Vista geral da gestão de identidade e de acesso

Last reviewed 2024-07-11 UTC

A gestão de identidade e de acesso (geralmente denominada IAM) é a prática de conceder às pessoas certas acesso aos recursos certos pelos motivos certos. Esta série explora a prática geral da IAM e os indivíduos que estão sujeitos à mesma, incluindo o seguinte:

  • Identidades corporativas: as identidades que gere para os funcionários da sua organização. Estas identidades são usadas para iniciar sessão em estações de trabalho, aceder a email ou usar aplicações empresariais. As identidades corporativas também podem incluir pessoas que não são funcionários, como contratantes ou parceiros, que precisam de acesso a recursos corporativos.
  • Identidades dos clientes: as identidades que gere para os utilizadores de forma a interagirem com o seu Website ou aplicações viradas para o cliente.
  • Identidades de serviço: as identidades que gere para permitir que as aplicações interajam com outras aplicações ou com a plataforma subjacente.

Pode ter de conceder acesso aos seguintes recursos:

  • Serviços Google, como o Google Cloud, o Google Analytics ou o Google Workspace
  • Recursos em Google Cloud, como projetos, contentores do Cloud Storage ou máquinas virtuais (VMs)
  • Aplicações ou recursos personalizados geridos por essas aplicações

Os guias desta série dividem a discussão sobre a IAM nas seguintes partes:

Como os guias desta série estão relacionados.

  • A gestão de identidades corporativas, de clientes e de serviços constitui a base da IAM. Estes tópicos são as caixas 4, 5 e 6 (a verde).
  • Com base na gestão de identidade, as caixas 2 e 3 (a azul) indicam tópicos de gestão de acesso. Estes tópicos incluem a gestão do acesso aos serviços Google, aos recursos e às suas cargas de trabalho e aplicações personalizadas. Google Cloud
  • A caixa 1 (a amarelo) indica tópicos de gestão de acesso que estão fora do âmbito destes guias. Para saber mais sobre a gestão de acessos para o Google Workspace, Google Marketing Platform, e outros serviços, consulte a documentação individual do produto.

Gestão de identidades

A gestão de identidades centra-se nos seguintes processos:

  • Aprovisionamento, gestão, migração e desaprovisionamento de identidades, utilizadores e grupos.
  • Ativar a autenticação segura para os serviços Google e para as suas cargas de trabalho personalizadas.

Os processos e as tecnologias diferem consoante esteja a lidar com identidades empresariais, identidades de aplicações ou identidades de clientes.

Faça a gestão das identidades corporativas

As identidades empresariais são as identidades que gere para os funcionários da sua organização. Os funcionários usam estas identidades para iniciar sessão em estações de trabalho, aceder ao email ou usar aplicações empresariais.

No contexto da gestão de identidades corporativas, os seguintes são requisitos típicos:

  • Manter um único local para gerir identidades em toda a sua organização.
  • Permitir que os funcionários usem uma única identidade e um único início de sessão em várias aplicações num ambiente de computação híbrido.
  • Aplicar políticas como a autenticação multifator ou a complexidade da palavra-passe a todos os funcionários.
  • Cumprir os critérios de conformidade que possam aplicar-se à sua empresa.

O Google Workspace e o Cloud ID são produtos da Google que lhe permitem cumprir estes requisitos e gerir identidades e políticas de forma centralizada.

Se usar os serviços Google num contexto híbrido ou de várias nuvens, a conformidade com estes requisitos pode exigir que integre as capacidades da IAM da Google com soluções de gestão de identidades externas ou fornecedores de identidade, como o Active Directory. O documento Arquiteturas de referência explica como o Google Workspace ou o Cloud ID lhe permitem implementar essa integração.

Alguns dos seus funcionários podem depender de contas do Gmail ou de outras contas de utilizador de consumidor para aceder a recursos empresariais. No entanto, a utilização destes tipos de contas de utilizador pode não estar em conformidade com os seus requisitos ou políticas individuais. Por isso, pode migrar estes utilizadores para o Google Workspace ou o Cloud ID. Para mais detalhes, consulte os artigos Avaliar as suas contas de utilizador existentes e Avaliar os planos de integração.

Para ajudar a adotar o Google Workspace ou o Cloud ID, consulte os nossos guias de avaliação e planeamento para obter orientações sobre como aceder aos seus requisitos e como abordar o processo de adoção.

Faça a gestão das identidades das aplicações

As identidades das aplicações são as identidades que gere para permitir que as aplicações interajam com outras aplicações ou com a plataforma subjacente.

