Como este tema funciona na sua empresa
Usa Active Directory local ou nenhum sistema formal de identidade. Desafio: quando funcionário sai, falta coordenação para revogar acesso em todos os sistemas. Abordagem: considerar Active Directory local com sincronização para cloud (Microsoft Entra). Custo: baixo a mínimo (Microsoft 365 inclui). Resultado: identidade centralizada, revogação rápida.
Múltiplos sistemas de identidade: Active Directory local, Google Workspace, Okta para algumas aplicações. Desafio: falta integração, dados de identidade inconsistentes. Abordagem: escolher IdP central (Entra, Okta, ou manter AD local + sincronizador). Integrar com sistemas SaaS. Provisionamento/desprovisionamento automático. Implementação: 2-3 meses.
Identidade distribuída: múltiplos IdPs por linha de negócio ou geográfico. Desafio: compliance de quem acessa o quê, revogação coordenada, federar identidades. Abordagem: IdP central (Okta, Azure AD) com sincronização de fontes (LDAP, RH systems). SCIM para provisionamento. MFA obrigatório. Governança: acesso provisionado por workflow, revogado automaticamente.
Provedor de Identidade (IdP) é sistema centralizado que gerencia identidades de usuários (quem é você), autenticação (como você prova identidade) e autorização (o que você pode acessar). Integra-se com aplicações corporativas via SAML, OpenID Connect ou LDAP. Resultado: logon único (SSO), provisionamento automático, conformidade de acesso[1].
Tipos de IdP: on-premises vs. cloud
On-premises (Active Directory): servidor local que gerencia identidades. Vantagem: controle total, dados locais. Desvantagem: infraestrutura cara, manutenção complexa, acesso remoto requer VPN. Recomendado para: empresas com infraestrutura existente.
Cloud (Azure AD/Entra, Okta, Google Workspace): IdP gerenciado por provedor. Vantagem: acesso de qualquer lugar, escalável, suporte integrado. Desvantagem: dados em cloud (compliance regulatório), custo mensal. Recomendado para: empresas modernas, muitos usuários remotos.
Híbrido: AD local sincronizado com cloud. Melhor dos dois mundos: dados localmente + acesso de anywhere.
Escolha simples: Active Directory local simples ou Microsoft Entra (cloud). AD local = custo inicial (servidor), depois baixo. Entra = custo mensal em Microsoft 365. Ambos funcionam. Se maioria remota: Entra é melhor.
Híbrido recomendado: AD local + Azure AD Sync. Ou cloud puro: Okta. Critério: Okta é más versátil (integra qualquer aplicação), mas caro. Azure AD é mais barato se já usa Microsoft 365.
Cloud puro recomendado (Okta, Azure AD). Dados localmente via diretório local sincronizado. Múltiplos IdPs por região (compliance). SCIM para provisionamento automático. Federação de identidades entre múltiplos IdPs se necessário.
Critérios de seleção de IdP
1. Aplicações suportadas. Que aplicações precisa conectar? Salesforce, SAP, sistemas legados? Validar que IdP suporta (SAML, OpenID, LDAP). 2. MFA (autenticação multifator). IdP suporta MFA nativo ou requer integração? 3. SCIM. Provisionar/desprovistionar usuários automaticamente? 4. Compliance. Dados em qual país? LGPD permite armazenar em cloud? SOC 2 certificado? 5. Custo. Custo por usuário/mês. Volume discount se muitos usuários? 6. Suporte. Suporte 24/7? Expertise em implementação?
Matriz de decisão: priorize critérios por importância. Scoring cada IdP candidate.
Implementação de IdP: passos
Passo 1: Mapear aplicações. Lista de sistemas que precisa conectar. Validar suporte de protocolo (SAML vs. OpenID). Passo 2: Escolher IdP. Baseado em critérios acima. POC (Proof of Concept) com 1-2 aplicações antes de full rollout. Passo 3: Sincronizar usuários. Importar usuários existentes do HR system ou AD local. Validar dados. Passo 4: Conectar aplicações. Integrar uma por uma. Testar SSO. Passo 5: Ativar MFA. Começar com usuários técnicos, depois expansão. Passo 6: Revogação automática. Implementar provisionamento/desprovisionamento automático (quando usuário sai, acesso é revogado).
