Single Sign On (SSO) na sua empresa?

Como arquiteto de soluções na WSO2, tenho o privilégio de visitar e trabalhar ao lado de vários profissionais em empresas de setores diferentes. Bancos, Seguradoras, Montadoras de Automóveis, Instituições Governamentais, entre outros.

Certamente há diferenças entre elas, mas há também muitas semelhanças. Uma das coisas que me chamou atenção nesse último ano, é o fato de, basicamente, nenhuma delas embarcar suas aplicações, sites, sistemas na cloud (SaaS), enfim, em uma plataforma de Identity and Access Management (IAM) por completo. Iniciativas de gerenciamento de usuários aqui, duas ou três aplicações com Single Sign On (SSO) ali.

Minha avaliação sobre essa "estatística" tem algumas respostas fundamentais:

• Falta conhecimento de padrões de mercado que resolvem esse assunto, como por exemplo: SAML e OpenID;
• Falta de tempo e/ou prioridades;
• Preço. Vendors desse tipo de solução cobram por identidade, por login ou algo parecido, geralmente encarecendo demais um projeto; e
• Ferramenta adequada que se integre facilmente ao ambiente da empresa (e não o contrário).

Colocando em forma de exemplo, imagine você, desenvolvedor. Precisa entrar no GitLab para verificar um pull request, merge ou algo do tipo. Ao tentar acessar, precisa entrar suas credenciais nesse sistema. Depois de resolvido seu assunto no GitLab, agora você precisa entrar no Jenkins e disparar uma promoção de código para outro ambiente. O que acontece? Outra página de login! Em alguns casos, esse site não usa o mesmo repositório de usuários, obrigando os usuários a terem duas identidades, duas senhas diferentes.

Repare que a experiência do usuário foi afetada no caso acima. Outro exemplo parecido acontece quando um novo funcionário entra na empresa, alguém precisou cadastrá-lo nos dois sistemas, dar permissões diferentes, nos dois sistemas. O mesmo se dá quando o profissional muda de área ou sai da empresa. Convenhamos, todos sabemos que não são apenas dois sistemas que um usuário corporativo, muito menos um desenvolvedor, precisa ter acesso. Dynatrace, ElasticSearch, AWS Console, GGP console, Jenkins, GitLab, Kibana, enfim. Quando se trata de um usuário final, ainda temos todos os sistemas departamentais, como sistemas de RH, Reembolsos, Viagens, CRMs (SalesForce, por exemplo), etc.

WSO2 Identity Server (IS)

O WSO2 Identity Server é a ferramenta que utilizo no dia a dia para resolver as questões levantadas anteriormente. Com sua natureza Open Source, é possível baixar e experimentar o produto direto pelo site, ou utilizando o WSO2 Update Manager, uma ferramenta de controle de atualizações do produto utilizada pelos clientes da plataforma.

Obviamente, Single Sign On é apenas uma das muitas features disponíveis no produto. Como mostra a figura abaixo:

Em breve darei continuidade a esse assunto com outro artigo e um vídeo tutorial prático de como configurar o WSO2 Identity Server para fazer Single Sign on com SAML 2.0 e OpenID. Caso não consiga esperar até lá, a documentação do produto tem informações suficientes para quem é auto didata. Veja os exemplos nesse link. Até lá.