No contexto da gestão de identidades de aplicações, seguem-se os requisitos típicos:

  • Integração com APIs de terceiros e soluções de autenticação.
  • Ativar a autenticação em ambientes num cenário híbrido ou de várias nuvens.
  • Impedir a fuga de credenciais.

Google Cloud permite-lhe gerir identidades de aplicações e resolver estes requisitos através da utilização de Google Cloud contas de serviço e contas de serviço do Kubernetes. Para mais informações sobre as contas de serviço e as práticas recomendadas para a respetiva utilização, consulte o artigo Compreender as contas de serviço.

Faça a gestão das identidades dos clientes

As identidades dos clientes são as identidades que gere para permitir que os utilizadores interajam com o seu Website ou aplicações viradas para o cliente. A gestão das identidades dos clientes e do respetivo acesso também é denominada gestão de identidade e de acesso do cliente (CIAM).

No contexto da gestão de identidades de clientes, seguem-se os requisitos típicos:

  • Permitir que os clientes se inscrevam numa nova conta, mas protegendo contra o abuso, o que pode incluir a deteção e o bloqueio da criação de contas de bots.
  • Suportar o início de sessão social e a integração com Fornecedores de identidade de terceiros.
  • Suportar a autenticação multifator e aplicar requisitos de complexidade de palavras-passe.

A Identity Platform da Google permite-lhe gerir as identidades dos clientes e cumprir estes requisitos. Para mais detalhes sobre o conjunto de funcionalidades e como integrar a Identity Platform com as suas aplicações personalizadas, consulte a documentação da Identity Platform.

Gestão do acesso

A gestão de acesso centra-se nos seguintes processos:

  • Conceder ou revogar o acesso a recursos específicos para identidades.
  • Gerir funções e autorizações.
  • Delegar capacidades administrativas a indivíduos fidedignos.
  • Aplicar o controlo de acesso.
  • Auditoria de acessos realizados por identidades.

Faça a gestão do acesso aos serviços Google

A sua organização pode depender de uma combinação de serviços Google. Por exemplo, pode usar o Google Workspace para colaboração, Google Cloud para implementar cargas de trabalho personalizadas e o Google Analytics para medir as métricas de sucesso da publicidade.

O Google Workspace ou o Cloud ID permitem-lhe controlar centralmente que identidades empresariais podem usar que serviços Google. Ao restringir o acesso a determinados serviços, estabelece um nível base de controlo de acesso. Em seguida, pode usar as capacidades de gestão de acesso dos serviços individuais para configurar um controlo de acesso mais detalhado.

Para mais detalhes, leia sobre como controlar quem pode aceder ao Google Workspace e aos serviços Google.

Faça a gestão do acesso a Google Cloud

No Google Cloud, pode usar o IAM para conceder às identidades corporativas acesso detalhado a recursos específicos. Ao usar o IAM, pode implementar o princípio de segurança do privilégio mínimo, em que concede a estas identidades autorizações para aceder apenas aos recursos que especificar.

Para mais informações, consulte a documentação do IAM.

Faça a gestão do acesso às suas cargas de trabalho e aplicações

As suas cargas de trabalho e aplicações personalizadas podem variar consoante o público a que se destinam:

  • Algumas cargas de trabalho podem destinar-se a utilizadores empresariais, por exemplo, aplicações internas de linha de negócio, painéis de controlo ou sistemas de gestão de conteúdo.
  • Outras aplicações podem satisfazer as necessidades dos seus clientes, por exemplo, o seu Website, um portal de self-service para clientes ou backends para aplicações para dispositivos móveis.

A forma correta de gerir o acesso, aplicar o controlo de acesso e auditar o acesso depende do público-alvo e da forma como implementa a aplicação.

Para saber como proteger aplicações e outras cargas de trabalho que atendem a utilizadores empresariais, consulte a documentação do IAP.

Também pode integrar diretamente o Iniciar sessão com o Google ou usar protocolos padrão, como o OAuth 2.0 ou o OpenID Connect.

Pode saber como aplicar o acesso às APIs na documentação do Istio e do Cloud Endpoints. Pode usar ambos os produtos, quer as suas aplicações se destinem a utilizadores empresariais ou a utilizadores finais.

O que se segue?

  • Compreenda os conceitos e as capacidades da gestão de identidades lendo a secção Conceitos.
  • Saiba mais sobre as orientações normativas a ter em consideração na sua arquitetura ou design lendo a secção Práticas recomendadas.
  • Saiba como avaliar os seus requisitos e identificar um design adequado lendo a secção Avalie e planeie.