Autenticação, autorização e controle de acesso

É comum que pessoas não habituadas com o assunto confundam os termos “autenticação” e “autorização”. Resumidamente, a autenticação enfoca na identificação, enquanto a autorização define o que é possível fazer. Para controlar o acesso a um recurso é preciso que haja a identificação do indivíduo (autenticação) e a possibilidade de acessar o que se deseja (autorização), permitindo ou revogando a solicitação. Basicamente, estas são as diferenças entre autenticação, autorização e controle de acesso.

De acordo com Silva (2004, p. 66), “autenticação é a capacidade de garantir que alguém, ou alguma coisa, é de fato quem diz ser, dentro de um contexto definido”. Existem diversas técnicas e tecnologias que auxiliam neste processo, tais como: biometria, OpenID (OPENID, 2007), Certificado Digital, Single Sign-On. Não faz parte do escopo deste projeto tratar detalhadamente sobre autenticação, e sim focar na autorização e no controle de acesso.

Garantir a confidencialidade da informação é uma necessidade latente nas aplicações comercias, por isso somente usuários autorizados devem ter acesso ao sistema. Assegurar a autorização significa que ninguém poderá executar ações sobre um recurso caso não tenha permissão (JAAS, 2001). Segundo Barker (2008, p. 144, tradução nossa) “[...] permissão é um par (‘A’, ‘R’), onde ‘A’ é uma ação e ‘R’ é um recurso, e uma autorização é uma permissão associada a um determinado usuário”. Alguns autores, tais como Sandhu, Ferraiolo e Kuhn (2000), utilizam o termo “operações” para referenciar às “ações”.

A figura ilustra a funcionalidade de um sistema operacional para concessão de permissões de grupos de usuários (papéis) de uma organização. O item “A” representa um recurso: uma pasta ou um arquivo. Na solução apresentada neste trabalho, um recurso simboliza uma tela ou um relatório de uma aplicação comercial, por exemplo. O elemento “B” representa os grupos que tem permissão para acessar o recurso “A”. As operações ou ações que podem ser executadas em “A” são ilustradas pelo item “C”. A associação entre a operação “C” e o recurso “A”, atribuída ao grupo de usuários “B”, representa uma autorização “D”.

Controle de permissões do Microsoft Windows

A definição de controle de acesso segundo a norma internacional ISO/IEC 10181-3 (1996, p. 1, tradução nossa), que trata sobre framework para controle de acesso, é a seguinte: “o processo de determinar quais utilizações dos recursos [...] são permitidas, [...] prevenindo o acesso não autorizado, é chamado de controle de acesso”. Com base neste conceito, este trabalho assume que o controle de acesso de uma aplicação comercial abrange desde o estabelecimento das permissões até o processo de verificação das requisições. Conforme Barker (2008, tradução nossa), “a maioria dos modelos de controle de acesso assume que uma requisição é feita por um usuário pré-autenticado para realizar uma ação [...] em um recurso do sistema”.

A regra para garantir o controle proposto neste trabalho segue a “premissa ‘tudo é proibido, a menos que expressamente permitido’ em lugar da regra mais fraca ‘tudo é permitido, a menos que expressamente proibido’” (ISO/IEC 17799, 2005, p. 66). Desta forma, o usuário somente terá acesso ao recurso caso o administrador de segurança autorize-o explicitamente, assegurando a confidencialidade necessária para as informações mantidas por uma aplicação comercial.

Autorizações podem ser concedidas ou negadas aos usuários. Esta característica é também conhecida como autorizações positivas ou negativas (BERTINO, 2001, p. 42). Suponha um usuário participante do grupo “gerentes” (positivamente autorizado ao recurso “X”) que, simultaneamente, faz parte do grupo “hackers” (negativamente autorizado ao recurso “X”). Caso este usuário tente acessar “X”, a proibição prevalecerá sobre a concessão e a requisição será recusada.