O que é identidade federada?

janeiro 26, 2024

A identidade federada é uma solução que simplifica o acesso seguro do usuário pela combinação de vários componentes, entre eles autenticação, autorização, controle de acesso, sistemas de detecção e prevenção de intrusão (IDPS) e provedores de serviços. Com a identidade federada, os usuários autorizados podem acessar vários domínios, aplicativos e vários sistemas de gerenciamento de identidade distintos com um único conjunto de credenciais de login. Isso elimina a necessidade de logins separados, o que aumenta a produtividade, reduz a frustração do usuário e agiliza o gerenciamento de senhas para usuários e TI. A função de identidade federada é controlada por serviços de terceiros que atestam a identidade dos usuários. Esses serviços de identidade de federação de terceiros são posicionados entre usuários e recursos, atuando como middleware. As ferramentas de segurança, como a autenticação multifator (MFA) e o logon único (SSO), são usadas para gerenciar o acesso do usuário e validar as identidades do usuário.

Identidade federada e logon único (SSO)

Identidade federada e logon único (SSO) são conceitos que, muitas vezes, erroneamente são considerados sinônimos. Embora suas funções pareçam semelhantes e se enquadrem no gerenciamento de identidade, eles desempenham funções diferentes. Tanto a identidade federada quanto o SSO autenticam os usuários com um protocolo seguro e reduzem o acesso do usuário a um evento de login, que geralmente inclui autenticação multifator. Após terem feito o login, os usuários podem se conectar a diferentes serviços sem novos logins. No entanto, o SSO permite que os usuários acessem vários sistemas dentro de uma organização, e a identidade federada fornece aos usuários acesso a vários sistemas em organizações diferentes.

A identidade federada agiliza o SSO, permitindo que os usuários acessem os sistemas sem barreiras de autenticação.

Ela também agrega vários grupos. Esses grupos podem ser isolados dentro de um único ambiente corporativo ou distribuídos por empresas diferentes com autenticação centralizada.

Identidade e autenticação federadas

A identidade federada é autenticada por meio de protocolos seguros baseados em padrões. Eles permitem autenticação e acesso em domínios federados. Os protocolos de autenticação segura mais comuns são:

JWT (JSON Web Token)
Kerberos
LDAP (Lightweight Directory Access Protocol)
OAuth (Open Authorization)
OIDC (OpenID Connect)
RADIUS (Remote Authentication Dial-In User Service)
SAML (Security Assertion Markup Language)
SCIM (System for Cross-domain Identity Management)

Outros protocolos de autenticação segura são:

CHAP (Challenge-Handshake Authentication Protocol)
Diameter
EAP (Extensible Authentication Protocol)
PAP (Password Authentication Protocol)
TACACS (Terminal Access Controller Access Control System)

Como funciona a identidade federada

A identidade federada baseia-se em relações de confiança entre dois tipos de entidades.

Os provedores de serviço são quaisquer aplicativos, softwares ou sites externos que utilizam um provedor de identidade para identificar e autenticar um usuário.
Os provedores de identidade (IdP) são sistemas que criam, mantêm e gerenciam informações de identidade (por exemplo, nome, endereço de e-mail, localização, dispositivo, tipo de navegador, informações biométricas).

A seguir, será apresentado um resumo de como funciona a identidade federada. Observe que cada etapa é instantânea e invisível, o que cria um processo contínuo e sem intervenções para os usuários.

O usuário tenta fazer login em um provedor de serviços que usa identidade federada.
O provedor de serviços solicita autenticação federada do provedor de identidade do usuário para garantir que o usuário seja quem ele afirma ser.
O provedor de identidade verifica as informações de identidade do usuário e confere seus direitos de acesso e permissão.
O provedor de identidade autoriza o usuário ao provedor de serviços usando um protocolo seguro (por exemplo, oAuth, OIDC, SAML).
O usuário obtém acesso ao provedor de serviço.

Identidade federada e o governo dos Estados Unidos

Em 2004, foi publicada a Diretriz Presidencial de Segurança Interna 12, que tornou obrigatório o uso de credenciais seguras para acessar ativos do governo. Isso gerou uma série de acordos, protocolos e programas para identidade federada. O National Cybersecurity Center of Excellence e o National Strategy for Trusted Identities in Cyberspace National Program Office colaboraram em um projeto da Privacy-Enhanced Identity Federation para estabelecer um conjunto de padrões que devem ser seguidos para a identidade federada.

A estrutura Global Federated Identity and Privilege Management (GFIPM) fornece uma abordagem baseada em padrões para implementar a identidade federada. A estrutura suporta as três principais áreas de interoperabilidade de segurança na federação.

Identificação/autenticação Quem é o usuário e como ele foi autenticado?
Gestão de privilégios Quais certificações, liberações, funções de trabalho, privilégios locais e afiliações organizacionais estão associados ao usuário e podem servir de base para decisões de autorização?
Auditoria Quais informações são necessárias ou exigidas para fins de auditoria de cada sistema, acesso e uso de sistemas e conformidade legal de práticas de dados?

Benefícios da identidade federada

Economia de custos O uso da identidade federada libera as organizações do tempo e das despesas de configuração e manutenção do SSO para gerenciar várias identidades.

Gerenciamento fácil de dados A identidade federada facilita o armazenamento, o acesso e o gerenciamento de informações em todos os sistemas, simplificando as operações de gerenciamento de dados.

Experiência do usuário aprimorada Os usuários só precisam fornecer suas credenciais uma vez em uma sessão para acessar vários sistemas em domínios federados. Isso melhora a experiência do usuário, pois remove obstáculos ao acesso.

Segurança aprimorada O número de vezes que um usuário tem que fazer login em cada sistema é reduzido, o que melhora a segurança e fornece melhor proteção de dados, uma vez que cada login cria um ponto de vulnerabilidade e aumenta o risco de acesso não autorizado.

Aumento da produtividade A identidade federada libera os usuários do ônus de vários logins para acessar recursos, reinserir senhas e enviar solicitações de helpdesk para redefinições de senha. Essa economia de tempo e a redução da frustração resultam em maior produtividade do usuário final e da organização em geral.

Compartilhamento seguro de recursos As organizações podem facilitar o compartilhamento de recursos e dados de forma eficiente, sem colocar em risco as credenciais ou a segurança.

Provisionamento de ponto único A identidade federada permite o provisionamento de ponto único, o que torna mais fácil para as equipes de TI fornecerem acesso a usuários e sistemas fora de um único perímetro corporativo.

Mal-entendidos sobre identidade federada

A identidade federada, muitas vezes, é mal compreendida e marcada por crenças errôneas. Os dois principais equívocos são:

Como os sistemas de gerenciamento de identidade federada seguem regras e políticas específicas, há menos controle sobre como eles podem ser configurados. Isso é incorreto. Embora esses sistemas tenham uma estrutura rígida, existem opções de configurações personalizadas para atender aos requisitos exclusivos das organizações.
Possíveis riscos de segurança citados com identidade federada são, em grande parte, infundados. Quase todas as abordagens de segurança têm falhas, mas a identidade federada é amplamente considerada como uma solução de segurança superior.

Diminuição da fadiga de senhas com a identidade federada

Mesmo com a obrigação do uso de senhas fortes, as senhas representam problemas de segurança persistentes, porque os usuários tomam atalhos arriscados em um esforço para simplificar o gerenciamento de várias senhas. A identidade federada reduz essa fadiga de senhas, agilizando o acesso dos usuários e simplificando o gerenciamento de senhas para as equipes de TI.