Identity and Access Manager

O Kerberos é um protocolo de rede para autenticação.
Expondo de uma forma simples, o Kerberos permite que a autenticação feita com sucesso na máquina cliente seja reutilizada para aceder a um Recurso protegido, por exemplo, a um Serviço.
O IAM implementa o Kerberos, isto significa que: os Serviços que integram com o IAM e nele delegam a autenticação dos seus Utilizadores, podem selecionar o Kerberos como um tipo de autenticação confiável para autenticação dos seus Utilizadores.

Por vezes, ao aceder a um Recurso protegido irá ser-lhe apresentada uma prompt do navegador web que utiliza, solicitando Nome de utilizador e Palavra-passe.
Neste cenário, não está disponível a autenticação por Kerberos ou o seu navegador web não está corretamente configurado para o permitir. Esta prompt só deverá aparecer em computadores que façam parte de um domínio.
Para chegar ao Portal de Autenticação do IAM, cancele a prompt.
A imagem seguinte mostra um exemplo de prompt.

As credenciais corretas a utilizar vão depender do Procedimento de Autenticação que o Serviço indicou ao IAM para utilizar na autenticação dos seus Utilizadores.
O Procedimento de Autenticação define uma forma de validar a identidade de um Utilizador num determinado domínio. Por forma, leia-se credenciais necessárias e Fontes onde são validadas. Por exemplo: a identidade pode ser validada através das credenciais: Nome de utilizador e Palavra-passe num diretório corporativo de Utilizadores. Outro exemplo: validação da identidade através das credenciais: Email e Palavra-passe numa rede social.
O Portal de Autenticação que lhe é mostrado já teve em consideração o Serviço que solicita a autenticação e portanto o procedimento a usar.
A experiência diz-nos que o Procedimento de Autenticação mais utilizado baseia-se na validação de um factor de autenticação numa Fonte. Assim o portal irá solicitar-lhe o valor de um identificador seu (por exemplo: Nome de utilizador) e de um factor que conhece (por exemplo: Palavra-passe).
Em alguns casos o Serviço confia em várias Fontes para validar as credenciais. Nesse caso, deverá estar atento e indicar as credenciais correspondentes à Fonte selecionada.
Se desconhecer as suas credenciais nessa Fonte poderá sempre mudar de Fonte, se outras estiverem disponíveis. Use o link “utilizar outra conta” e/ou altere a Fonte de autenticação, no formulário de login, no Portal de Autenticação.
Se não conhecer quaisquer credenciais, entre em contato com o administrador ou com o responsável por gerir Utilizadores e acessos do serviço que precisa de aceder.
Caso apenas não se recorde da sua Palavra-passe, use o link “Esqueceu-se da palavra-passe?” disponível no formulário de login, no Portal de Autenticação.

O IAM permite que os Serviços configurem os Procedimentos de Autenticação que devem ser utilizados pelo IAM na autenticação dos Utilizadores.
O Procedimento de Autenticação define uma forma de validar a identidade de um Utilizador num determinado domínio. Por forma, leia-se credenciais necessárias e Fontes onde são validadas. Por exemplo: a identidade pode ser validada através das credenciais: Nome de utilizador e Palavra-passe num diretório corporativo de Utilizadores. Outro exemplo: validação da identidade através das credenciais: Email e Palavra-passe numa rede social.
Em alguns casos o Serviço confia em várias Fontes para validar as credenciais. Nesse caso, deverá estar atento e indicar as credenciais correspondentes à Fonte selecionada.
Se desconhecer as suas credenciais nessa Fonte poderá sempre mudar de Fonte, se outras estiverem disponíveis. Use o link “utilizar outra conta” e/ou altere a Fonte de autenticação, no formulário de login, no Portal de Autenticação.
Ao indicar uma Fonte de Autenticação, está a indicar o domínio onde pretende que as suas credenciais sejam validadas.

O IAM permite que os Serviços configurem os Procedimentos de Autenticação que devem ser utilizados pelo IAM na autenticação dos Utilizadores.
O Procedimento de Autenticação define uma forma de validar a identidade de um Utilizador num determinado domínio. Por forma, leia-se credenciais necessárias e Fontes onde são validadas.
Um Procedimento de Autenticação pode ser multi-fator, isto significa que o IAM irá solicitar-lhe fatores de diferentes (algo que conhece, algo que possui, algo que é) tipos para validar a sua identidade. Exemplos são:

• Nome de utilizador e Palavra-passe num diretório corporativo de Utilizadores mais RFID de um cartão;
• Email e Palavra-passe numa rede social mais token recebido no telemóvel;
• Id de cliente e pin num diretório privado mais impressão digital.

