Garantindo segurança na liberação de acessos com os Pacotes de Acesso do Entra ID

Garantindo segurança na liberação de acessos com os Pacotes de Acesso do Entra ID

Visando facilitar a gestão de concessão de acesso, o Entra ID fornece a capacidade de “Pacotes de Acesso”, que habilita a atribuição de acesso à aplicações e grupos para diversos destinatários. Procurando entender como esse recurso pode agregar à segurança da sua empresa, vamos explorá-lo hoje!


Qual problema resolve?

Com o crescimento das empresas em suas áreas, a necessidade da contratação de novos empregados é certa. Com o alto fluxo de pessoas novas chegando nas empresas, os times de gestão de acesso e segurança serão sobrecarregados com as responsabilidades de criar os usuários e de atribuírem a eles os acessos “básicos” necessários para começar sua jornada na empresa.

Esse cenário se aplica não apenas à funcionários da empresa, mas também à terceirizados (prestadores de serviço) que são contratados, visto que também acessarão os recursos da companhia.

Com esse recurso do Entra ID, nós podemos criar pacotes que contenham os acessos aos recursos necessários em diferentes níveis e granularidades, como mostra a imagem abaixo:

Na imagem podemos ter uma ideia da granularidade alcançável com o uso dos Pacotes de Acesso. Podemos criar pacotes que contenham os recursos de uma equipe, de um departamento, recursos “básicos” para qualquer um na empresa (como acesso ao portal do RH, acesso ao Office 365, entre outros) entre outras possibilidades. Você poderá utilizar esse recurso de uma maneira que ele se aplique da maneira correta ao contexto da sua empresa.


Como começar?

A primeira etapa consiste da criação de um Catálogo de recursos, que nos permitirá organizar quais são os Aplicativos, Grupos e Sites do Sharepoint que o usuário que receber o pacote terá acesso.

Criando o catálogo de recursos

Para essa tarefa, podemos acessar o recurso “Catalog” dentro do Identity Governance em Entitlement Management. Você pode criar um catálogo antes de começar a configurar seu pacote de acessos, que é o nosso caso, porém também é possível realizar a criação do catálogo durante a criação do pacote de acessos.

Ao entrarmos na criação do catálogo você será apresentado com o seguinte formulário:

A criação é simples, basta inserir um nome e uma descrição para o catálogo.

É importante se atentar à opção “Enabled for External Users”. Caso você queira que terceirizados que não tenham e-mail com o domínio da sua empresa possam ter acesso ao catálogo, é importante que você mantenha essa opção habilitada.

Após finalizar a criação do catálogo você poderá atribuir recursos a ele. Ao acessar o catálogo criado, navegue até a aba “Resources” e selecione “Add Resources”. Aqui você poderá adicionar os recursos que farão parte do seu pacote de acesso. Procure definir bem os limites dos pacotes de acesso, garantindo que um determinado pacote forneça acesso apenas ao que diz respeito a ele e que não tenha mais coisas do que o necessário.

Recursos adicionados? Podemos partir para a criação do pacote de acesso!

Criando o Pacote de Acesso

Partindo para a configuração do nosso pacote, iremos configurá-lo desde o início. As etapas de configuração são as seguintes:

Apenas as abas Basics, Requests e Lifecycle são obrigatórias, como você pode notar o asterisco vermelho à esquerda do título. Mesmo as outras opções não sendo obrigatórias, passaremos por elas pois temos configurações importantes e que nos possibilitam aumentar ainda mais a cobertura dos pacotes de acesso.

Basics

As primeiras configurações são as mais simples. Nessa aba nós escolheremos o nome do nosso Pacote de Acesso, uma descrição para ele e também selecionaremos um dos catálogos disponíveis em nosso tenant. Para esse exemplo, você pode utilizar o catálogo que criou anteriormente e que talvez já contenha alguns recursos, porém caso não tenha realizado a criação de um novo catálogo, existe um padrão que está disponível em todos os tenants, chamado “General”.

Terminando o preenchimento dos campos o seu formulário deve estar parecido com esse, só que com as informações preenchidas por você:

Resource roles

Apesar de não ser uma aba de preenchimento obrigatória, aqui iremos configurar quais recursos do catálogo selecionado deverão ser aplicados aos destinatários.

No meu catálogo eu inseri alguns grupos e algumas aplicações existentes em meu tenant. Como pode ser visto na imagem acima, o grupo “Departamento de Segurança” e a aplicação “Portal Intranet” foram selecionadas para fazerem parte do pacote de acesso.

Nos grupos é possível selecionarmos qual papel o usuário assumirá dentro dele, se é um papel de Membro (Member) ou de Dono (Owner) do grupo.

Requests

Passando para a segunda aba obrigatória, essa em si é uma extremamente importante.

Os pacotes de acesso não são restritos à atribuição por um administrador, nós podemos também configurá-los para permitir que os usuários solicitem acesso ao pacote por conta própria. Isso pode ser muito útil para os times de gestão de identidade, que não precisarão ficar atribuindo os pacotes e poderão apenas aprovar ou rejeitar a solicitação do usuário.

