O que é a autenticação baseada em declarações? - Security Center 5.9

Guia do Administrador do Security Center 5.9

series
Security Center 5.9
revised_modified
2020-01-20

A autenticação baseada em reivindicações é o processo de autenticação de um usuário com base em um conjunto de reivindicações sobre sua identidade contidas em um token confiável. Esse token é freqüentemente emitido e assinado por uma entidade que é capaz de autenticar o usuário por outros meios e que é confiável pela entidade que faz a autenticação baseada em reivindicações.

O que é uma reivindicação?

Uma declaração é uma afirmação que um sujeito faz sobre ele próprio ou outro sujeito. A afirmação pode ser sobre um nome, identidade, chave, grupo, privilégio ou capacidade, por exemplo. As declarações são emitidas por um provedor, recebem um ou mais valores e, em seguida, são empacotadas em tokens de segurança emitidos por um emitente, geralmente conhecido como serviço de token de segurança (STS).

Quais são os benefícios das reivindicações?

Reivindicações separam o processo de autenticação (verificar que uma entidade é o que declara ser) do processo de autorização (estabelecer os direitos que uma entidade tem sobre as características e recursos de um sistema). O benefício desta dissociação é que ela permite o logon único (o uso de uma autenticação de usuário única para vários sistemas de TI ou até mesmo organizações). Reivindicações também dão contexto à identidade do usuário, permitindo-o configurar políticas de acesso mais flexíveis.

No contexto do Security Center, o processo de autenticação é tratado por um STS personalizado ou um Serviços de Federação do Active Directory (ADFS) servidor, e o processo de autorização é tratado pelo próprio Security Center, através de partições e privilégios.

Quais métodos de autenticação de usuário o Security Center suporta?

Security Center oferece suporte aos seguintes métodos de autenticação do usuário:
Autenticação Security Center nativa
O usuário fornece um nome de usuário e uma senha para o aplicativo cliente para fazer o logon no Security Center.
Autenticação ativa no Directory
O usuário clica em Usar credenciais do Windows e faz o logon usando a sua conta de usuário do Windows (exige a integração do Active Directory configurada).
Autenticação ativa ADFS
(Protocolo WS-Trust) A aplicação cliente envia o nome de usuário e senha para um provedor de identidade confiável (servidor ADFS) para autenticação.
Autenticação passiva ADFS (ou autenticação com base na web)
(Protocolo WS-Federation) A aplicação cliente redireciona o usuário para um formulário da web gerenciado por um provedor de identidade confiável (servidor ADFS). O provedor de identidade pode solicitar diversas credenciais para autenticar o usuário sem passar pelo aplicativo cliente. Autenticação Multifator (MFA) pode ser implementado através desse método.
NOTA: Os usuários federados por meio do ADFS são criados no Security Center apenas no primeiro logon. Ao contrário do Active Directory, você não tem a opção de criar todos os usuários importados no Security Center quando a função ADFS conecta-se ao servidor ADFS.

Exigências

Para usar o ADFS para autenticação, as seguintes condições devem ser cumpridas:
  • A estação de trabalho cliente deve ser capaz de alcançar o servidor ADFS.
  • O certificado de criptografia HTTPS do serviço ADFS deve ser confiável pela estação de trabalho cliente.

Impacto sobre o desempenho

  • A escalabilidade do Directory não é afetada por esse recurso.
  • Os logons de usuário que usam credenciais do ADFS devem levar um pouco mais de tempo que logons regulares, porque exigem que as estações de trabalho clientes se conectem a um ou mais servidores ADFS remotos antes de se conectarem ao Directory.

Compatibilidade retroativa

A autenticação ativa ADFS é suportada para estações de trabalho clientes que executam uma versão mais antiga do Security Desk ou SDK, mas apenas se a senha for inserida pelo usuário.