A Jamf é o padrão global de gerenciamento e segurança Apple-first, que ajuda mais de 75.300 organizações em todo o mundo a gerenciar e proteger mais de 33 milhões de dispositivos. Quando a empresa se transformou de uma startup autofinanciada em uma organização global com mais de 2.500 funcionários, suas necessidades para identidades internas e externas aumentaram exponencialmente.
O rápido crescimento e uma solução de identidade local resultaram em experiências de login fragmentadas e auditorias de governança que exigiam sete horas de captura manual de dados. Esses processos díspares se tornaram uma barreira para a expansão global, sobrecarregando as equipes de identidade com fluxos de trabalho ineficientes e ameaçando o objetivo de longo prazo da Jamf de estabelecer uma estrutura de segurança de identidade para proteger milhões de dispositivos de clientes.
Transformação da identidade em um ativo estratégico de segurança
Inicialmente, a Jamf usou o Microsoft Active Directory (AD), mas as limitações desse recurso ficaram cada vez mais evidentes com o passar do tempo. Ela precisava de uma solução de identidade nativa na nuvem para se manter ágil.
A empresa escolheu a Okta por sua filosofia de plataforma independente, que garante que qualquer ferramenta com integração OIDC ou SAML se encaixe perfeitamente no ecossistema. Essa neutralidade permitiu que a Jamf recuperasse a agilidade ao integrar o Okta Workforce Identity e o Workday como sua fonte da verdade para RH, automatizando o ciclo de vida da identidade.
Além da facilidade operacional, a Okta forneceu visibilidade centralizada para transferir a identidade da administração para a segurança. "A Okta nos oferece um plano de controle centralizado para aplicar políticas de acesso de forma consistente em todo o nosso ambiente, desde aplicativos de SaaS corporativos até a infraestrutura de nuvem", afirma Mario Villatoro, vice-presidente e diretor de segurança da informação.
Com o estabelecimento desse plano de controle, a Jamf realinhou os recursos estrategicamente. “A identidade é nossa primeira linha de defesa”, afirma Daniel Bolens, administrador sênior de sistemas de TI. “Graças à Okta, realocamos nossa equipe para a área de segurança, reforçando que a identidade é o foco principal de toda a nossa estratégia de segurança.”
Ao ser questionado sobre as soluções da Okta que a Jamf utiliza ativamente, Villatoro responde: "Seria mais fácil listar as que não utilizamos". A equipe adotou praticamente todas as soluções de identidade da força de trabalho, como Adaptive MFA, Okta Workflows, Okta Identity Governance (OIG) e Identity Threat Protection (ITP).
Aumento da produtividade da força de trabalho e agilidade em fusões e aquisições
O Workflows tem tido um impacto particularmente significativo, permitindo que a TI adicione automação personalizada aos fluxos de identidade. Essa automação reduziu o tempo de integração de novos funcionários em 90% e aumentou a produtividade no primeiro dia em 60%. O impacto nas aquisições foi igualmente transformador, com o tempo de migração dos funcionários caindo 75%.
"Antes, criávamos cada conta de funcionário manualmente. Em nossa aquisição mais recente, acabamos de importar os novos usuários e terminamos em menos de três horas", comenta Bolens.
Automatização da governança e resposta a ameaças em tempo real
Seja na integração de uma única nova contratação ou na migração de uma força de trabalho adquirida, o próximo desafio é garantir que o acesso permaneça seguro ao longo do tempo. Como parte da missão da Jamf de transformar a governança de uma atividade voltada para a conformidade em uma função central de segurança, a empresa centralizou a auditoria e a certificação de acesso com o OIG.
O OIG permite que a equipe de TI substitua as auditorias manuais por auditorias baseadas em tempo, garantindo que as pessoas tenham acesso contínuo aos recursos certos. Bolens afirma: “O OIG coloca o poder das auditorias nas mãos do usuário final, que não precisa abrir um tíquete para nós. Um relatório é gerado de forma automática e temos essa comprovação para os auditores imediatamente”.