A primeira seção nos permite definir quem poderá solicitar acesso ao pacote. Temos as seguintes opções:

  • Usuários em seu diretório;

  • Usuários que NÃO estão em seu diretório;

  • Ninguém — a atribuição deverá ser feita diretamente por um administrador.

Caso você selecione a primeira opção, poderá escolher entre algumas opções para controlar a solicitação de acesso. Você poderá escolher:

  • Usuários e grupos específicos;

  • Todos os usuários (excluindo os externos/guests);

  • Todos os usuários (incluindo externos/guests);

Podemos também configurar uma aprovação necessária para permitir o acesso, podendo escolher até 3 níveis de aprovação, o gerente direto do funcionário como aprovador, validade da requisição e também aprovadores para fallback, garantindo que caso o aprovador primário não esteja disponível, a requisição possa ser atendida por outra pessoa.

Arquitetura de funcionamento da solicitação de acesso aos pacotes por parte do usuário

A segunda opção habilita a atribuição do acesso à tenants conectados ao tenant da sua empresa. Você poderá escolher tenants específicos, todos os tenants que estão configurados ou até permitir que todos os tenants conectados e todos os usuários novos solicitem acesso (maior cobertura). Essa opção permite por exemplo que uma empresa controle os acessos aos outros tenants de uma mesma holding (grupo de empresas sob o mesmo conselho executivo).

A terceira e última opção é a “mais tradicional”, que exige que os pacotes de acesso sejam atribuídos diretamente por um usuário administrador. Essa opção permite o maior controle sobre quem terá os acessos mas também gera muita carga operacional em cima dos times de gestão de acesso.

Essa opção deve ser utilizada com cuidado por conta da capacidade de “engessamento” dos processos. O uso indevido dessa propriedade causará lentidão na execução das solicitações, sobrecarga de trabalho aos times de gestão de acesso e também poderá gerar impactos nas atividades exercidas pelos funcionários que necessitam do acesso.

Na seção “Enable” podemos configurar se a política configurada deve estar ativa, permitindo que solicitações de acesso sejam registradas ou inativa, não aceitando novas solicitações até sua ativação.

Requestor information

Nesta seção nós podemos criar perguntas que serão mostradas ao usuário no momento em que o mesmo estiver solicitando seu acesso ao pacote.

As perguntas podem ser marcadas como obrigatórias e podem ser do tipo:

  • Texto curto;

  • Múltipla escolha;

  • Texto longo.

Ao acessar o portal do My Access e selecionarem o pacote que desejam ter acesso, os mesmos deverão responder as perguntas obrigatórias para que possam finalizar a requisição.

Exemplo de pergunta

Lifecycle

Na última aba obrigatória, vamos configurar as propriedades de validade das atribuições dos pacotes de acesso.

Neste ponto podemos configurar para que a atribuição:

  • Dure até determinada data;

  • Dure certa quantidade de DIAS;

  • Dure certa quantidade de HORAS;

  • Nunca expire.

Podemos além de definir de maneira estática a duração da atribuição, permitir que o usuário que está solicitando o acesso insira a duração desejada.

O uso das Revisões de Acesso também se faz possível nessa seção. Aqui podemos configurar as revisões de acesso que deverão ser executadas em cima desse pacote, garantindo a retirada de qualquer usuário que não necessite mais do acesso.

A opção “Users can request specific timeline” é onde podemos permitir ou negar que o usuário insira sua própria data de expiração do acesso. Da mesma forma que esse recurso é útil, ele se torna um vetor de ataque quando não temos uma política de revisão de acesso configurada, pois não conseguiremos controlar quando aquele usuário terá seu acesso encerrado.

Custom extensions

Visando a automação dos processos, nessa seção nós podemos selecionar alguns fluxos do Azure Logic Apps para que sejam executados quando um evento acontecer.

Os eventos disponíveis são os seguintes:

Você poderá atribuir um fluxo do Logic Apps para cada um dos eventos demonstrados acima.

Review + create

Após todas as configurações, chegou a hora de revisar seu trabalho e confirmar a criação do seu recurso!


E agora?

Caso você tenha configurado o pacote para permitir que os usuários solicitassem acesso, basta seu usuário navegar até My Access e solicitar o acesso ao recurso.

Agora, caso você tenha configurado para que um administrador realizasse a atribuição do pacote aos usuários, será necessário que esse administrador acesse o Portal do Entra e que realize a atribuição do pacote ao usuário desejado. Ao navegar até a página do Pacote de Acesso criado você verá que o primeiro campo de preenchimento para a atribuição é a seleção de uma policy.

Essa policy unifica os mecanismos de governança do pacote e é constituida das informações que foram inseridas durante a criação do pacote. O que você configurou em “Requests”, “Requestor information”, “Lifecycle” e “Custom extensions” é representado de maneira unificada por uma policy. Você pode criar policies diferentes para as diferentes necessidades de governança que você tem.

É importante que a policy esteja ativa, caso contrário ela não entrará em efetividade e seus controles não serão aplicados!


Os pacotes de acesso fornecem muito mais do que apenas organização nas liberações, eles reforçam a segurança e garantem o compliance da empresa.

Espero que tenha gostado do conteúdo e que a partir de agora você consiga usufruir desse recurso tão poderoso.

Até logo!