Por que um diretório de dados centralizado é fundamental na gestão de acesso?

Serviços de Diretório (formalmente EDS - Electronic Directory Services) são serviços de rede que identificam todos os recursos, dispositivos, periféricos, computadores e outros tipos de equipamentos na rede, e tornam esses recursos acessíveis a usuários, sistemas e aplicativos. Este termo aparece pela primeira vez em meados da década de 80, na recomendação da ITU-T X.500.

Originalmente, o EDS continha uma série de serviços complexos que podiam ser requeridos por meio do Protocolo DAP (Directory Access Protocol), que era igualmente um protocolo pesado. Visando facilitar a utilização de um EDS, foi desenvolvido um conjunto de Serviços de Diretórios simplificados que oferecia um protocolo de acesso igualmente mais leve que se denominou LDAP (Lightweight Directory Access Protocol). Esse protocolo mais leve e mais simples foi largamente aceito, tornando-se um caso raro de um padrão de facto que é largamente utilizado na indústria da computação, inclusive pela Microsoft, por meio do Active Directory (AD), e a Apple por meio do Apple Open Directory. Existe uma versão largamente utilizada com base em software livre denominado de Open LDAP.

Como em um dicionário, onde uma palavra pode possuir vários significados, Serviços de Diretório podem associar um Nome a várias partes de informações diferentes, dependendo do serviço utilizado, ou seja, do mesmo modo, como uma palavra pode ter diferentes articulações e diferentes definições, um nome em um diretório pode ter vários tipos de dados diferentes.

Em Serviços de Diretório, Entidades podem ser pessoas (usuários), programas, pastas e arquivos armazenados no sistema de arquivo, periféricos e uma gama enorme de recursos da corporação. Em Engenharia de Software, um diretório estabelece um mapeamento entre Nomes e Valores, permitindo a consulta de valores nomeados, semelhante a um dicionário, como foi mencionado anteriormente. Deste modo, há muitas resoluções que demandamos a aplicações e sistemas operacionais que são respondidas pelos Serviços de Diretório.

Por exemplo, existem muitas organizações que usam os Serviços de Diretório como o repositório de informações de acessos e, deste modo, ao fazer o login nessas aplicações, quem de fato autentica e autoriza esses acessos são os Serviços de Diretório. Nesse cenário, ao cadastrar um usuário no Diretório, ele passa automaticamente a poder fazer o login no sistema operacional e tem acesso à rede corporativa. Estes são dois exemplos muitos comuns nas organizações em todo o mundo.

A centralização lógica da gestão de informações de recursos computacionais em um EDS é muito interessante, pois permite uma visão geral do universo digital corporativo e, igualmente, permite controlar acessos a esses recursos em um único lugar. Por que centralização lógica? Este deve ser um requisito em qualquer sistema. Centralizar logicamente, mas não fisicamente. A resposta é simples: para não inserir na corporação um ponto único de falha (SPoF – Single Point of Failure). Deste modo, um serviço de diretório logicamente centralizado é escalável, ou seja, o tempo de resposta não varie em função do volume de acessos, e nem tampouco é um SPoF.

Serviços de Diretório armazenam, organizam e fornecem acessos a informações de Autenticação, Autorização e Controle de Acesso (AAA – Authentication, Authorization and Accounting) a entidades controladas pelo sistema operacional de computadores, sendo implementado em todos os sistemas operacionais atuais desde o Windows, Apple (todos as versões) e em todos os sabores de UNIX, incluindo todas as distribuições LINUX.

Autenticação é uma ação de garantir que uma entidade (uma pessoa por exemplo) é quem ela diz ser. Para isto, ela precisa se identificar e oferecer algo que ela saiba (uma senha), algo que ela tenha (um token) ou algo que ela seja (biometria). Isso são simples exemplos de fatores que uma entidade pode oferecer para garantir que ela é quem diz ser. Autorização é a função de especificar os direitos/privilégios de acesso a recursos, que estão relacionados à segurança da informação.

Deste modo, é fundamental que corporações despersonalizem a gestão de Serviços de Diretórios, diminuindo a possibilidade de cadastros não autorizados diretamente. Organizações podem ter centenas de colaboradores, dezenas de aplicações e uma enorme gama de recursos, que podem implicar em uma combinação explosiva de possibilidades, o que se torna humanamente inviável de manter. Gerência manual leva a casos de ataques e fraudes de colaboradores que continuam com seus cadastros ativos nos Serviços de Diretório mesmo após demissões.

Tem sido recomendado por diversas consultorias, tais como Gartner Group, que a manutenção de Serviços de Diretório faça parte da Gestão do Ciclo de Vida de Identidades corporativas, de forma automática, de tal modo que cadastros (e remoções) nos Serviços de Diretório somente ocorram como consequência da aplicação de Políticas Corporativas (contratação, segurança, governança, proteção de dados etc).