Segurança do IdP: proteção da identidade
Se IdP é comprometido, todas as aplicações conectadas também ficam. Proteção:
- MFA obrigatório: ninguém acessa IdP com só senha.
- Auditoria de acessos: log de quem entrou quando, de onde.
- Detecção de anomalias: alerta se usuário faz login de país novo ou fora de horário.
- Controle de acesso: admin do IdP é restrito a poucas pessoas.
- Backup da identidade: cópia de segurança de usuários (em caso de falha).
Sinais de que sua empresa precisa de IdP centralizado
Se você se reconhece em três ou mais cenários abaixo, implemente IdP urgentemente.
- Não há sistema centralizado de identidade — cada aplicação tem login próprio
- Quando funcionário é desligado, demora dias para revogar acesso em todos os sistemas
- Não há visibilidade de quem tem acesso a qual sistema
- MFA não é implementado ou é inconsistente entre sistemas
- Usuários esquecem senhas frequentemente — cada sistema é senha diferente
- Auditoria pede "acesso de user X em sistema Y no período Z" e empresa não consegue responder
- Infraestrutura está distribuída entre on-premises e cloud sem coordenação
Caminhos para implementar IdP
Duas abordagens para centralizar identidade corporativa.
Viável quando TI tem experiência com Active Directory ou SSO.
- Perfil necessário: administrador de infraestrutura ou especialista em identidade
- Tempo estimado: 2-4 meses (setup + integração de aplicações + treinamento)
- Faz sentido quando: empresa pequena/média, aplicações são padrão (Office 365, etc)
- Risco principal: gaps em integração de aplicações legadas, complexidade de migração
Recomendado para rollout rápido e com suporte.
- Tipo de fornecedor: Consultoria de Identidade e Acesso (IAM), Implementador de IdP
- Vantagem: expertise em integração de aplicações complexas, compliance, treinamento
- Faz sentido quando: muitas aplicações heterogêneas, compliance crítica, TI sem expertise
- Resultado típico: IdP operacional em 3-6 meses, 80%+ das aplicações integradas, SSO ativo
Precisa implementar provedor de identidade centralizado?
Se identidade corporativa é descentralizada e sem controle, o oHub conecta você gratuitamente a especialistas em IAM e SSO. Em menos de 3 minutos, descreva seu cenário e receba propostas personalizadas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é a diferença entre IdP, SSO e autenticação multifator?
IdP (Identity Provider) é sistema que gerencia identidades. SSO (Single Sign-On) é resultado: uma senha para acessar muitos sistemas. MFA (Autenticação Multifator) é segurança: requer 2+ fatores (senha + app) para logar. IdP fornece SSO + MFA.
Preciso de IdP cloud ou on-premises?
Cloud é mais simples (escalável, menos manutenção). On-premises oferece controle total (dados locais). Híbrido (AD local + Azure AD Sync) é bom balanço. Escolha conforme: maioria remota = cloud; controle crítico = on-premises; normal = híbrido.
Como integro IdP com aplicações antigas que não suportam SAML?
Opções: (1) adapter de senha — IdP muda senha na aplicação automaticamente (frágil). (2) Middleware — sistema intermediário que integra IdP com aplicação. (3) Substituir aplicação por SaaS moderna que suporte SAML. Opção 3 é ideal se viável.
Como garantir revogação rápida quando funcionário sai?
Usar SCIM (System for Cross-domain Identity Management) para provisionamento/desprovisionamento automático. Quando funcionário é desligado no HR system, provisionador IdP revoga acesso automaticamente em poucas horas. Sem SCIM: processo manual (lento, error-prone).
IdP é obrigatório por lei?
Não por lei, mas é requisito de compliance: ISO 27001 exige controle de acesso centralizado; LGPD exige auditoria de acesso a dados pessoais; BACEN exige para bancos. Se regulado: IdP é essencial.
Qual IdP é melhor: Azure AD, Okta ou Google Workspace?
Depende do contexto. Azure AD: melhor se já usa Microsoft 365, custo baixo. Okta: más versátil, suporta qualquer aplicação, mas caro. Google: bom se usa Google Workspace. Fazer POC com seus sistemas antes de decidir.