Enquanto o OIG protege a camada de governança, o ITP fornece contexto e monitoramento de riscos em tempo real. O ITP funciona como um primeiro respondente automatizado em toda a organização da Jamf, revogando sessões comprometidas e bloqueando IPs mal-intencionados com base em sinais de risco, muitas vezes antes mesmo de a equipe de segurança receber um alerta.
“Posso verificar os registros da Okta, mas não preciso mais realizar nenhuma ação. O ITP já está tomando medidas contra ameaças que eu costumava enfrentar manualmente”, explica Bolens.
Esse modelo de resposta automatizada se torna ainda mais forte com a integração do Jamf Pro com a Okta por meio da Shared Signals Framework (SSF). A integração fornece sinais de risco de dispositivo mais completos e contexto adicional aos clientes para embasar respostas orientadas pela identidade.
Com a colaboração entre o OIG e o ITP, a Jamf avança em direção a uma visão priorizada do acesso dos usuários, com foco na capacidade de ação e na rápida mitigação de riscos na Okta.
Proteção para expansão da nuvem e dispositivos
Além de mitigar ameaças no nível do usuário, a Jamf teve que lidar com riscos estruturais ocultos em sua infraestrutura em expansão. Conforme ela crescia por meio de aquisições, seu ambiente de nuvem se tornou uma rede complexa com centenas de contas da AWS e do Google Workspace. Para retomar o controle, a Jamf implementou o Identity Security Posture Management (ISPM) para funcionar como um plano de controle que monitora e gerencia os riscos em toda a sua infraestrutura de nuvem. Isso permitiu que a empresa detectasse e registrasse 700 contas fraudulentas do Google fora da governança da equipe.
“Percebemos que qualquer pessoa podia simplesmente criar uma conta do Google com o e-mail e o domínio que desejasse”, diz Bolens. “O ISPM nos ajudou a identificar e reivindicar essas contas. Foi surpreendentemente rápido, cerca de dois meses.”
A Jamf tem como objetivo construir uma estrutura de segurança de identidade com a Okta para criar um fluxo contínuo entre visibilidade, detecção e resposta. A equipe planeja conectar a telemetria do ISPM diretamente ao ITP, enviando sinais de risco da nuvem para remediação em tempo real.
A Jamf também está ampliando sua estrutura de segurança de identidade para a camada de hardware utilizando o Okta Device Access (ODA) para o gerenciamento de acesso aos endpoints. Estabelecendo confiança no nível do hardware, a Jamf utiliza o ODA para sincronizar credenciais na nuvem com senhas locais do Mac, o que proporciona uma experiência de login consistente e segura para os funcionários.
“Existe um nível adicional de segurança que o ODA nos permite fornecer ao nosso hardware”, diz Bolens. “Isso também melhora a experiência dos funcionários — ter essa experiência de login unificada em que você entra no seu Mac para o dia e tem acesso a todos os seus apps.”
Bolens também observa que o ODA "aproveita o que a Okta faz tão bem com software e aplica ao hardware", garantindo que, mesmo que um dispositivo seja perdido, a identidade permaneça segura e o endpoint continue sendo um componente protegido e integrado da plataforma unificada da Okta.
Unificação da experiência do cliente e maior agilidade na engenharia
Os desafios de identidade não se limitavam à experiência do funcionário. A equipe de engenharia de produtos da Jamf enfrentava desafios semelhantes com usuários externos, pois as credenciais dos clientes estavam isoladas em seis produtos. Isso obrigava as equipes a gerenciar as integrações SAML em vez de desenvolver novos recursos. Após lançar o Jamf ID e começar a oferecer suporte à federação de IdPs de clientes por meio da Auth0, a Jamf unificou essa arquitetura fragmentada. Essa camada de identidade única e segura permite que as credenciais sejam armazenadas com segurança ou transferidas de forma transparente.
