Com o Tivoli Single Sign-On, da IBM, um login dá acesso a múltiplas aplicações e páginas web.

Uma senha para entrar no Windows, outra para a intranet, outra para o e-mail, outra para o ERP, outra, outra... O volume de senhas usado no acesso a sistemas corporativos muitas vezes deixa de ser uma proteção para se tornar uma brecha de segurança — composições fracas ou anotadas em post-its grudados no monitor — ou um tormento para o help desk, às voltas com a recuperação de palavras-chave esquecidas. O problema é tipicamente humano, mas a solução é tecnológica e atende pelo nome de Single Sign-On (SSO). Com o SSO, o usuário só precisa saber a senha do Windows. Entre as soluções existentes, INFO testou a versão 6.0 do Tivoli Access Manager for Enterprise Single Sign-On (TAM E-SSO), lançada há um mês pela IBM.

A solução é composta por um mestre e quatro complementos,os adapters, que são vendidos separadamente. No INFOLAB, avaliamos a solução mestre, que possui recursos suficientes para o gerenciamento de senhas nas empresas. O programa foi testado em inglês, com versão em português prometida para março.

INSTALAÇÃO

A instalação do Tivoli Access Manager for Enterprise Single Sign-On é simples, basta acompanhar o assistente. O programa se encarrega de verificar se a máquina tem o framework .Net 2.0 instalado e de oferecer uma cópia, se necessário. O console de administração pode ser instalado em qualquer máquina, dispensando servidor dedicado. Algumas poucas opções precisam ser calibradas durante a instalação. O trabalho mais pesado fica para a configuração do console, parte em que é necessário ajustar os modelos de logon a cada aplicação e replicá-los no Active Directory do Windows. É importante instalaro cliente antes de configurar o console, para que sejam importados os parâmetros inseridos no registro do Windows.

ADMINISTRAÇÃO

As tarefas a realizar na criação e na aplicação dos modelos não são difíceis, mas exigem atenção, porque o número de etapas é bem grande. É preciso ensinar para o SSO como reconhecer o nome da aplicação, se o logon exige um token, se abre uma caixa de opções etc. Em compensação, todas as alterações em modelos e regras são feitas no repositório central do Single Sign-On e replicadas para os clientes. A troca de senhas pode ser automática ou manual, seguindo as regras estabelecidas.

RECURSOS

Entre os vários recursos do TAM E-SSO destaca-se o Logon Manager, pelo qual visualizam-se os sites, as aplicaçõese o histórico dos logins gerenciados pelo software. Possui filtros que ajudama organização visual dos logins e ferramenta para pré-carga de usuáriose senhas de aplicações novas. São de grande ajuda as telas de login baseadas em modelos de fácil configuração, equipados com recursos de reconhecimento automático de campos, confirmação de senha, exibição de metodologia de troca de senha, entre outros. Inclui o auto submit, que define o login automático em aplicações que incluem caixas de opções e botão de OK. Relatórios de auditoria e utilização podem ser criados com base em atividades de eventos e de usuários.

COMPATIBILIDADE

O TAM E-SSO pode armazenar as credenciais dos usuários e suas próprias configurações em diretórios LDAP (Lightweight Directory Access Protocol), compatíveis com o Active Directory, do Windows, Novell Directory, Linux entre outros, e em bancos de dados SQL Server, DB2 e Oracle. Funciona com todas as versões dos navegadores Internet Explorer e Firefox.

SEGURANÇA

As senhas são armazenadas com criptografia forte, aceitando algoritmos como 3DES, AES256bits, Cobra, Blowfish e RC4. O maior furo de segurança está em se abster das políticas para a senha inicial no Active Directory — o TAM E-SSO, por padrão, não cobra uma senha forte. De todo modo, a lógica do programa está correta: é mais fácil se garantir decorando uma senha forte, do que ter de guardar e gerenciar a troca de diversas. Se a única via de entrada no sistema for policiada, tudo estará garantido.

As atualizações do software não têm custo, mas seu prazo de validade varia de acordo com o contrato de manutenção.