IDaaS, tudo, menos a sincronização de diretórios

De volta2011 Marc Andreesen declarou que “o software está devorando o mundo”. Vimos isso se concretizar, embora hoje eu atualizaria esta declaração para "SaaS está devorando o mundo". O SaaS e a entrega de aplicativos empresariais baseada em assinatura se tornaram o modelo de consumo preferido pela maioria das organizações. A empresa de análise de mercado IDC prevê que praticamente todos os fornecedores de software terão mudado completamente para um modelo de entrega SaaS até 2018[1] .

Nós amamos nosso SaaS. E o que há para não amar? O preço do tipo "pague conforme o uso" é favorável aos negócios. Ele permite velocidade de escala (para cima ou para baixo), reduz a pegada de infraestrutura local, diminui os custos de capital, blá blá blá – se você está lendo este blog, provavelmente já sabe de tudo isso.

Mas aqui está o problema com o SaaS: ainda precisamos implementar controles de segurança de TI. Embora dependamos do provedor de serviços para proteger a plataforma, precisamos garantir que o acesso aos nossos aplicativos comerciais fornecidos por SaaS esteja bem protegido. A ameaça de contas comprometidas é sem dúvida o maior risco de segurança na adoção de ofertas de SaaS em nuvem pública. Não podemos ter funcionários usando senhas fracas ou compartilhadas para esses aplicativos, e notas adesivas na mesa do usuário nos fazem estremecer. No entanto, políticas de senhas fortes dificultam a vida dos funcionários, especialmente se eles precisam alterá-las regularmente.

Precisamos de uma solução de gerenciamento de identidade e acesso para aplicativos em nuvem que permita políticas fortes sem sobrecarregar os usuários ou a equipe de TI. E, claro, queremos que isso seja entregue em um modelo de identidade como serviço (IDaaS). Existem algumas boas ofertas de IDaaS no mercado hoje, como as da Ping Identity e da Okta. Essas soluções oferecem federação baseada em SSO e SAML para aplicativos baseados em nuvem. Seus funcionários simplesmente se autenticam no IDaaS e têm acesso direto a todos os seus aplicativos na nuvem. Acesso simples, fácil e seguro aos aplicativos de nuvem de que precisam.

Parece ótimo, certo? Basta copiar ou sincronizar seu diretório de usuários local com a plataforma do fornecedor do IDaaS, configurar alguns aplicativos SaaS habilitados para SAML e você estará pronto para federar. Espera, o quê? Copiar meu diretório para a nuvem? Deixe-me pensar sobre isso…

Todos nós queremos os benefícios de simplicidade e segurança do SSO para nuvem e SaaS, mas ter cópias do diretório corporativo em uma plataforma de terceiros não é para todos. Embora eu realmente acredite que os provedores de serviços levam a segurança a sério, eles também podem ser alvos frequentes de ataques devido aos dados confidenciais que hospedam. Limitar riscos na nuvem faz sentido em termos de segurança.

Os relatos da morte do diretório local foram muito exagerados. Na F5, temos clientes que simplesmente não querem expor seus diretórios à nuvem pública. No entanto, existe uma maneira de obter todos os benefícios do IDaaS sem a necessidade de colocar seu diretório na plataforma IDaaS – o que é conhecido como encadeamento de identidade SAML. É aqui que o provedor de identidade de federação (IdP) do IDaaS pode redirecionar para um IdP local, como o F5 BIG-IP APM , que tem acesso seguro ao diretório corporativo local. Os funcionários podem ser autenticados de forma transparente por meio do diretório local e a asserção SAML apropriada pode ser fornecida de volta ao IDaaS para aplicativos SSO federados para SaaS.

Este modelo de encadeamento de IdP também permite que políticas de acesso locais sejam estendidas a aplicativos em nuvem. Autenticação multifator (MFA) e acesso a políticas baseadas em contexto para aplicativos também podem ser adicionados. Muito legal, não é?

Se você está pensando em implementar o IDaaS, mas tem reservas sobre compartilhar seu diretório corporativo na nuvem, o encadeamento de IdP pode ajudar a aliviar suas preocupações. A maioria dos fornecedores líderes de mercado de IDaaS oferece suporte ao encadeamento de IdP e a F5 BIG-IP APM tem experiência trabalhando com quase todos eles. Vá em frente e IDaaS sem medo...

[1] Previsão de serviços de nuvem pública de TI mundial e regional da IDC, 2015–2019