Hoje, toda empresa é uma empresa de software, e a inovação é uma prioridade para todos. Além de sua funcionalidade de negócios principal, os aplicativos de software modernos devem incluir recursos que todos esperam como padrão, como colaboração, compartilhamento e equipes.
No entanto, quando os recursos de desenvolvimento são limitados, a última coisa que você quer é sobrecarregar sua equipe com novos requisitos de autorização para suportar as necessidades explosivas de padrões que seu aplicativo deve suportar, incluindo segurança, governança e conformidade.
À medida que os aplicativos SaaS se tornam cada vez mais sofisticados, colaborativos e ricos em recursos, a autorização pode se tornar uma verdadeira dor de cabeça, consumindo o tempo dos desenvolvedores para construir repetidamente várias camadas de permissões no código do aplicativo.
Qual é o problema?
Frequentemente, as abordagens de autorização não conseguem atender aos requisitos complexos das soluções SaaS altamente colaborativas de hoje. Conceder aos seus usuários acesso aos ativos de aplicação costumava ser bastante simples.
As permissões eram frequentemente concedidas com base em funções predefinidas — se um funcionário está na equipe de recursos humanos, ele obtém acesso aos recursos de integração. No entanto, à medida que as soluções SaaS adicionam mais recursos de colaboração e incluem uma gama mais ampla de usuários — de funcionários e parceiros a clientes e contratados — o controle de acesso baseado em função (RBAC) não é mais suficiente.
Autorização descentralizada = Melhor conformidade, auditoria e lacunas de segurança
O RBAC e outros métodos tradicionais de proteger e gerenciar o acesso a documentos, arquivos e outros tipos de ativos normalmente dependem de codificação no aplicativo ou soluções pontuais legadas. No entanto, espalhar a lógica de autorização por vários aplicativos pode aumentar rapidamente as vulnerabilidades de conformidade, auditoria e segurança.
Mais pontos de acesso resultam em mais riscos, do ponto de vista de segurança, auditoria e conformidade. Mas os riscos aumentam em setores altamente regulamentados, como serviços financeiros e assistência médica.
A autorização granular é mais segura, precisa e escalável
Em um ambiente SaaS moderno, as organizações podem precisar conceder acesso a projetos, ativos e recursos de acordo com uma gama mais granular de parâmetros e a usuários internos e externos de uma organização. Pense, por exemplo, em um aplicativo de prontuário médico que precisa ser acessado tanto por profissionais de saúde quanto por pacientes, com diferentes níveis de visibilidade de informações permitidos.
Autorização granular (FGA) oferece mais opções para conceder permissões precisamente definidas para projetos, registros, arquivos e muito mais. Quando você centraliza essa abordagem (em vez de incorporá-la no código do aplicativo), isso pode facilitar muito a vida de seus desenvolvedores. Eles podem escalar mais facilmente para atender a solicitações de autorização novas e em constante mudança, mantendo níveis mais fortes de segurança e conformidade.
Cinco perguntas para se fazer sobre o FGA
Ainda não tem certeza se sua organização precisa de uma solução para FGA? Aqui estão cinco perguntas importantes a serem feitas:
- Você está adicionando ou aprimorando recursos de colaboração em sua solução? Se sua solução ajuda as pessoas a trabalharem juntas em um projeto com mais eficiência, acessar recursos como serviços bancários móveis ou registros médicos ou interagir em tempo real, mais recursos para colaboração e compartilhamento levam a requisitos de autorização mais complexos.
- Você tem requisitos pesados de auditoria e conformidade e/ou vende para empresas com requisitos pesados de auditoria/conformidade?
Muitos dos aplicativos SaaS de hoje também devem suportar regras de conformidade e auditoria, especialmente em finanças, saúde e serviços jurídicos. A lógica de autorização descentralizada é difícil de auditar e pode levar a riscos de segurança e conformidade. - Você precisa de um controle de autorização mais granular e flexível do que o RBAC fornece?
Quando você precisa conceder acesso a aplicativos com base em uma combinação de parâmetros em vez de um, o RBAC pode ser limitante. Talvez seu aplicativo seja usado por colaboradores internos e externos que precisam de diferentes níveis de acesso, ou você tem situações em que um usuário pode precisar entrar em um aplicativo por um tempo limitado (para solucionar um ticket de suporte, por exemplo). - É difícil obter visibilidade de quem pode acessar o quê?
Idealmente, você deseja gerenciar e implementar centralmente o controle de acesso e as permissões em todo o cenário SaaS. - Seus desenvolvedores estão gastando muito tempo no geral com autorização? Criar recursos de autorização e ativar e desativar permissões no nível do código é demorado e pode aumentar os riscos de segurança. Esse é um tempo que poderia ser gasto em inovação de produtos.
Se você respondeu “sim” a alguma das perguntas acima, é hora de evoluir sua estratégia de controle de acesso. A Okta tem um guia que pode ajudar você a entrar no caminho para uma autorização mais escalável, flexível, compatível e segura. Leia nosso whitepaper sobre Okta Fine Grained Authorization para saber mais.
