Como disse no "post anterior", o assunto Segurança em uma Arquitetura de Serviços deve ser tratada de modo amplo. Alguns aspectos muito importantes são aqueles tipicamente resolvidos por aquilo que o mercado qualifica como Gerenciamento de Identidade e Acesso (ou, em inglês, IAM - "Identity Access and Management").


Na verdade, aqui, aqui e aqui, eu já havia discutido temas relacionados a IAM e SOA. Os "posts" seguintes têm como objetivo descrever um pouco melhor a relação entre esses dois assuntos.


Desde o início, gostaria de salientar que ambos os projetos, SOA e IAM, deveriam ser conduzidos separadamente com um horizonte de sinergia entre ambos. Idealmente, o projeto SOA seria responsável pela implementação de serviços de negócio enquanto o projeto IAM ficaria com a oferta de serviços de segurança.


Resumindo:

  • Projetos IAM possuem vida própria e oferecem um conjunto de serviços de segurança a serem consumidos por quaiquer classes de sistemas, SOA ou não.
  • Projetos SOA também possuem vida própria e são mais um dos potenciais consumidores das funcionalidades implementadas pelo sistema IAM.



Dentro do espectro de IAM, um bom início é a arquitetura de referência definida pelo Burton Group. A imagem abaixo está em diversos documentos produzidos por ele, incluindo referências externas como esta palestra realizada em Outubro 2009.





Como se vê o espectro funcional é bastante amplo envolvendo diversos temas como:

  • Aprovisionamento de Usuários
  • Autenticação e Autorização de Usuários
  • Sincronismo, replicação e/ou virtualização de dados de Usuários
  • Auditoria dos processos realizados
  • Definição de Federação
As questões pertinentes têm se ampliado com outros temas como

  • Gerenciamento de Perfis de Usuários ("Enterprise Role Management")
  • "Compliance" de Identidades
  • Gerenciamento de Granularidade Fina dos Atributos de Usuários ("Entitlement Management")
Nos próximos "posts" abordarei com mais detalhes a implicação destes temas em um contexto de Arquitetura de Serviços.






Read More about [Segurança SOA - Arquitetura de Serviços e Gerenciamento de Identidade e Acesso...