O gerenciamento de identidade e acesso (também conhecido como IAM) é a prática de conceder às pessoas certas o acesso aos recursos ideais pelos motivos mais coerentes. Nesta série, daremos informações sobre a prática geral de IAM e os indivíduos que estão sujeitos a ele, incluindo as identidades a seguir:
- Identidades corporativas: as identidades que você gerencia para os funcionários da sua organização. Essas identidades são usadas para fazer login em estações de trabalho, acessar e-mails ou usar aplicativos corporativos. As identidades corporativas também podem incluir não funcionários, como prestadores de serviços ou parceiros que precisam de acesso a recursos corporativos.
- Identidades do cliente: as identidades que você gerencia para os usuários a fim de interagir com seu site ou aplicativos voltados para o cliente.
- Identidades de serviço: as identidades que você gerencia para permitir que os aplicativos interajam com outros aplicativos ou com a plataforma.
Talvez seja necessário conceder acesso aos recursos a seguir:
- Serviços do Google, como Google Cloud, Google Analytics ou Google Workspace
- Recursos no Google Cloud, como projetos, buckets do Cloud Storage ou máquinas virtuais (VMs)
- Aplicativos ou recursos personalizados gerenciados por esses aplicativos
Os guias desta série detalham a discussão sobre o IAM nas partes a seguir:
- O gerenciamento de identidades corporativas, de clientes e de serviços é a base do IAM. Esses tópicos são as caixas 4, 5 e 6 (em verde).
- Confiando no gerenciamento de identidades como base, as caixas 2 e 3 (em azul) indicam tópicos de gerenciamento de acesso. Esses tópicos incluem o gerenciamento de acesso aos serviços do Google, aos recursos do Google Cloud e às cargas de trabalho e aplicativos personalizados.
- A caixa 1 (em amarelo) indica tópicos de gerenciamento de acesso que não fazem parte desses guias. Para saber mais sobre gerenciamento de acesso do Google Workspace, do Google Marketing Platform e de outros serviços, consulte a documentação do produto individual.
Gerenciamento de identidade
O gerenciamento de identidade se concentra nos processos a seguir:
- Provisionamento, gerenciamento, migração e desprovisionamento de identidades, usuários e grupos
- Ativação da autenticação segura nos serviços do Google e nas cargas de trabalho personalizadas
Os processos e as tecnologias serão diferentes se você trabalha com identidades corporativas, de aplicativos ou de clientes.
Gerenciar identidades corporativas
Identidades corporativas são as identidades que você gerencia para os funcionários da sua organização. Os funcionários usam essas identidades para fazer login em estações de trabalho, acessar e-mails ou usar aplicativos corporativos.
No contexto do gerenciamento de identidades corporativas, os requisitos a seguir são típicos:
- Manter um único local para gerenciar identidades em toda a organização.
- Permitir que os funcionários usem uma única identidade e um logon único em vários aplicativos em um ambiente de computação híbrido.
- Aplicar políticas como autenticação multifator ou complexidade de senha para todos os funcionários.
- Atender aos critérios de conformidade aplicáveis à sua empresa.
O Google Workspace e o Cloud Identity são produtos do Google que permitem atender a esses requisitos e gerenciar identidades e políticas de maneira centralizada.
Se você usa os serviços do Google em um contexto híbrido ou de várias nuvens, talvez seja necessário integrar os recursos do IAM do Google a soluções de gerenciamento de identidade externas ou provedores de identidade, como o Active Directory. O documento Arquiteturas de referência explica como o Google Workspace ou o Cloud Identity permitem que você utilize essa integração.
Alguns de seus funcionários podem depender de contas do Gmail ou de outras contas de usuário para acessar recursos corporativos. O uso desses tipos de contas de usuário pode não atender aos seus requisitos individuais ou políticas. Portanto, é possível migrar esses usuários para o Google Workspace ou o Cloud Identity. Para mais detalhes, consulte Como avaliar suas contas de usuário atuais e Como avaliar planos de integração.
Para ter ajuda ao adotar o Google Workspace ou o Cloud Identity, consulte nossos guias de avaliação e planejamento e confira orientações sobre como acessar seus requisitos e abordar o processo de adoção.
Gerenciar identidades de apps
Identidades de aplicativos são as identidades que você gerencia para permitir que os aplicativos interajam com outros aplicativos ou com a plataforma.
