Single Sign On: Perguntas a Fazer

O vovô sempre dizia: “Nunca tente nada novo. Espere para ver se isso mata alguém primeiro”. Recentemente, estive envolvido em levar vários projetos de Single Sign On à fruição, e suas palavras têm pairado constantemente no fundo da minha mente. Uma parte de mim diz: “É uma má ideia ter apenas um nome de usuário e senha acessando tudo”. Se ocorrer um ataque de hacker, o invasor se apodera das coisas deles, ele terá acesso a tudo. Mas a outra parte olha e diz: “Os usuários vão adorar isso”. É uma situação clássica de ser estúpido se você fizer, e estúpido se não fizer. Então, o que você faz?

O que é Single Sign On?

Quando você olha pela primeira vez para o Single Sign On (SSO) sob a perspectiva de alguém que entende de segurança, mas não conhece os detalhes, o SSO parece um suicídio em nível empresarial. O próprio nome, Single Sign-On, evoca imagens de usar um único conjunto de credenciais para tudo, mas o objetivo final é facilitar a vida dos seus usuários, sem comprometer a segurança. O que você está fazendo é tirar proveito de algo chamado SAML (Security Assertion Markup Language, nada menos). Trata-se de um formato de dados aberto e baseado em XML que nos permite trocar dados de autenticação e autorização entre diferentes aplicações ou partes. Na verdade, isso reforça um pouco as coisas, adicionando outra camada, por assim dizer, ao aproveitar as informações do usuário no AD ou LDAP.

Então, nós aprimoramos a segurança ao vincular como eles afetam os direitos já concedidos no AD. Na maioria dos casos, se houver um nome de usuário/senha separados associados a um aplicativo, isso é inserido uma vez, e o aplicativo SSO nos dá acesso. Parece um pouco assustador, mas lembre-se de que os bloqueios típicos do AD ainda funcionam, e temos o benefício adicional de que, se a conta for comprometida, a maioria dos softwares SSO vem com alguns recursos de relatórios realmente poderosos. Assim, podemos detectar contas comprometidas e dados acessados.

Perguntas a fazer antes de se comprometer com o Single Sign On

Vou fazer o papel de advogado do diabo aqui e fazer a pergunta que está na mente de todos. Quão seguro é realmente?

Bem, como o Diabo, vou te deixar na expectativa pela resposta e dizer que vamos analisar isso nas próximas semanas. Por agora, vamos supor que você queira implementar o Single Sign On na sua organização. Se deseja SSO na sua organização, aqui estão algumas coisas que deve considerar.

Primeiro na lista, estamos falando de algo novo ou de algo que estamos atualizando? Muitas vezes é um novo produto SSO substituindo um antigo. Logo de cara, você precisa começar a pensar em treinamento e comunicações. Comunicações – para que os usuários saibam o que está acontecendo, treinamento (mesmo que seja apenas um vídeo online) – sobre como usar o novo produto.

O que estamos tentando fazer com isso? Estamos tentando centralizar o acesso? Tentando melhorar a segurança aprimorando a autorização? Ou que tal apenas uma simples auditoria? Talvez estejamos tentando realizar todas as três. O mais importante é que certamente ajuda a realizar um projeto bem-sucedido quando você sabe o que esperar no final de tudo.

Decidir quais aplicações queremos fornecer acesso desde cedo é muito importante. A maioria das aplicações funcionará bem com um SSO, mas outras não. As “outras” podem realmente complicar a sua vida, e envolver terceiros e mais do que um pouco de criatividade para fazê-las funcionar. Então, espere isso.

Quem vai cuidar disso? Alguém tem que ser responsável pelo sistema, e isso pode envolver várias pessoas em diferentes níveis da empresa para lidar com isso. Por exemplo, em um projeto recente de SSO, eu fui responsável por configurá-lo nos servidores, ajudar a gerenciar o projeto e realizar as aplicações iniciais e o cadastramento dos usuários. Mas ficou decidido desde o início que, no futuro, novos usuários seriam adicionados pela equipe do Nível 1. Então, tivemos que prepará-los e pelo menos fornecer treinamento até esse ponto. No entanto, as aplicações, assim como o cuidado e manutenção dos servidores (sem falar em futuros upgrades e DR) ficariam firmemente sob minha responsabilidade.

Provavelmente, a peça mais importante que precisamos observar é se o SSO que compramos continua a crescer e evoluir à medida que a empresa cresce e evolui.

E como costumavam dizer nos anos 60, não mexa no dial.