Single Sign On – Autenticação do usuário e autorização das operações

Nesse último caso, o problema é ainda mais acentuado uma vez que as empresas têm diferentes sistemas, operando em ambientes heterogêneos e, em muitos casos, com baixíssimo índice de integração. O cenário tem impacto direto em três grandes grupos de pessoas.

O primeiro são os dos usuários que precisam inventar e memorizar diferentes senhas, relacionando-as com os recursos que buscam acessar. em seguida aparecem os administradores de sistemas com a necessidade de cadastrar e manter os usuários e suas permissões para diferentes sistemas. E por último vêm os programadores que têm que interagir com diferentes interfaces para a criação de programas de acesso e processamento de dados.

Como forma de solucionar esse problema, algumas alternativas têm sido listadas como os sistemas para sincronismo de senhas, que após cadastrada a senha, a mesma possa ser replicada nos demais sistemas; ponto único de sign on, permitindo que se tenha um único ponto para autenticação e autorização do usuário; e o single sign on, que trata-se de uma evolução do processo anterior no qual existe apenas um registro do usuário e sua senha. Esse registro permite acesso aos diferentes recursos da corporação ou mesmos da Internet.

A alternativa de sincronismo de senha é a mais simples de ser adotada e tem como principal beneficiário o usuário dos sistemas, que não precisará mais memorizar diferentes senhas. Sua aplicação, pelos riscos envolvidos, se dá apenas no ambiente corporativo e os benefícios para administradores e programadores são muito pequenos. O grande risco da solução advém do fato da descoberta da senha de um usuário, onde todos os sistemas a que ele utiliza poderão ser acessados.

O sistema de ponto único de sign on, por sua vez, permite que os programadores possam contar com um procedimento padrão para obter autenticação e autorização dentro de sues programas. Do ponto de vista dos administradores de sistema, existe uma vantagem na gestão do ambiente, com uma arquitetura de certa forma mais simplificada. O usuário, contudo, não experimenta grandes benefícios já que continuará sendo necessária a utilização de múltiplas senhas e de múltiplos processos de autenticação.

Resta, portanto, a utilização de sistemas de single sign on. Esse tipo de solução permite que o usuário tenha uma única senha e efetue a autenticação uma única vez. Com essa autenticação ele pode acessar os diferentes sistemas aos quais tiver direito.

Nessa solução, o administrador tem um ponto único para cadastro e manutenção dos usuários e o programador, à semelhança da solução de single point of sign on, tem uma única interface para autenticar usuários dentro dos seus programas. De maneira simplista, a solução de single sign on funciona da seguinte forma:

a. O usuário acessa um servidor de autenticação, fornecendo a sua identificação e a sua senha.

b. O servidor de autenticação valida os dados e, em caso positivo, gera um ticket temporário.

c. O usuário (tipicamente o programa que ele está utilizando) de posse desse ticket realiza os acessos aos diferentes sistemas da empresa ou da Internet.

d. Os sistemas, quando recebem esse ticket, efetuam a sua validação com o servidor de acesso (em muitos casos são colocados adaptadores ?na frente? dos sistemas, como forma de permitir essa validação dos tickets. Isso é necessário uma vez que tais sistemas podem não estar preparados para operar dessa forma).

A implementação de soluções de single sign on parece ser uma tendência e diversos fabricantes de software, estrangeiros ou locais, têm disponibilizado produtos nessa área (Netegrity, Microsoft, Pulso Tecnologia, Eversystems, etc.). E a cobertura dessas implementações pode variar desde uma cobertura local (dentro de uma empresa) até em toda a Internet (ambição, por exemplo, da Microsoft, com a sua solução chamada Passport), passando por sistemas de extranet (uma empresa e seus fornecedores, por exemplo).

O risco da adoção desse tipo de solução é evidente. Cria-se um ponto único que, se atacado, pode dar acesso à todos os sistemas por ele controlados. Por outro lado, como não se tem base de senhas espalhada em diversos pontos, a gestão do ambiente e o desenho da arquitetura de segurança podem ficar muito simplificados.

Um outro ponto que virá a favorecer a adoção de sistemas de single sign on será a expansão da utilização de certificados digitais. Como explorado em artigo anterior, o certificado digital corresponde a uma carteira de identidade eletrônica e o processo de autenticação de usuário utilizando esse recurso prescinde do tráfego e armazenamento de senha, fazendo como que o processo todo ganhe um grau maior de segurança.