O emaranhado do IAM B2B e das identidades de terceiros

Views: 71

Por Jose Caso, Product Marketing Manager, IAM da Thales

Introdução: uma tigela bagunçada de terminologias

A gestão de identidades não se trata mais apenas de funcionários. A pesquisa B2B IAM – O valor oculto das identidades de terceiros revelou que mais identidades externas interagem com a nuvem, a rede e os dispositivos de uma empresa do que os próprios funcionários tradicionais. Embora os colaboradores internos ainda sejam o maior grupo único acessando redes corporativas (29%), as identidades externas não empregadas agora representam quase metade (48%) do total de usuários.

Proporção de usuários que acessam sistemas

Fonte: S&P Global Market Intelligence (2024). B2B IAM – O valor oculto das identidades de terceiros.

Apesar da crescente importância da gestão de identidades externas, a indústria ainda carece de uma definição unificada para IAM B2B. Alguns chamam de gerenciamento de identidades de terceiros, outros o classificam dentro de CIAM ou IAM para força de trabalho, enquanto alguns o veem como identidades federadas ou administração delegada. Recentemente, a Gartner introduziu o termo partner IAM durante o North American Identity & Access Management Summit, em dezembro. A falta de consenso dificulta a avaliação e comparação das soluções disponíveis.

Mas por que o IAM B2B é um emaranhado tão grande de terminologias? E isso realmente importa?

Por que ninguém concorda sobre o que é IAM B2B?

Há várias razões para o IAM B2B permanecer uma categoria fragmentada:

1. Ele não surgiu como uma categoria independente.
   Diferente do CIAM (que cresceu com a explosão dos serviços digitais para consumidores) ou do IAM tradicional (que evoluiu para atender às necessidades de segurança de TI interna), o IAM B2B fica no meio do caminho. Ele lida com usuários externos que não são funcionários, mas também não são consumidores – como parceiros de negócios.
2. Os fornecedores definem o IAM B2B de formas diferentes.
   Alguns fornecedores o posicionam como um subconjunto do CIAM, outros do IGA. Há quem o veja como uma extensão do IAM para força de trabalho, enquanto outros o tratam como uma combinação de federação de identidades, administração delegada e governança de acesso.
3. Os casos de uso variam amplamente.
   O IAM B2B pode envolver portais de fornecedores, extranets de distribuidores, integrações seguras de terceiros ou até ferramentas de colaboração entre empresas. Cada caso de uso exige capacidades diferentes, dificultando uma definição universal.
4. Os compradores não sabem o que procurar.
   Como não há um termo amplamente aceito, empresas buscam soluções para partner access management, third-party identity ou login de fornecedores. Isso confunde ainda mais o mercado, pois os fornecedores ajustam suas mensagens para resolver problemas específicos, em vez de definir uma categoria coesa.

O que faz uma solução de IAM B2B ser robusta?

Em vez de discutir sobre terminologia, o foco deve estar nas capacidades que definem uma solução eficaz de IAM B2B.

Federação de Identidade: necessária, mas não suficiente

A federação de identidade permite que usuários acessem múltiplos sistemas com um único conjunto de credenciais, geralmente gerenciado por um provedor de identidade externo (IdP). Protocolos como SAML e OpenID Connect possibilitam autenticação entre diferentes organizações sem que cada uma precise manter contas separadas para os usuários.

Embora a federação seja amplamente aceita como um conceito, ela não resolve todas as necessidades do IAM B2B. Isso porque:

• Nem todos os parceiros possuem um IdP para federar. Pequenos negócios, como corretoras de seguros locais ou clínicas médicas, provavelmente não gerenciam seu próprio IdP.
• Nem todos os parceiros exigem o mesmo nível de confiança. Diferentes usuários externos demandam diferentes níveis de segurança e controle.
• Conectar-se a um IdP não é suficiente. Uma solução robusta precisa não apenas integrar usuários, mas também garantir que eles sigam as políticas da empresa, já que a segurança de um sistema é tão forte quanto seu elo mais fraco.

Gestão delegada: nem toda delegação é igual

A gestão delegada permite distribuir o controle sobre acessos e permissões, reduzindo a sobrecarga das equipes de TI. Isso possibilita que gestores, líderes de equipe ou parceiros administrem usuários dentro de seus próprios escopos, sem depender do suporte de TI.

Entretanto, muitas soluções oferecem delegação limitada apenas a administradores de TI, forçando essas equipes a gerenciar usuários externos manualmente. Para ser eficaz, a delegação deve:

• Permitir que usuários de negócios (e não apenas administradores de TI) gerenciem acessos.
• Oferecer controles granulares para que diferentes tipos de parceiros tenham níveis distintos de acesso.
• Garantir segurança sem criar gargalos operacionais.

Autorização externa: controle detalhado sobre o acesso

A autorização externa gerencia políticas de acesso fora dos aplicativos individuais, garantindo aplicação centralizada e escalável. Diferente do controle de acesso baseado em funções (RBAC), a autorização externa permite decisões dinâmicas baseadas em atributos, sinais de risco e fatores contextuais.

Enquanto o RBAC concede permissões fixas para usuários, ele frequentemente leva à superprovisionamento, aumentando riscos de segurança. Para mitigar isso, uma solução eficaz deve:

• Controlar acesso com base em atributos e ações, não apenas funções.
• Definir políticas contextuais (por exemplo, restringir ações com base em localização ou nível de risco).
• Reduzir permissões excessivas sem comprometer a produtividade.

Gestão de privacidade e consentimento: um requisito negligenciado

Privacidade e consentimento são frequentemente tratados como preocupações do CIAM, mas empresas também devem cumprir regulamentos de proteção de dados para identidades B2B. Regulamentações como GDPR e CCPA exigem que organizações:

• Permitam que usuários externos gerenciem suas preferências de consentimento.
• Ofereçam transparência sobre o uso de seus dados.
• Garantam conformidade sem prejudicar a experiência do usuário.

Verificação de identidade e autenticação multifator: protegendo contra ataques

Ataques baseados em identidade estão cada vez mais sofisticados. Para mitigar riscos, uma solução de IAM B2B deve incluir:

• Verificação adaptativa, exigindo autenticação extra para ações de alto risco.
• Métodos além de senhas, como passkeys, FIDO2 e biometria.
• Integração com ferramentas antifraude para detectar atividades suspeitas.

O nome importa? Sim e não.

• Não, porque as empresas só querem resolver seus problemas.
  No fim das contas, independentemente do nome – IAM B2B, gestão de identidades de terceiros ou administração delegada – o objetivo é o mesmo: garantir acesso seguro e fluido para usuários externos.
• Sim, porque clareza facilita a tomada de decisões.
  Sem uma definição clara, empresas têm dificuldade para comparar soluções e fornecedores gastam tempo explicando o que fazem, em vez de destacar seu diferencial.

Um apelo à simplicidade

Em vez de focar nos rótulos, devemos resolver os desafios reais da gestão de identidades externas:

• Como permitir acesso sem criar gargalos de TI?
• Como equilibrar segurança e usabilidade?
• Como simplificar o gerenciamento do ciclo de vida das identidades externas?

Talvez seja hora de parar de tentar encaixar o IAM B2B em uma definição rígida e, em vez disso, focar nas capacidades que realmente importam – independentemente do nome.

Conclusão

Assim como não há uma única receita para sopa de macarrão – seja ramen, pho ou pasta –, talvez o IAM B2B nunca tenha uma definição única. E tudo bem. O verdadeiro objetivo é garantir que o acesso de usuários externos seja seguro e eficiente, sem sobrecarregar as equipes de TI, independentemente do nome que dermos a ele.

Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.