Como profissionais de segurança, é interessante refletir sobre o que realmente nos mantém acordados à noite: dados de clientes, ambientes de produção e acesso ao código-fonte. Aqui vai uma pergunta: onde estão os sistemas de RH e Finanças na sua lista?
Todos concordamos que eles são importantes, naturalmente. Mas, especialmente para quem tem formação técnica, eles costumam ficar em segundo plano. Talvez seja porque os sistemas em nosso "campo de atuação" sejam aqueles em que entendemos melhor a complexidade — ou talvez porque esperamos que eles se comportem como apenas mais uma peça no portal de Single Sign-On (SSO), interagindo bem com nosso provedor de identidade.
Mas o Workday não é só mais um app. Na verdade, o modelo de segurança do Workday vai além de muitos dos limites que normalmente consideramos para apps de SaaS. Ele tem seu próprio modelo de segurança eficiente, complexo e muitas vezes invisível rodando nos bastidores — por um bom motivo — e pode ser configurado incorretamente de maneiras que seu IdP nunca verá.
E, sim, é um alvo muito valioso e também um alvo comum — como estamos observando na prática. Ele contém dados sensíveis de pessoas: PII, folha de pagamento, contas bancárias e todo o organograma. Relatórios do Estado de Nova Jersey, da Brown University e da Washington University demonstram uma tendência preocupante: os invasores estão aproveitando ativamente controles de identidade fracos para alterar informações de depósito direto. Isso permite que eles roubem os salários dos funcionários, fornecendo acesso fácil aos fundos.
Vamos examinar agora alguns dos desafios únicos na proteção do Workday e falar sobre como podemos resolvê-los de forma definitiva.
A lacuna no ciclo de vida: quando os usuários existem antes e depois do emprego
Para a maioria dos aplicativos de SaaS, o acesso geralmente está vinculado ao ciclo de vida do usuário dentro da empresa (Admissão-Movimentação-Desligamento). O Workday rompe com a maioria dessas premissas.
O ciclo de vida do usuário do Workday vai além da linha do tempo típica de contratação e desligamento. Ex-funcionários precisam acessar o sistema para recuperar documentos fiscais (como W-2s) e comprovantes de pagamento final. Funcionários pré-contratados frequentemente recebem acesso para concluir as tarefas de integração. Isso cria caminhos de acesso permanentes que ignoram o gerenciamento do ciclo de vida do IdP padrão. Por um motivo semelhante, o acesso a essas contas ocorre fora do SSO corporativo normal, utilizando uma combinação de nome de usuário e senha (com ou sem MFA).
Quando gerenciado adequadamente, isso não é um problema — e o Workday de fato oferece ferramentas especificamente para esse propósito, como o grupo de segurança Terminee as Self. No entanto, muitas premissas que se aplicam à maioria dos aplicativos de SaaS são quebradas, o que pode resultar em falhas graves se não for feita a configuração correta.
Por exemplo, no caso da maioria dos aplicativos de SaaS, quando o aplicativo é configurado para redirecionar para o provedor de identidade em tentativas de autenticação, não há mais como autenticar diretamente nele. No Workday, no entanto, pelas razões descritas acima, ainda é possível acessar a página de autenticação local, ignorando o SSO (por exemplo, wd5.myworkday.com/company/login.htmld?redirect=n). Se as credenciais forem mal administradas ou se esse caminho de login nativo não tiver o MFA aplicado dentro do Workday, isso pode criar uma porta dos fundos que nega a segurança do seu IdP primário. Um invasor com uma senha vazada é capaz de entrar diretamente.
Um labirinto de permissões
O modelo de permissão do Workday é extremamente granular e eficiente, baseado em funções e processos empresariais. Embora isso seja necessário para sua função, ele é projetado e gerenciado pelas equipes de RH e Finanças — muitas vezes sendo um ponto cego para as equipes de TI e segurança.
Quando você não tem visibilidade dessa estrutura de permissões crítica e não sabe quais são as funções privilegiadas e quem as detém, não tem a capacidade de raciocinar adequadamente sobre como protegê-las.
O problema é agravado pela existência de Usuários do Sistema de Integração (ISUs, na sigla em inglês — terminologia do Workday para contas de serviço). Essas contas criam desafios significativos:
- Quem pode criá-los — delegação frequentemente obscura dos direitos de criação de ISU.
