Visão geral do gerenciamento de identidade e acesso

O gerenciamento de identidade e acesso (IAM) é a prática de conceder às pessoas certas o acesso aos recursos ideais pelos motivos mais coerentes. Nesta série, exploramos o IAM e os indivíduos que estão sujeitos a ele, incluindo os seguintes:

  • Identidades corporativas: as identidades que você gerencia para os funcionários da sua organização. Essas identidades são usadas para fazer login em estações de trabalho, acessar e-mails ou usar aplicativos corporativos. As identidades corporativas também podem incluir não funcionários, como prestadores de serviços ou parceiros que precisam de acesso a recursos corporativos.
  • Identidades do cliente: as identidades que você gerencia para os usuários a fim de interagir com seu site ou aplicativos voltados para o cliente.
  • Identidades de serviço: as identidades que você gerencia para permitir que os aplicativos interajam com outros aplicativos ou com a plataforma subjacente.

Talvez seja necessário conceder acesso aos recursos a seguir:

  • Serviços do Google, como Google Cloud, Google Analytics ou G Suite
  • Recursos no Google Cloud, como projetos, buckets do Cloud Storage ou máquinas virtuais (VMs, na sigla em inglês)
  • Aplicativos ou recursos personalizados gerenciados por esses aplicativos

Os guias desta série detalham a discussão sobre o IAM nas partes a seguir:

Como os guias desta série estão relacionados.

  • O gerenciamento de identidades corporativas, de clientes e de serviços é a base do IAM. Esses tópicos são as três caixas inferiores (verde).
  • Confiando no gerenciamento de identidades como base, as caixas mais escuras (azuis) indicam tópicos de gerenciamento de acesso. Esses tópicos incluem o gerenciamento de acesso aos serviços do Google, aos recursos do Google Cloud e às cargas de trabalho e aplicativos personalizados.
  • A caixa superior esquerda (cinza-clara) indica tópicos de gerenciamento de acesso que estão além do escopo desses guias. Para saber mais sobre o gerenciamento de acesso do G Suite, do Google Marketing Platform e de outros serviços, consulte a documentação do produto.

Gerenciamento de identidade

O gerenciamento de identidade se concentra nos processos a seguir:

  • Provisionamento, gerenciamento, migração e desprovisionamento de identidades, usuários e grupos
  • Ativação da autenticação segura nos serviços do Google e nas cargas de trabalho personalizadas

Os processos e as tecnologias serão diferentes se você lidar com identidades corporativas, de aplicativos ou de clientes.

Como gerenciar identidades corporativas

Identidades corporativas são as identidades que você gerencia para os funcionários da sua organização. Os funcionários usam essas identidades para fazer login em estações de trabalho, acessar e-mails ou usar aplicativos corporativos.

No contexto do gerenciamento de identidades corporativas, os requisitos a seguir são típicos:

  • Manter um único local para gerenciar identidades em toda a organização.
  • Permitir que os funcionários usem uma única identidade e um único logon em vários aplicativos em um ambiente de computação híbrido.
  • Aplicar políticas como autenticação multifator ou complexidade de senha para todos os funcionários.
  • Atender aos critérios de conformidade aplicáveis à sua empresa.

O G Suite e o Cloud Identity são produtos do Google que permitem atender a esses requisitos e gerenciar identidades e políticas de maneira centralizada.

Se você usa os serviços do Google em um contexto híbrido ou de várias nuvens, talvez seja necessário integrar os recursos do IAM do Google a soluções de gerenciamento de identidade externas ou provedores de identidade, como o Active Directory. O documento de arquiteturas de referência explica como o G Suite ou o Cloud Identity permitem realizar essa integração.

Alguns de seus funcionários podem depender de contas do Gmail ou de outras contas de usuário para acessar recursos corporativos. No entanto, usar esses tipos de contas de usuário pode não estar em conformidade com seus requisitos ou políticas individuais. Portanto, é possível migrar esses usuários para o G Suite ou o Cloud Identity. Para mais detalhes, consulte Como avaliar suas contas de usuário atuais e Como avaliar planos de integração.

Para ajudar você a adotar o G Suite ou o Cloud Identity, consulte nossos guias de avaliação e planejamento para ver orientações sobre como acessar seus requisitos e abordar o processo de adoção.

Como gerenciar identidades de aplicativos

Identidades de aplicativos são as identidades que você gerencia para permitir que os aplicativos interajam com outros aplicativos ou com a plataforma subjacente.