No contexto do gerenciamento de identidades de aplicativos, os requisitos a seguir são típicos:
- Integração com APIs e soluções de autenticação de terceiros.
- Ativar a autenticação em ambientes em um cenário híbrido ou de várias nuvens.
- Como evitar vazamento de credenciais.
O Google Cloud permite gerenciar identidades de apps e atender a esses requisitos usando as contas de serviço do Google Cloud e as contas de serviço do Kubernetes. Para mais informações sobre contas de serviço e práticas recomendadas para usá-las, consulte Noções básicas sobre contas de serviço.
Gerenciar identidades de clientes
Identidades de clientes são as identidades que você gerencia para que os usuários interajam com seu site ou aplicativos voltados para o cliente. O gerenciamento de identidades de clientes e o acesso delas também é conhecido como gerenciamento de identidade e acesso do cliente (CIAM).
Veja a seguir os requisitos típicos para gerenciar identidades de clientes:
- Permissão para que os clientes se inscrevam em uma nova conta, mas protegendo contra abuso, o que pode incluir a detecção e o bloqueio da criação de contas de bot.
- Compatibilidade com logon social e integração com provedores de identidade de terceiros.
- Compatibilidade com autenticação multifator e aplicação de requisitos de complexidade de senha.
O Identity Platform do Google permite gerenciar identidades de clientes e atender a esses requisitos. Para mais detalhes sobre o conjunto de recursos e como integrar o Identity Platform aos seus aplicativos personalizados, consulte a documentação do Identity Platform.
Gerenciamento de acesso
O gerenciamento de acesso se concentra nos processos a seguir:
- Conceder ou revogar acesso a recursos específicos para identidades.
- Gerenciar papéis e permissões.
- Delegar recursos administrativos a indivíduos confiáveis.
- Aplicar o controle de acesso.
- Auditar acessos que são realizados por identidades.
Gerenciar o acesso aos serviços do Google
Sua organização pode depender de uma combinação de serviços do Google. Por exemplo, é possível usar o Google Workspace para colaboração, o Google Cloud para implantar cargas de trabalho personalizadas e o Google Analytics para avaliar métricas de sucesso de publicidade.
O Google Workspace ou o Cloud Identity permite que você controle centralmente quais identidades corporativas podem usar quais serviços do Google. Ao restringir o acesso a determinados serviços, você estabelece um nível básico de controle de acesso. É possível usar os recursos de gerenciamento de acesso dos serviços individuais para configurar um controle de acesso mais detalhado.
Para mais detalhes, leia sobre como controlar quem pode acessar os serviços do Google e do Google Workspace.
Gerenciar o acesso ao Google Cloud
No Google Cloud, é possível usar o IAM para conceder a identidades corporativas acesso granular a recursos específicos. Usando o IAM, é possível implementar o princípio de segurança do privilégio mínimo, em que você concede permissões de identidade para acessar apenas os recursos especificados.
Para mais informações, consulte a documentação do IAM.
Como gerenciar o acesso a cargas de trabalho e apps
Suas cargas de trabalho e aplicativos personalizados podem ser diferentes com base no público-alvo a que se destinam:
- Algumas cargas de trabalho podem atender a usuários corporativos, por exemplo, aplicativos internos de linha de negócios, painéis ou sistemas de gerenciamento de conteúdo.
- Outros aplicativos podem atender a seus clientes, por exemplo, seu site, um portal de autoatendimento de clientes ou back-ends para aplicativos para celular.
A maneira correta de gerenciar o acesso, aplicar o controle de acesso e auditar o acesso depende do público e da maneira como você implanta o aplicativo.
Para saber mais sobre como proteger aplicativos e outras cargas de trabalho que atendem a usuários corporativos, consulte a documentação do IAP.
Também é possível integrar diretamente o Login com o Google ou usar protocolos padrão, como OAuth 2.0. ou OpenID Connect.
Saiba como aplicar o acesso a APIs na documentação do Istio e do Cloud Endpoints. É possível usar os dois produtos, independentemente de seus aplicativos atenderem a usuários corporativos ou a usuários finais.
A seguir
- Compreenda os conceitos e recursos do gerenciamento de identidade lendo a seção Conceitos.
- Leia a seção Práticas recomendadas para saber mais sobre a orientação que você precisa considerar na arquitetura ou no design.
- Saiba como avaliar seus requisitos e identificar um design adequado na seção Avaliar e planejar.