- Quais privilégios eles detêm — permissões excessivas que se acumulam ao longo do tempo
- Quem detém as credenciais — acesso compartilhado ou não gerenciado às chaves da conta de serviço.
Isso pode levar a um problema generalizado de "administrador oculto". Um usuário que precisou de acesso especial para um projeto específico há três anos ainda pode ter esse benefício. Tais riscos podem persistir por anos, sem a capacidade de identificá-los ou corrigi-los, até que sejam expostos por uma violação.
Políticas de autenticação tão complexas quanto o IdP
Muitos apps de SaaS são configurados com uma política de autenticação simples: "submeter ao provedor de identidade". No entanto, o Workday contém um mecanismo de política de autenticação rico e complexo que pode impor as próprias regras sobre quem entra.
O Workday permite que decisões de acesso altamente contextuais sejam tomadas de forma nativa. Você pode criar regras com base na localização da rede, postura do dispositivo e funções do usuário, bem como permitir ou negar tipos e métodos de autenticação com base nelas.
Isso faz sentido em cenários como:
- Ciclos de vida de usuário estendidos — ex-funcionários acessando W-2s, pré-contratados concluindo a integração
- Acesso sensível ao contexto — restringir os usuários de Wi-Fi público apenas a tarefas de autoatendimento
- Ambientes com vários IdPs — organizações que utilizam modelos de identidade Hub-and-Spoke
Evidentemente, ter a capacidade de configurar tais políticas não é algo ruim. Porém, a existência dessas políticas fora da visibilidade da equipe de segurança, assim como o menor escrutínio que pode ser aplicado a elas em comparação com as do provedor de identidade, pode criar riscos de segurança se configuradas incorretamente. Por exemplo, uma política destinada a ser usada para usuários fora da força de trabalho, permitindo o acesso sem usar o SSO, pode ser acidentalmente aplicada a outros usuários também.
De reativo a proativo: protegendo o Workday com o Okta ISPM
Isso nos leva ao principal problema por trás de todas essas questões: você não pode proteger o que não pode ver.
Para proteger toda a organização, é preciso ter uma visibilidade clara do Workday. Isso significa ser capaz de entender o modelo de segurança por trás dele, executar relatórios, realizar auditoria de permissões e até mesmo analisar as políticas de autenticação.
Esse desafio de visibilidade é exatamente o que o Okta Identity Security Posture Management (ISPM) resolve. Em vez de deixar as equipes de segurança cegas à estrutura de permissões interna do Workday, o ISPM monitora continuamente seu locatário, transformando o complexo labirinto de identidade do Workday em uma visão unificada.
Ele transforma sua postura de segurança de reativa em proativa, permitindo que você:
- Elimine pontos cegos: o ISPM fornece uma visão de 360° de cada identidade. Ele não apenas vê os "usuários ativos" — ele monitora ex-funcionários (desligados), usuários locais não provenientes do provedor de identidade e Usuários do Sistema de Integração (ISUs) automatizados. Isso garante que os caminhos de acesso permanentes não passem despercebidos.
- Imponha o "menor privilégio": o ISPM identifica contas com privilégios excessivos — tanto usuários humanos quanto ISUs — mapeando o acesso deles a domínios de dados específicos. Isso permite identificar contas de serviço com direitos de administrador de três anos atrás e revogar o acesso antes que se tornem um problema.
- Detecte e proteja identidades não humanas: o ISPM detecta automaticamente Contas de Serviço e Usuários do Sistema de Integração (ISUs) humanos no seu Workday. Ele mostra imediatamente o acesso que eles têm, detecta credenciais não rotacionadas, permissões elevadas e contas inativas.
- Reduza a superfície de ataque: o ISPM sinaliza automaticamente contas com políticas de autenticação fracas (por exemplo, senhas antigas ou MFA ausente) e identifica contas não utilizadas ou órfãs que representam um risco de segurança imediato.
O resultado final é um ambiente do Workday altamente seguro, em conformidade e monitorado de maneira contínua.
Quer eliminar pontos cegos de identidade nos seus aplicativos mais críticos?
A integração do Workday ISPM já está disponível como Acesso Antecipado. Entre em contato com seu representante da Okta para saber como o ISPM pode trazer insights de segurança modernos para sua infraestrutura de identidade mais crítica. Saiba mais em okta.com/products/identity-security-posture-management.
