Definir o que é a administração de identidades
A administração de identidades é como os objetos de identidade são gerenciados ao longo do tempo de vida da existência da identidade. Essa administração pode ser manual ou automatizada. No entanto, ela precisa ser feita. Este é um exemplo simples do que acontece sem a governança e a administração das suas identidades.
História – A vida de uma identidade
Você tem um usuário chamado Mateus. Mateus recebe uma conta na sua empresa e trabalha nela por vários anos. Ao longo desse tempo, o usuário recebe acesso de administrador para implantar um aplicativo. Mais tarde, Mateus deixa a empresa de maneira amigável. No entanto, a conta nunca é removida do sistema. Um gerente se esqueceu de enviar a documentação para fechar a conta. Não há nenhum sistema de governança em vigor para observar que a conta não está em uso e que Mateus não está mais listado nos sistemas de RH. Um ano depois, Mateus é vítima de um email de phishing e tem o nome de usuário pessoal dele e a senha roubados. Assim como muitas pessoas, Mateus usou uma senha semelhante para contas corporativas e da vida pessoal dele. Adivinha, agora você tem um cenário em que os seus sistemas podem ser invadidos. E o ataque vem do que parece ser uma conta válida!
A administração de identidades fornece
- Um sistema altamente configurável em relação aos processos de negócios
- A agilidade para escalar recursos de acordo com a demanda
- Redução de custos por meio da distribuição e da automação do gerenciamento
- Flexibilidade em relação à sincronização, à proliferação e ao controle de alterações
Tarefas comuns de administração de identidades
Há muitas tarefas comuns executadas durante a administração de identidades.
Proliferação de identidades – Lida com o armazenamento de objetos de identidade no ambiente. Muitas vezes, as organizações têm identidades em locais como o Active Directory, outros serviços de diretório e repositórios de identidades específicos do aplicativo.
Provisionamento e desprovisionamento – Na verdade, essas são duas funcionalidades separadas. O provisionamento trata de como os objetos de identidade são criados em um sistema. O desprovisionamento tem como foco a remoção de acesso de uma identidade (exclusão, desabilitação do princípio de segurança ou remoção do acesso).
Atualizações de identidades – Envolve a maneira como as informações de identidade são atualizadas em todo o ambiente. A ideia é se afastar de um esforço manual para uma abordagem mais automatizada e simplificada.
Sincronização – é garantir que os sistemas de identidade de um ambiente estejam atualizados com as informações de identidade mais recentes. Essas informações geralmente são cruciais para determinar o acesso. Os principais itens que influenciam essa funcionalidade são como a sincronização é executada, seja manual, baseada em tempo ou controlada por eventos.
Gerenciamento de senhas – Tem como foco onde e como as senhas são definidas em toda a infraestrutura de identidade. Na maioria das organizações, a Central de Serviços ainda é o ponto focal para senhas esquecidas.
Gerenciamento de grupos – tem como foco a maneira pela qual uma organização gerencia grupos (por exemplo, Active Directory e/ou LDAP) no ambiente. Os grupos são uma das formas mais comuns para determinar as permissões de acesso aos recursos e são caros de serem gerenciados e operados.
Gerenciamento de direitos de aplicativo – Define como as identidades recebem acesso aos aplicativos. Ele tem como foco fornecer direitos de aplicativo de granularidade grosseira que são impostos como uma funcionalidade contida no pilar Autorização. Por outro lado, os direitos refinados são gerenciados como atributos relacionados a uma identidade.
Interface do usuário – É como o usuário final consegue solicitar ou fazer atualizações nas informações de identidade dele. Em muitos ambientes, os usuários continuam entrando em contato com a Central de Serviços para obter atualizações das respectivas informações de identidade.
Controle de alterações – A funcionalidade se concentra em como as alterações fluem pelo ambiente, sejam elas concluídas manualmente por um profissional da Central de Serviços. Pode haver automação com ou sem fluxo de trabalho, o que impulsiona o processo de alteração. Algumas organizações ainda enviam emails para concluir solicitações, enquanto outras têm processos avançados e maduros para executar a alteração.
Automação do gerenciamento de identidades
| PowerShell | CLI (interface de linha de comando) |
|---|---|
| O PowerShell multiplataforma é executado no Windows, macOS, Linux | Interface de linha de comando multiplataforma, instalável no Windows, macOS, Linux |
| Requer Windows PowerShell ou PowerShell | É executada no Windows PowerShell, no prompt de comando ou no Bash e em outros shells do UNIX |
| Linguagem do script | Ação | Comando |
|---|---|---|
| CLI do Azure | Criar usuário | az ad user create --display-name "New User" --password "Password" --user-principal-name NewUser@contoso.com |
| Microsoft Graph | Criar usuário | New-MgUser -DisplayName "New User" -PasswordProfile Password -UserPrincipalName "NewUser@contoso.com" -AccountEnabled $true -MailNickName "Newuser“ |
Ao escolher a ferramenta certa, considere a experiência anterior e o ambiente de trabalho atual. A sintaxe da CLI do Azure é semelhante à do script bash. Se você trabalha principalmente com sistemas Linux, a CLI do Azure é a melhor opção. O PowerShell é o mecanismo de script da Microsoft. Se você trabalha principalmente com sistemas Windows, o PowerShell é a combinação perfeita. Os comandos seguem um esquema de nomenclatura verbo-substantivo e os dados são retornados como objetos.
Microsoft Graph
O Microsoft Graph expõe APIs REST e bibliotecas de clientes para acessar dados nos seguintes serviços em nuvem da Microsoft, como o Microsoft Entra ID, o Microsoft 365, dispositivos e muitos outros.
A API do Microsoft Graph oferece um ponto de extremidade individual,
https://graph.microsoft.com, para fornecer acesso a dados e insights avançados centrados em pessoas na nuvem da Microsoft, incluindo o Microsoft 365, o Windows 10 e o Enterprise Mobility + Security. Você pode usar APIs REST ou SDKs para acessar o ponto de extremidade e criar aplicativos que dão suporte aos cenários do Microsoft 365. O acesso pode variar da produtividade, à colaboração e à educação. O Microsoft Graph também inclui um conjunto poderoso de serviços que gerenciam a identidade do usuário e do dispositivo. Você pode determinar e configurar o acesso, a conformidade, a segurança e ajudar a proteger as organizações contra perda ou vazamento de dados.Os conectores do Microsoft Graph funcionam na direção de entrada, entregando dados externos à nuvem da Microsoft para os serviços e aplicativos do Microsoft Graph, para aprimorar as experiências do Microsoft 365, como o Microsoft Search. Existem conectores para muitas fontes de dados comumente usadas, como Box, Google Drive, Jira e Salesforce.
A Conexão de dados do Microsoft Graph fornece um conjunto de ferramentas para otimizar a entrega segura e escalonável de dados do Microsoft Graph para armazenamentos de dados populares do Azure. Os dados armazenados em cache servem como fontes de dados para ferramentas de desenvolvimento do Azure que você pode usar para criar aplicativos inteligentes.
Juntos, a API do Microsoft Graph, os conectores e a Conexão de dados habilitam a plataforma de serviços em nuvem da Microsoft. Com a capacidade de acessar dados do Microsoft Graph e outros conjuntos de dados, você pode obter insights e análises, além de estender o Azure e o Microsoft 365 criando aplicativos inteligentes e exclusivos.