Automatizar o provisionamento de usuários nos aplicativos em nuvem

Apresentação do problema empresarial

As empresas estão usando cada vez mais aplicativos em nuvem nos fluxos de trabalho diários. Cada aplicativo em nuvem tem uma lista de usuários com conjuntos de privilégios. À medida que os usuários entram ou saem da empresa, eles precisam ser provisionados ou desprovisionados em todos os apps apropriados.

Isso significa que os departamentos de TI gerenciam IDs de usuário e senhas individuais associados a diferentes apps na nuvem para cada usuário. Quando o provisionamento é automatizado, os funcionários recebem as ferramentas de que precisam assim que entram na empresa. As empresas também querem reduzir os possíveis riscos de segurança ao desprovisionar um usuário em todos os apps de nuvem quando ele deixa a empresa.

É útil para a empresa reduzir a sobrecarga administrativa envolvida no gerenciamento de usuários em apps de nuvem individuais de terceiros. O objetivo é automatizar o provisionamento de usuários para criar, atualizar ou excluir as informações do perfil do usuário em um único local e fazê-lo se refletir em todos os apps de nuvem.

Soluções

Há o Cloud Identity e alternativas de terceiros para implementar o provisionamento automatizado.

Provisionamento automatizado do Cloud Identity

O Cloud Identity tem um catálogo de conectores de provisionamento automatizados, que funcionam como uma ponte entre o Cloud Identity e os apps de nuvem de terceiros.

Depois de configurar o SAML para logon único (SSO, na sigla em inglês), você pode configurar o provisionamento automatizado de usuários para criar, modificar ou excluir a identidade de um usuário em todos os apps de nuvem. Os administradores podem autorizar o Cloud Identity a sincronizar um subconjunto de usuários do Cloud Identity em um ou mais apps compatíveis.

Vantagens

  • Acomoda o ciclo de vida completo do usuário ao criar, atualizar, remover ou suspender perfis de usuário.
  • Acomoda o gerenciamento completo do ciclo de vida do app, permitindo que as empresas adicionem ou removam aplicativos da organização em um local central.
  • Fornece uma experiência de usuário consistente para todos os apps compatíveis, incluindo relatórios unificados, registros de auditoria e acompanhamento granular de eventos.

Provisionamento just-in-time de terceiros

Muitos apps compatíveis com SAML podem ser provisionados automaticamente com o provisionamento just-in-time (JIT). Alguns provedores de serviços configuram o app SAML para que, quando um usuário acessar o app, ele verifique se o usuário já tem uma conta. Se ele não tiver uma conta, será criada uma conta para ele.

Vantagens

  • Requer menos configuração, porque apenas a configuração do app SAML é necessária.
  • Os clientes podem influenciar os provedores de serviços a oferecer compatibilidade com o provisionamento just-in-time nos apps em que o Cloud Identity não tem conectores de provisionamento automatizados no momento.

Desvantagens

  • Não oferece suporte ao desprovisionamento de usuários, que requer intervenção manual na remoção de licenças de apps para usuários que deixam a empresa.
  • Nem todos os aplicativos em nuvem de terceiros aceitam o provisionamento JIT.
  • Em comparação com os conectores de provisionamento automatizados consistentes do Cloud Identity, os conectores de terceiros podem variar no modo como funcionam e no que está incluído nos relatórios e registros deles.

Recomendações

Quando um app é compatível com o provisionamento automatizado no catálogo do SAML do Cloud Identity, recomendamos que você use o conector de provisionamento automático do Cloud Identity.

Se o conector de provisionamento automatizado que você precisa não estiver no catálogo, converse com o provedor de serviços para desenvolvê-lo. Se o provedor de serviços aceitar o JIT, essa também será uma opção. No entanto, ele geralmente lida apenas com a criação do perfil do usuário e não aborda a atualização, a suspensão nem a exclusão do perfil.

Provedores de identidade de terceiros

Se você tiver um provedor de identidade (IdP, na sigla em inglês) de terceiros, ainda poderá configurar o provisionamento automatizado de usuários para apps de terceiros no catálogo do Cloud Identity. Nesse caso, a autenticação do usuário ocorre no provedor de identidade de terceiros e o Cloud Identity gerencia os apps de nuvem.

Para usar o Cloud Identity no provisionamento automatizado, os usuários precisam de contas do Cloud Identity. Eles fazem login pelo provedor de identidade de terceiros ou usam uma senha nas contas do Cloud Identity.

Exemplo

A empresa A usa o Cloud Identity como provedor de identidade principal. Ela também usa produtos de Software as a Service (SaaS) para gerenciamento de recursos de clientes (CRM, na sigla em inglês), envio de mensagens e gerenciamento de tíquetes de clientes. Eles querem automatizar o provisionamento e o desprovisionamento de usuários nesses apps de nuvem com o Cloud Identity como a única fonte de verdade (IdP, na sigla em inglês).

No primeiro dia na Empresa A, todos os funcionários de suporte recebem automaticamente uma licença para o app de gerenciamento de tíquetes do cliente, e todos os vendedores recebem uma licença para o app de CRM. Todos recebem o app de mensagens.

O departamento de TI da Empresa A quer garantir que apenas o grupo correto de pessoas na organização do cliente possa acessar determinados aplicativos de terceiros. Isso envolve a sincronização de perfis de usuários do Cloud Identity em todos os aplicativos de terceiros vinculados atribuídos a usuários específicos.

Quando um usuário perde acesso a um app (ele deixa a empresa e não precisa mais do app), o perfil dele é removido dos aplicativos de terceiros vinculados relevantes para que as licenças não sejam bloqueadas.

A TI configura os aplicativos na nuvem para provisionamento automatizado:

  • Faça uma lista dos apps em nuvem que os funcionários estão usando.
  • Localize esses aplicativos nos catálogos do SAML do Cloud Identity e de provisionamento automatizado de usuários.
  • Configure o logon único e ative-o para esses apps, um por um, caso o logon único ainda não esteja configurado.
  • Configure o provisionamento automatizado de usuários para os aplicativos.

Fluxo de provisionamento automatizado

A Empresa A contrata Maria. Antes do primeiro dia de trabalho, um administrador a adiciona ao Cloud Identity criando uma conta para ela. O administrador também adiciona Maria a uma organização. Maria poderá acessar os apps de nuvem atribuídos a essa organização.

O Cloud Identity replica a identidade de Maria para todos esses aplicativos em nuvem.

Faça login nos aplicativos na nuvem por meio do SSO.

No primeiro dia de trabalho, Maria faz login no Cloud Identity. Por meio do logon único, ela pode acessar os apps de nuvem que precisa com as credenciais do Cloud Identity.

Faça login nos aplicativos na nuvem por meio do SSO.