No contexto do gerenciamento de identidades de aplicativos, os requisitos a seguir são típicos:

  • Integração com APIs e soluções de autenticação de terceiros.
  • Ativar a autenticação em ambientes em um cenário híbrido ou de várias nuvens.
  • Como evitar vazamento de credenciais.

O Google Cloud permite gerenciar identidades de aplicativos e atender a esses requisitos usando as contas de serviço do Google Cloud e as contas de serviço do Kubernetes. Para mais informações sobre contas de serviço e práticas recomendadas para usá-las, consulte Noções básicas sobre contas de serviço.

Como gerenciar identidades de clientes

Identidades de clientes são as identidades que você gerencia para que os usuários interajam com seu site ou aplicativos voltados para o cliente. O gerenciamento de identidades de clientes e o acesso delas também é conhecido como gerenciamento de identidade e acesso do cliente (CIAM, na sigla em inglês).

Veja a seguir os requisitos típicos para gerenciar identidades de clientes:

  • Permissão para que os clientes se inscrevam em uma nova conta, mas protegendo contra abuso, o que pode incluir a detecção e o bloqueio da criação de contas de bot.
  • Compatibilidade com logon social e integração com provedores de identidade de terceiros.
  • Compatibilidade com autenticação multifator e aplicação de requisitos de complexidade de senha.

A plataforma de identidade do Google permite gerenciar identidades de clientes e atender a esses requisitos. Para mais detalhes sobre o conjunto de recursos e como integrar o Identity Platform aos seus aplicativos personalizados, consulte a documentação do Identity Platform.

Gerenciamento de acesso

O gerenciamento de acesso se concentra nos processos a seguir:

  • Conceder ou revogar acesso a recursos específicos para identidades.
  • Gerenciar papéis e permissões.
  • Delegar recursos administrativos a indivíduos confiáveis.
  • Aplicar o controle de acesso.
  • Auditar acessos que são realizados por identidades.

Como gerenciar o acesso aos serviços do Google

Sua organização pode depender de uma combinação de serviços do Google. Por exemplo, é possível usar o G Suite para colaboração, o Google Cloud para implantar cargas de trabalho personalizadas e o Google Analytics para avaliar métricas de sucesso de publicidade.

O G Suite ou o Cloud Identity permitem controlar centralmente quais identidades corporativas podem usar quais serviços do Google. Ao restringir o acesso a determinados serviços, você estabelece um nível básico de controle de acesso. É possível usar os recursos de gerenciamento de acesso dos serviços individuais para configurar um controle de acesso mais refinado.

Para mais detalhes, leia sobre como controlar quem pode acessar o G Suite e os serviços do Google.

Como gerenciar o acesso ao Google Cloud

No Google Cloud, é possível usar o IAM para conceder a identidades corporativas acesso granular a recursos específicos. Usando o IAM, é possível implementar o princípio de segurança do privilégio mínimo, em que você concede permissões de identidade para acessar apenas os recursos especificados.

Para mais informações, consulte a documentação do IAM.

Como gerenciar o acesso às suas cargas de trabalho e aplicativos

Suas cargas de trabalho e aplicativos personalizados podem ser diferentes com base no público-alvo a que se destinam:

  • Algumas cargas de trabalho podem atender a usuários corporativos, por exemplo, aplicativos internos de linha de negócios, painéis ou sistemas de gerenciamento de conteúdo.
  • Outros aplicativos podem atender a seus clientes, por exemplo, seu site, um portal de autoatendimento de clientes ou back-ends para aplicativos para celular.

A maneira correta de gerenciar o acesso, aplicar o controle de acesso e auditar o acesso depende do público e da maneira como você implanta o aplicativo.

Para saber mais sobre como proteger aplicativos e outras cargas de trabalho que atendem a usuários corporativos, consulte a documentação do IAP. Também é possível se integrar diretamente ao Login do Google usando protocolos padrão, como o OAuth 2.0 ou o OpenID Connect.

Saiba como impor o acesso a APIs na documentação do Istio e do Cloud Endpoints. É possível usar os dois produtos, independentemente de seus aplicativos atenderem a usuários corporativos ou a usuários finais.

A seguir

  • Compreenda os conceitos e recursos do gerenciamento de identidade lendo a seção Conceitos.
  • Leia a seção Práticas recomendadas para saber mais sobre a orientação que você precisa considerar na arquitetura ou no design.
  • Saiba como avaliar seus requisitos e identificar um design adequado na seção Avaliar e planejar.