário ou quando solicitado por um usuário.

Análise de Identidade

O produto está equipado com poderosas ferramentas de monitoramento e análise para acompanhar o funcionamento do sistema IAM da empresa quando ele é implantado na produção. O sistema de análise é capaz de gerar e analisar tentativas de login feitas através do WSO2 Identity Server. Além disso, o sistema de análise também é capaz de gerar e analisar informações relacionadas a sessões específicas que ocorreram por meio do WSO2 Identity Server, ajudando a monitorar e prevenir atividades fraudulentas. Ele pode ajudar a finalizar manualmente as sessões de usuário e redefinições de senha forçadas pelo administrador.

5. Outros Benefícios do WSO2 Identity Server

Personalização para suportar casos de uso complexos do IAM, com uma arquitetura extensível e de código aberto

Cada empresa enfrenta desafios exclusivos relacionados à identidade, como a integração de repositórios de usuários, a adesão a requisitos de compliance que vêm com padrões de privacidade ou a implementação de um sistema de autenticação. Seja qual for o requisito, o WSO2 Identity Server oferece uma arquitetura extensível, com um repositório de usuários de + de 40 conectores, que permite a criação de extensões personalizadas que as empresas podem possuir. Essa extensibilidade também fornece conectores de autenticação e provisionamento. Clientes como Nutanix e West Corporation usam o produto WSO2 pela a extensibilidade que ele oferece.

Escalabilidade de baixo risco para atender a qualquer necessidade ou caso de uso

A escalabilidade é importante para garantir que um produto IAM possa balancear a carga e acomodar um grande número de logins ou usuários. O WSO2 Identity Server atualmente gerencia 75 milhões de identidades entre outros para empresas como Trimble, State of Arizona, Express (varejo) e muito mais.

Simplifique as integrações com um rico ecossistema de conectores/grande ecossistema de identidade

O WSO2 Identity Server também fornece uma grande variedade de conectores prontos para uso que podem ser usados para se conectar com a nuvem e outros sistemas de terceiros para criar soluções personalizadas. Isso ajuda a criar extensões personalizadas com base nas empresas de aplicativos de terceiros e permite integrações mais rápidas, com compatibilidade imediata com aplicativos locais e na nuvem, sistemas de autenticação de terceiros e IdPs sociais.

Parte de uma plataforma de integração completa

O WSO2 Identity Server também faz parte da Plataforma de Integração WSO2 que inclui o WSO2 Enterprise Integrator e o WSO2 API Manager. A plataforma compreende componentes necessários para a transformação digital de uma empresa em um mundo orientado por API. Um exemplo é o CIAM, onde esses componentes se juntam para unir todas as identidades e aplicativos de clientes para fornecer uma experiência perspicaz.

Opções de implantação

  • No local
  • Nuvem pública ou privada

Infraestrutura de implantação

  • Hardware Bare metal 
  • Máquinas virtuais
  • Containers

Todas essas opções de implantação vêm com a mesma experiência perfeita do desenvolvedor e da equipe de TI.

6. Estudos de Casos de Clientes

Nutanix

Nutanix

O WSO2 Identity Server é usado para fornecer uma experiência perfeita para diferentes portais e aplicativos via SSO e federação de identidades para simplificar a experiência do usuário.

West Corporation

West Corporation

A empresa construiu uma plataforma de CIAM para conectar todas as soluções, resultando em uma “experiência conectada do cliente”. Isso foi feito usando vários recursos como SSO e federação suportados por SAML2, OAuth2, OpenID e WS-Federation fornecidos pelo WSO2 Identity Server. A solução também inclui a plataforma WSO2 completa para trazer todos os silos distribuídos em uma apresentação unificada.

Al Elm

Al Elm

A Al Elm implementou o SSO com o WSO2 Identity Server para agilizar a administração, melhorar a produtividade e reduzir os custos. Atualmente, a solução gerencia 4 milhões de usuários no Programa de Assistência ao Desemprego e garante transações on-line seguras.

Brigham Young University (BYU)

Brigham Young University (BYU)

A BYU substituiu seus sistemas de gerenciamento de API por soluções mais modernas, padronizadas e eficientes: WSO2 Identity Server e WSO2 API Manager. A BYU modernizou seu sistema de gerenciamento de API usando as funções API gestão e gerenciamento de identidade e acesso da WSO2. Após a introdução da nova solução, a BYU experimentou um maior consumo de API. Além disso, a transição também deu à BYU acesso a recursos de monitoramento e análise.

Isso ajudou a melhorar as experiências do consumidor e minimizar o impacto no trabalho de desenvolvimento existente.

ITDT Services

Serviços ITDT

O WSO2 Identity Server foi usado para atingir a compliance do GDPR, criar infraestrutura de gerenciamento de identidade e atingir o nível de segurança exigido nos municípios da Grécia. Após o sucesso deste projeto, estão em andamento planos para expandir essa plataforma de gerenciamento de identidade e implantá-la em outros municípios em Creta.

Symcor

Symcor

Depois de experimentar vários produtos, a Symcor usou o WSO2 Identity Server para personalizar seu processo de SSO. A nova plataforma apresenta  gerenciamento de identidade e acesso WSO2 e tecnologia de gerenciamento de API WSO2.

Swiss Alpine Club

Swiss Alpine Club

O Swiss Alpine Club queria fornecer acesso fácil a todos os seus usuários. O clube queria alcançar isso fornecendo uma única opção de login de identidade, SSO e fácil integração, e permitindo que os usuários autogerenciassem seus perfis. O WSO2 Identity Server, junto com o WSO2 Enterprise Integrator, ajudou a atingir essas metas. Isso resultou na capacidade de desmembrar sistemas de legados e implementar SSO e login de identidade único, melhorando a experiência do usuário em toda a plataforma.

7. Conclusão

A WSO2 é a líder em IAM de software de código aberto que fornece recursos avançados para proteger APIs e o CIAM. Os recursos também incluem federação de identidade, SSO, autenticação forte e adaptável e compliance de privacidade. Embora muitas plataformas de identidade forneçam vários produtos por capacidade, o WSO2 Identity Server é uma solução única para requisitos de identidade comuns. A natureza de código aberto do produto atrai clientes do Fortune 500 devido à liberdade do bloqueio do fornecedor. Leia nosso white paper sobre benefícios de negócios do IAM de código aberto . O WSO2 Identity Server também é extensível, pois pode ser personalizado de acordo com qualquer necessidade exclusiva. Também ajuda que o WSO2 Identity Server faça parte de uma plataforma de integração maior, para que os usuários possam optar pelo gerenciamento de API ou por recursos de ESB que podem ser facilmente integrados à nossa solução de identidade.

Se quiser experimentar o WSO2 Identity Server, você pode explorar nossa abrangente documentação e tutoriais aqui, e mais sobre os princípios de design do IAM aqui.

8. Referências

Sobre a WSO2

A WSO2 é a provedora de integração de software de código aberto número 1 do mundo, ajudando as organizações orientadas para o uso digital a se tornarem ágeis na integração. Os clientes nos escolhem pela nossa ampla plataforma integrada, nossa abordagem para software código aberto e metodologia de transformação ágil. A plataforma híbrida da empresa para desenvolvimento, reutilização, execução e gerenciamento de integrações evita o bloqueio por meio de software de código aberto executado no local ou na nuvem. Hoje, centenas de marcas líderes e milhares de projetos globais executam 6 trilhões de transações por ano usando tecnologias de integração WSO2. Visite https://wso2.com para saber mais.

For more details about our solutions or to discuss a specific requirement contact us.

x

Interested in similar content?