Para conseguir aceder a um Recurso protegido, além da correta validação da sua identidade, precisará ter permissões sobre o Recurso.
Se após submeter as suas credenciais foi redirecionado para uma página de erro onde está a mensagem: “User not allowed to access the service provider”, faltam-lhe Permissões de acesso.
Deve contatar o administrador ou o responsável por gerir Utilizadores e acessos do serviço que precisa de aceder.

Valide que as credenciais indicadas dizem respeito à Fonte de Autenticação selecionada.

O erro de autenticação pode dever-se ao estado da sua Conta de Utilizador ou do seu Utilizador. Podem estar inativos ou expirados. Nestas condições deve contatar o administrador ou o responsável por gerir Utilizadores e acessos do serviço que precisa de aceder.

Serviços que deleguem a autenticação dos seus Utilizadores no IAM seguindo o protocolo SAML 2.0 usufruem de single sign on - SSOn.
Sign sign on é uma funcionalidade que permite que o Utilizador se autentica uma única vez e que essa validação de identidade é reutilizada pelos demais Serviços. Assim, o Utilizador autentica-se uma única vez para aceder a vários Serviços.
O único pré-requisito que existe é que os Serviços tenham em comum o Procedimento de Autenticação que foi utilizado na validação da identidade do Utilizador.
Se o Utilizador tentar aceder a um Serviço que requer um Procedimento diferente do já validado, é solicitada a correspondente autenticação do Utilizador. A partir desse momento, o Utilizador passa a ser capaz de fazer SSOn em Serviços que peçam um dos dois Procedimentos validados.

Veja a resposta à questão anterior: "Porque consigo entrar em alguns Serviços sem passar pelo login?"

O IAM permite que os Serviços configurem os Procedimentos de Autenticação que devem ser utilizados pelo IAM na autenticação dos Utilizadores.
Diferentes Serviços podem e é possível que configurem diferentes Procedimentos de Autenticação.
O Procedimento de Autenticação define uma forma de validar a identidade de um Utilizador num determinado domínio. Pode ser um procedimento apenas com um fator ou usando vários fatores.
Desta forma, diferentes credenciais podem ser-lhe solicitadas consoante o Serviço onde está a tentar aceder.

Quando se autenticou com sucesso, uma Sessão de Utilizador foi criada no IAM. Esta Sessão vive até acontecer uma de duas situações: você solicita o seu fecho (logout) ou ela expira (por exemplo, porque atingiu o tempo máximo permitido para uma Sessão).
Se não for feito o logout existe o risco que alguém usar a sua Sessão ainda ativa e agir por si. Também pode haver um número máximo de Sessões ativas de Utilizador definido e assim estará a manter uma aberta sem necessidade.

Quando o IAM o autentica, concede-lhe um token com um determinado tempo de vida. Atingido esse tempo, o IAM irá invalidar o token. No entanto, nas aplicações onde está a sua Sessão poderá continuar ativa. Apenas quando a aplicação fizer um pedido ao IAM será informada que o token já não é válido.
Neste momento cabe à aplicação invalidar a Sessão de Utilizador, é uma responsabilidade da aplicação e não do IAM.

O IAM permite que cada Serviço indique o tipo de logout pretendido.
O tipo de logout determina se é feito o Logout em todos os Serviços onde está ou não. Veja mais detalhe abaixo.
Estão disponíveis três tipos:

• Single Logout – ao solicitar logout num Serviço, o IAM irá solicitar que os demais Serviços que estavam em Single Sign On – SSOn também terminem as suas sessões. Ou seja, ao sair de um determinado Serviço, está a sair de todos. A sua sessão SSOn é encerrada o que significa para aceder novamente a um Serviço será preciso Autenticação.
• Only Service Logout – neste caso o logout é individual, isto é, só será encerrada a sessão do Serviço a partir de onde foi feito o pedido de logout. Outros serviços em SSOn continuarão ativos. Uma vez que, a sua sessão SSOn continua ativa, irá conseguir entrar em Serviços (desde que cumpram os requisitos para SSOn);
• Service Logout and single logout if it is only Service Session – este caso é igual ao anterior com excepção do seguinte, a SSOn é encerrada e portanto necessitará Autenticação para aceder a Serviços.

