Quando ouço alguém dizer que eles “modernizaram” um aplicativo, geralmente significa que eles ativaram o SAML ou o OIDC. Talvez ambos.
SósFaçasimplificar o acesso e reduzir a fricção.Mas aqui está o que me preocupa: muitas equipes param por aí.Eles implementam o SSO e assumem que a parte difícil acabou.Mas na prática, é quando a verdadeira complexidade começa a surgir.
Por que “nós modernizamos” nem sempre significa o que você pensa
Quando as pessoas me dizem que seu aplicativo foi modernizado, eu pergunto o que isso realmente significa.Em muitos casos, isso simplesmente significa que o aplicativo agora suporta SSO. Ele ainda usa a mesma lógica de sessão interna.
O que está acontecendo aqui é mais comum do que a maioria admite: modernizamos a porta da frente e deixamos o resto da casa inalterado.
E isso é um problema, porque a identidade não é apenas sobre entrar, é sobre o que acontece depois.
O que a autenticação moderna realmente oferece
Os protocolos auth modernos, como o SAML e o OIDC, foram projetados para resolver desafios reais – principalmente login e federação.Quando eles estão no lugar, os usuários não precisam mais manipular senhas, e a TI não precisa gerenciar manualmente todas as credenciais.
E sim, SSO através desses protocolos melhora a postura de segurança.Mas não confundamos conveniência com completude.
Protocolos são progresso – mas eles não são a linha de chegada
Não me engane, adicionar suporte para OIDC ou SAML é progresso. Você obtém menos senhas, menos atrito e uma experiência de usuário mais consistente.O que eles não fornecem são os outros controles críticos em que confiamos com os sistemas de Gerenciamento de Acesso à Web (WAM): controle de sessão centralizado, aplicação de autorização, integração de diretórios e gerenciamento de políticas consistente.
Os sistemas WAM não eram perfeitos, mas eles nos deram uma camada de controle consistente em todos os aplicativos.Quando os removemos sem substituí-los, perdemos algo essencial – e eu vi as consequências em primeira mão.
O aplicativo não é moderno se a identidade ainda estiver codificada
Eu vi aplicativos que parecem lisos na superfície, mas ainda dependem de identidades frágeis e específicas do desenvolvedor, que se espalham por trás das cenas.Nestes casos, a adição de SSO não aborda o risco real – comportamento inconsistente em aplicativos e ambientes.
Algumas equipes ainda estão usando bibliotecas de sessão desatualizadas. Outras estão codificando regras de acesso de maneira que tornam a auditoria um pesadelo. O protocolo é moderno.
Onde as coisas caem: gestão de sessões
Um dos maiores pontos cegos de identidade em ambientes modernizados é o gerenciamento de sessões.As pessoas assumem que o SSO cuida disso, mas não é.
Com o WAM, o comportamento da sessão – timeouts, renovações, revogações – foi tratado em um só lugar. Você poderia aplicar uma mudança de política e saber que isso teria efeito em toda a empresa. Hoje, a lógica da sessão é incorporada dentro de cada aplicativo individual, espalhada por diferentes idiomas e frameworks.
Eu trabalhei com equipes usando Spring, Node.js, Rails – e mesmo dentro de um framework, não há garantia de consistência.
Não ser capaz de impor um tempo de sessão consistente é um grande risco se eles não puderem revogar sessões quando algo suspeito acontece.Tudo isso ainda depende do aplicativo - e a maioria das equipes de desenvolvimento não está configurada para lidar com isso bem em escala.
O custo da lógica de sessão descentralizada
Quando o patch de bibliotecas de sessões leva semanas ou meses, ou ninguém sabe onde os tempos de inatividade são definidos, a segurança torna-se reativa no melhor dos casos.
Isso não é teórico. vi empresas lutando apenas para rastrear como seu gerenciamento de sessão até funciona.
Isso não é sustentável – especialmente para empresas que lidam com o cumprimento ou objetivos de Zero Trust.
Expansão de identidade e autorização drift
O mesmo que acontece com a lógica de sessão acontece com a autorização.Uma vez que é empurrado para baixo no código da aplicação, torna-se quase impossível gerenciar centralmente.
As regras ficam enterradas na lógica de negócios. As políticas deslizam. E, eventualmente, ninguém sabe exatamente quem tem acesso ao que – ou por quê. Mesmo os aplicativos que suportam a autenticação moderna podem falhar aqui, porque AuthZ não faz parte do protocolo.
A orquestração deve vir a seguir
Neste ponto, acho que está claro: a autenticação moderna é apenas uma peça do quebra-cabeça.
Os benefícios do uso da orquestração incluem:
- Recuperar a capacidade de cancelar sessões instantaneamente
- Aplicando as políticas de sessão e authZ de forma consistente
- Gerenciamento de chaves de federação e certs de um só lugar
- Integração com sinais de risco (como CAEP) para apoiar a confiança zero
- E fazer tudo isso sem reescrever aplicativos ou mudar de provedores de identidade
A orquestração coloca uma ponte entre o “suporte ao protocolo moderno” e a modernização real da identidade.
Centralizar não significa retroceder
Às vezes as pessoas assumem que trazer o controle de identidade de volta a um lugar é um passo atrás.
Trata-se de habilitar a agilidade. sobre dar às equipes de segurança a visibilidade de que precisam sem abrandar os desenvolvedores. sobre gerenciar a identidade como um serviço – não como uma série de hacks específicos de aplicativos.
Quando você não tem orquestração, cada desafio de identidade se torna uma solução única.
Se estou falando com uma equipe de segurança, geralmente faço uma pergunta como esta: “Como rapidamente você poderia revogar as sessões de um usuário?Todos os aplicativos em sua empresaAgora mesmo?”
Se a resposta for qualquer coisa menos do que “instantaneamente”, há um problema que vale a pena resolver.
The Takeaway: não pare na SSO
Eu diria claramente: a autenticação moderna é essencial, mas é incompleta.Se você parar no SSO, você está perdendo a camada de controle que faz com que tudo o resto funcione - de forma segura, consistente e em escala.
Então sim, adote o SAML. Desmarque o OIDC. Mas não deixe que a caixa de login seja a linha de chegada.
Se você quer segurança real, a orquestração deve fazer parte da jornada.
Sobre o autor
Darren Platt liderou equipes de engenharia na Securant Technologies, Ping Identity, Simplified, RSA e Oracle.Ele é agora o VP de Gerenciamento de Produto e Engenharia na Strata Identity, onde ele está construindo a primeira plataforma de orquestração de identidade distribuída para ambientes distribuídos e contribuindo para o novo padrão de orquestração de políticas, IDQL e seu software de referência Hexa.