“Precisávamos de uma experiência de login unificada para começar. Foi isso que nos motivou a analisar a Auth0”, diz Akash Kamath, vice-presidente sênior de engenharia de software. “Nosso objetivo é usar a Auth0 como uma porta de entrada segura, proporcionando uma experiência única e unificada para nossos clientes.”
Com a Auth0, a Jamf implanta recursos avançados de segurança com sobrecarga mínima. A equipe testou esses recursos após receber alertas de spam no site da comunidade Jamf Nation.
"Tivemos um grande problema com spam por um tempo", explica Jake Schultz, engenheiro de software da equipe. "A ativação do recurso Auth0 Bot Detection reduziu esse número em cerca de 40%."
Atualmente, o Jamf ID é o padrão seguro para todos os novos clientes, além de oferecer a flexibilidade de federar um IdP preferido a qualquer momento. Essa abordagem otimiza a experiência do usuário e, ao mesmo tempo, mantém uma postura de segurança robusta. “A Auth0 nos dá tempo para nos concentrarmos nos recursos que entregamos aos nossos clientes. Não precisamos nos preocupar com o provedor de identidade que será utilizado. Podemos simplesmente permitir que eles façam a configuração e prossigam”, afirma Schultz.
A empresa já está de olho na próxima fase do Jamf ID: a transição para um ambiente totalmente sem senha. "Uma das novidades que surgirá no próximo mês são as chaves de acesso", diz Schultz. "Se não tivéssemos a Auth0, teríamos que desenvolver essa integração completamente do zero. Agora, podemos simplesmente marcar uma caixa e permitir que os clientes usem as chaves de acesso com o ID Jamf deles."
Governança para os “4As” e a fronteira da identidade não humana
Embora a Jamf já tenha observado resultados imediatos, a equipe considera sua implementação atual como o início de uma jornada de segurança de identidade que se expande para atender aos desafios dos "4As": apps, APIs, IA e agentes. “Acho que, no momento, as identidades não humanas são uma das coisas mais difíceis de gerenciar, porque não pertencem a um único usuário”, explica Bolens.
Atualmente, a Jamf utiliza um conjunto de três ferramentas para descobrir e gerenciar essas identidades. Essa estratégia utiliza o ISPM para visibilidade em toda a infraestrutura de nuvem, o Okta Privileged Access (OPA) para armazenar credenciais de NHI em cofre e impor a rotação automatizada, além do OIG para auditoria contínua e atribuição de propriedade de NHI, com o objetivo de eliminar lacunas na continuidade das contas de serviço.
No futuro, a empresa também espera ampliar essas capacidades com a expansão do OIG para incluir revisões de acesso baseadas em eventos e utilizando telemetria de segurança mais detalhada do ISPM e do Jamf Trust no ITP. Isso estabelecerá um ciclo de feedback em tempo real que identifica e neutraliza ameaças enquanto avança em direção a um modelo de privilégio permanente zero.
“Não sei se a Jamf estaria onde está hoje se não usasse a Okta”, diz Bolens. Ela está ouvindo o retorno dos clientes e deseja que alcancemos o sucesso. Tudo o que fazemos com a Okta é fantástico.”
Para Villatoro, a colaboração representa uma mudança fundamental na forma como a Jamf protege seu ecossistema. “A identidade é o fio condutor que permeia toda a nossa arquitetura de segurança”, afirma ele. “À medida que essa arquitetura evolui, o papel da Okta também evolui. Contaremos com a Okta para governar todo o espectro de acesso para seres humanos, não humanos e trabalhadores digitais.”
Sobre o cliente
O objetivo da Jamf é ajudar as organizações a gerenciar e proteger uma experiência Apple que os usuários finais adoram e as organizações confiam e, assim, simplificar o trabalho. A Jamf é a única empresa no mundo que oferece uma solução completa de gerenciamento e segurança para um ambiente Apple-first que é segura para empresas, simples para o consumidor e protege a privacidade pessoal.