O IAM permite que cada Serviço indique o tipo de logout pretendido. Quando um Serviço define Single Logout como o tipo de logout desejado, ao solicitar logout neste Serviço, o IAM irá solicitar que os demais Serviços que estavam em Single Sign On – SSOn também terminem as suas sessões. Ou seja, ao sair de um determinado Serviço, está a sair de todos. A sua sessão SSOn é encerrada o que significa para aceder novamente a um Serviço será preciso Autenticação.

Se solicitou logout num Serviço e foi-lhe apresentada uma página com o estado dos logouts em vários Serviços é porque:

• Estava em Single Sign On – SSOn em vários Serviços;
• O Serviço onde está tem configurado Single Logout.

Nesta situação o processo de logout do Serviço onde fez o pedido compreende que o IAM solicite o logout aos demais Serviços que estavam em SSOn. Caso o IAM não receba uma resposta de logout feito com sucesso, irá solicitar que faça logout manualmente no Serviço.Veja porque é importante seguir esta recomendação e fazer o logout.

Pode utilizar o link “Esqueceu-se da palavra-passe?” disponível no formulário de login, no Portal de Autenticação para recuperar a sua Palavra-Passe.
Nesta versão do IAM, o procedimento disponível implica o contato com o administrador do sistema que lhe irá fornecer um token. Deverá utilizar este token para definir uma nova palavra-passe. O token tem um tempo de validade pelo que deve ser utilizado no imediato após ser obtido.
Se definida uma Política de Palavra-Passe ela deverá ser respeitada. Pode consultar no Portal de SelfService, na área Minha conta.
Em contas corporativas, isto é, contas geridas num diretório de utilizadores externo ao IAM, o IAM poderá não ter capacidade de alterar a Palavra-Passe. Nesse caso irá obter uma mensagem de erro.

No IAM poderá recorrer ao Portal de SelfService para alterar a sua Palavra-Passe. Esta operação está disponível na área Minha conta. Alterar a Palavra-Passe implica que conheça a Palavra-Passe atual.
Em contas corporativas, isto é, contas geridas num diretório de utilizadores externo ao IAM, o IAM poderá não ter capacidade de alterar a Palavra-Passe. Nesse caso irá obter uma mensagem de erro.
Se definida uma Política de Palavra-Passe ela deverá ser respeitada. Pode consultar no Portal de SelfService, na área Minha conta.
Caso tenha esquecido a sua Palavra-Passe atual deverá usar outro procedimento: o link “Esqueceu-se da palavra-passe?” disponível no formulário de login, no Portal de Autenticação.

Em algumas circunstâncias a sua conta de utilizador poderá ficar assinalada com a necessidade de alterar a Palavra-Passe no próximo login. Assim, ser-lhe-á mostrado um formulário solicitando a alteração da sua Palavra-Passe.
Se definida uma Política de Palavra-Passe ela deverá ser respeitada. Pode consultar no Portal de SelfService, na área Minha conta.

Se definida uma Política de Palavra-Passe ela poderá especificar o número de dias ao fim do qual as Palavras-Passe expiram e quantos dias antes será avisado. Essa notificação ser-lhe-á mostrada após o login, no Portal de Autenticação.A Política de Palavra-Passe pode ser consultada no Portal de SelfService, na área Minha conta.

O IAM permite que sejam definidas Políticas de Palavra-Passe que ditam regras de composição que as Palavras-Passe devem seguir. Exemplos são: número mínimo de caracteres especiais e número mínimo de dígitos.
A definição de uma Política com um certo grau de complexidade garante Palavras-Passe seguras.
A Política pode ser consultada no Portal de SelfService, na área Minha conta.

Os certificados são um prova de identidade. Quando vê o cadeado SSL na barra de endereços do navegador ou na parte inferior do navegador, isso significa que uma ligação segura entre o navegador e o site foi estabelecida. No entanto, para garantir a identidade do site, o certificado deve ser válido.
Este aviso aparece quando o site está usando um certificado SSL inválido. Os motivos mais comuns são um certificado desatualizado e um certificado assinado por uma entidade desconhecida.