A Arte de SAML/SSO e MFA
Security Assertion Markup Language ou SAML é bem conhecido por sua função e não necessariamente por seu nome ou apelido. Os gerentes de TI o usam em um determinado dia, possivelmente várias vezes. Com SAML, o gerenciamento de vários dispositivos se torna mais fácil e menos estressante e tedioso. Simplificando, você pode entrar em um computador e acessar e executar funções de segurança em outros computadores. Neste clima atual de preocupações com integridade de dados e prevenção de vazamento de dados, ser capaz de autenticar e autorizar credenciais é fundamental. O SAML facilita o gerenciamento da segurança da rede.
SSO ou Single Sign On é o que qualquer executivo ou equipe de linha de frente deseja e precisa para facilitar a colaboração, fluxo de trabalho simplificado e operações suaves à medida que mais funcionários trabalham remotamente. Por exemplo, se seu banco de dados de gerenciamento de inventário principal for baseado em nuvem e seu PDV de varejo tiver um servidor local, mas eles tiverem uma API que os faz conversar entre si junto com um painel que se comunica com um servidor de arquivos local com finanças e você tem um credencial de logon único para todos os logins, você não precisará lembrar constantemente de senhas ou criar nomes de usuário e logins seguros para cada ponto de contato em sua empresa onde as operações e as métricas de desempenho residem.
Alguns especialistas em segurança estremecem ao pensar em um CEO mantendo um post-it em uma gaveta com senhas, mas antes que você ria, lembre-se de que muitos profissionais de segurança de rede nem sempre usam um protetor de senha ou autenticador e são propensos a perder telefones celulares em feiras. Você tem uma chave para sua porta da frente e isso permite que você entre sempre. Não complique as coisas.
Imagine-se em um aeroporto sentado com seu laptop com tempo para matar antes de embarcar em seu voo de negócios. Em seu laptop você tem um ícone que você clica em abrir que você insere suas credenciais de logon único e bingo você está instantaneamente em sua unidade doméstica no escritório e no servidor no colo. Você está trabalhando na velocidade da luz e não perde uma batida em relação ao último relatório que acabou de ser atualizado e salvo no servidor na pasta marcada como relatórios de vendas. Ter um cliente de web dav e poder acessar seus arquivos de forma instantânea, segura e remota é um divisor de águas. Você pode permanecer ágil, produtivo e eficiente com seu tempo. Não há necessidade de enviar uma mensagem de texto para o suporte de desktop de TI na sede para descobrir quem alterou as senhas de repente ou por que você está bloqueado agora.
Há autenticação dupla com a qual a maioria dos usuários do Gmail está familiarizada ao inserir um número de telefone para obter um texto com um código que você insere para adicionar outra camada de proteção ao login em sua conta de e-mail. MFA ou Autenticação Multifator adiciona ainda mais camadas e proteções adicionais, especialmente se os dados que você está compartilhando forem críticos, classificados e/ou apenas para determinados olhos. Muitos contratados no setor governamental, bem como no setor de saúde e pesquisa e desenvolvimento, estão bem cientes da MFA, assim como no setor bancário, onde você tem uma caixa de segurança trancada em um cofre atrás das portas fechadas de um banco que também tem um guarda de segurança armado em a porta. Bancos e instituições financeiras usam MFA o tempo todo.
Você pode viver perigosamente e ter todos os seus logins salvos em seu navegador, mas e se você perder seu laptop ou clicar em abrir um link em um e-mail que derrube sua máquina e precise ser retirado da rede imediatamente… e então? Você deve criar o hábito de limpar seu cache, remover cookies, atualizar logins e armazená-los com segurança em algum lugar em seu próprio cofre de algum tipo, seja uma plataforma como LassPass ou ao mesmo tempo em que sua arquitetura de rede corporativa e protocolo de segurança de dados incluem SSO. Você não quer que os membros da equipe sejam os mestres do seu universo. Não faça seu departamento de TI perder o sono todas as noites, fazendo-o perseguir cada membro da equipe para obter credenciais de login atualizadas. Isso deve ser gerenciado de cima para baixo. Eles podem ter suas próprias senhas, mas cada plataforma e software usado deve ter uma conta de administrador mestre que pode acessar tudo e que SAML e SSO devem conviver com TI e gerenciamento executivo. A demissão de um funcionário não deve ser uma simulação de incêndio para recuperar sua rede ou se preocupar com quem ainda tem acesso a quê. Active Director integrado com Compartilhamentos do servidor de arquivos do Windows devem ser gerenciados simultaneamente, e a equipe de admissão ou demissão deve ter o mesmo protocolo consistente todas as vezes. Você precisa ser capaz de puxar o plugue, por assim dizer, em todos os logins em todos os pontos de contato com o sistema com base em qual nível ou qual autorização o funcionário tinha. Se você o tiver relacionado a permissões SSL ou NTFS, não é um pesadelo para gerenciar. Adicionar outra camada de MFA que você possa controlar internamente também é uma proteção essencial.
De um lado, você tem facilidade de uso para o funcionário e, do outro, facilidade de controle do lado da gerência. Sua base de usuários ficará muito feliz em poder fazer logon em todos os aspectos das operações com uma credencial de login, mesmo que isso signifique que eles tenham que inserir um código que é gerado em seu telefone celular com um alerta de texto ao fazer login. O nível de segurança depende do que está sendo acessado e qual permissão foi concedida ao membro da equipe.
O que constitui uma paralisação do trabalho? Alguém não consegue obter o seu e-mail? Isso é inconveniente, mas não é motivo para cruzar os braços no colo e planejar pegar o trem cedo para casa. Com SAML e/ou SSO, tudo o que você precisa é de um navegador e você está de volta aos negócios acessando as informações de que precisa. É sempre bom protocolo e política ter algum tipo de autenticação multifator em seu telefone e dispositivos móveis como tablets, etc. Pense nisso como uma conta Apple ID. Você tem essa camada adicional de ter que usar sua impressão digital ao baixar um aplicativo e, em seguida, comprar e configurar uma conta, você ainda precisa inserir seu ID Apple. Você quer camadas entre você e outra pessoa tentando roubar sua identidade, hackear sua rede ou corromper seus arquivos. Você também quer que seja fácil e rápido acessar seus arquivos. Usar MyWorkDrive com qualquer SAML compatível solução com configuração simplificada de Azure AD, Okta e Onelogin. Adicione MFA ou DUO conforme necessário e comece a trabalhar de qualquer lugar!