Olhando para identidade como novo perímetro, Gartner definiu algumas funcionalidades básicas para ser considerado uma solução de AM (Access Management).
Serviços de diretório: deve fornecer, no mínimo, um diretório ou repositório de identidade para usuários internos e externos, incluindo serviços de sincronização de identidade e suporte SCIM de saída.
Administração de acesso interno: recursos básicos de gerenciamento do ciclo de vida com sincronização AD, recursos de provisionamento SCIM (saída) e uma barra de inicialização de aplicativos ou galeria de aplicativos para logon único.
Administração de acesso externo: inclua formas de convidar e registrar usuários externos e forneça interfaces para gerenciar permissões de administração delegada, bem como fluxos básicos baseados em consentimento. O consentimento do usuário deve existir em um nível de atributo antes de importar dados para um diretório de ferramentas AM. Os produtos ou soluções devem fornecer integração BYOI para usar identidades públicas, como mídia social pelo menos, para federação de identidade e controle de acesso. A funcionalidade principal também inclui o uso de inscrição e login, vinculando identidades de mídia social às identidades de usuário estabelecidas dos clientes AM e definindo a política de acesso com base no uso de identidades de mídia social.
Ferramentas para desenvolvedores: oferecem suporte a protocolos de identidade modernos (OpenID Connect, OAuth 2.0, SCIM) e interfaces (APIs, SDKs) acessíveis externamente aos desenvolvedores para criar fluxos de autenticação, autorização e gerenciamento de usuários.
Autorização e acesso adaptável: inclua recursos para implementar decisões de autorização e imposição, criar políticas e fornecer fontes de dados armazenados e contextuais usados para avaliar riscos e processar dinamicamente decisões de acesso. Forneça suporte nativo para protocolos de autorização modernos, como OAuth 2.0.
Logon único (SSO) e gerenciamento de sessão: o gerenciamento de sessão deve incluir recursos e granularidade, de acordo com os quais a ferramenta AM pode controlar o estado da sessão para interações do usuário com aplicativos. A ferramenta AM também deve ser capaz de controlar a capacidade de gerenciar tempos de sessão, emitindo e atualizando tokens de acesso limitado por tempo (ou cookies) e a capacidade de encerrar sessões. Ele deve fornecer, no mínimo, uma configuração global para gerenciamento de sessão e logoff único.
Autenticação do usuário: deve oferecer suporte a SAML e OIDC e fornecer diferentes métodos de autenticação do usuário, incluindo MFA e SSO. Os requisitos mínimos de MFA devem incluir SMS, aplicativos de senha única (OTP), push móvel e suporte para tokens de hardware OTP. A solução também deve fornecer suporte para pelo menos dois dos seguintes métodos:
■ X.509
■ Tokens de hardware e software FIDO
■ biometria nativa do dispositivo e de terceiros
■ autenticação sem senha
■ autenticação contínua
Controle de acesso à API: deve oferecer um servidor de autorização OAuth 2.0, que oferece suporte e implementa o consentimento, lida com mapeamentos de escopo para reivindicação e pode emitir tokens da web JSON personalizáveis e independentes para servidores da web, aplicativos móveis, aplicativos da web modernos e serviços usados para acessar a API alvos.
Ativação de aplicativos padrão e não padrão: inclua recursos para permitir o acesso,
autenticação e SSO para aplicativos modernos e aplicativos legados que não oferecem suporte a protocolos de identidade modernos, usando tecnologias como serviços de proxy, agentes ou outros mecanismos.
Análise e relatórios: inclua no mínimo informações descritivas e históricas sobre todos os eventos de administração e acesso. Os produtos ou soluções devem oferecer relatórios e APIs para exportar dados de eventos para análise por análises externas e ferramentas de gerenciamento de eventos e informações de segurança (SIEM) ou consumo pelo próprio mecanismo de risco adaptativo da solução.
https://www.gartner.com/doc/reprints?id=1-2BLJ6NVM&ct=221104&st=sb