Como configurar autenticadores

  • 10 minuto(s) lido(s)
Prev Next

Autenticadores são uma maneira segura de intermediar a confiança entre diferentes aplicações para o propósito de trocar segredos e gerenciar autorizações e funções relacionadas. O Segura oferece integração com os autenticadores mais utilizados, conforme descrito na seção seguinte.

Autenticador OAuth 1.0

OAuth 1.0 é um método de autenticação que consiste em usar quatro tokens para identificar e autorizar o acesso de uma aplicação. Sempre use tipos de autenticação modernos que garantam a integridade dos dados. A capacidade de autenticar usando OAuth 1.0 existe devido à impossibilidade de atualizar aplicações legadas. Desencorajamos seu uso.

Configurando o Autenticador OAuth 1.0

Para usar este método de autenticação, siga estas etapas:

  1. Vá para DSM > Aplicação > Aplicação.
  2. Edite ou crie uma Nova aplicação e selecione o método de autenticação OAuth 1.0.

Autenticador OAuth 2.0

OAuth 2.0 é um método de autenticação que consiste em usar um client ID e um client secret para solicitar um token com tempo limitado e utilizá-lo para acessar recursos do Segura.

Configurando o Autenticador OAuth 2.0

Para usar este método de autenticação, siga estas etapas:

  1. Vá para DSM > Aplicação > Aplicação.
  2. Edite ou crie uma Nova aplicação e selecione o método de autenticação OAuth 2.0.
  3. Preencha os campos Client ID e Client Secret com os valores fornecidos pelo seu provedor OAuth 2.0.
  4. Para finalizar, vá para DSM > Aplicação > Aplicação.

Quando um recurso precisa usar um segredo, ele pode usar seus clientes OAuth 2.0 para solicitar um token limitado no tempo e usá-lo para solicitar as informações do Segura. Se o token usado for válido, o Segura permitirá que a aplicação interaja com os segredos e autorizações do DSM.

Autenticador de Certificado

A autenticação por certificado oferece para usuários e aplicações uma maneira segura de se conectar e autenticar no Segura. Todos os certificados serão gerenciados pelo Segura e serão revogados automaticamente quando uma autorização for desabilitada.

Configurando o Autenticador de Certificado

Para usar este método de autenticação, siga estas etapas:

  1. Vá para DSM > Aplicação > Aplicação.
  2. Edite ou crie uma Nova aplicação e selecione o método de autenticação Certificado.

Quando uma autorização é criada, um certificado será gerado para a aplicação se autenticar no Segura.

Autenticador AliCloud

O Autenticador AliCloud do Segura oferece uma maneira para usuários e recursos do AliCloud se autenticarem com o Segura para acessar segredos gerenciados pela solução.

Configurando o Autenticador AliCloud

Passo 1

Gere um par de AccessKey conforme descrito na documentação do AliCloud.

Passo 2

Configure o AliCloud como autenticador no Segura.

  1. Vá para Settings > Authentication > Providers.
  2. Clique no botão de opções e selecione New provider.
  3. Na tela, selecione a opção AliCloud e insira o AccessKey ID e o AccessKey Secret.
  4. Para finalizar, vá para DSM > Aplicação > Aplicação.

Quando um recurso precisa usar um segredo, ele pode usar suas chaves de acesso AliCloud para solicitar as informações do Segura. O Segura validar á os dados fornecidos com o AliCloud e mapeará as políticas atribuídas ao solicitante. Se os dados usados forem válidos, o Segura permitirá que a aplicação interaja com os segredos e autorizações do DSM.

Autenticador Azure

O Autenticador Azure do Segura oferece uma maneira para usuários e recursos do Azure se autenticarem com o Segura para acessar segredos gerenciados pela solução.

Configurando o Autenticador Azure

Passo 1

Registre uma aplicação no Azure conforme descrito na documentação do Azure.

Passo 2

Gere uma credencial de Cliente com as permissões Microsoft.Compute/virtualMachines/*/read e Microsoft.Compute/virtualMachineScaleSets/*/read conforme descrito na documentação do Azure.

Passo 3. Configure o Azure como autenticador no Segura:

  1. Vá para Settings > Authentication > Providers.
  2. Clique no botão de opções e selecione New provider.
  3. Na tela, selecione a opção Azure e insira o Application ID e o Application Secret.
  4. Para finalizar, vá para DSM > Aplicação > Aplicação.

Quando um recurso precisa usar um segredo, ele pode usar seu token Azure para solicitar as informações do Segura. O Segura validará os dados fornecidos com o Azure e mapeará as políticas atribuídas ao solicitante. Se os dados usados forem válidos, o Segura permitirá que a aplicação interaja com os segredos e autorizações do DSM.

Autenticador AWS

O Autenticador AWS do Segura oferece uma maneira para usuários e recursos da AWS
se autenticarem com o Segura para acessar segredos gerenciados pela solução.

Configurando o Autenticador AWS

Passo 1

Crie um usuário no serviço AWS IAM conforme descrito na documentação da AWS.

Passo 2

Crie uma função com a política AdministratorAccess conforme descrito na documentação oficial.

Passo 3.

Configure a AWS como autenticador no Segura:

  1. Vá para Settings > Authentication > Providers.
  2. Clique no botão de opções e selecione New provider.
  3. Na tela, selecione a opção AWS e forneça o AWS Access Key ID e o AWS Secret Access Key.
  4. Para finalizar, vá para DSM > Aplicação > Aplicação.
    Quando um recurso precisa usar um segredo, ele pode usar suas chaves de acesso AWS para solicitar as informações do Segura. O Segura validar á a chave de acesso fornecida com a AWS e mapeará as políticas atribuídas ao solicitante. Se os dados usados forem válidos, o Segura permitirá que a aplicação interaja com os segredos e autorizações do DSM.

Autenticador Google Cloud

O Autenticador Google Cloud do Segura oferece uma maneira para usuários e recursos do Google Cloud se autenticarem com o Segura para acessar segredos gerenciados pela solução através das chaves do Google Cloud.

Configurar o Autenticador Google Cloud

Passo 1

Crie uma conta de serviço com os papéis roles/iam.serviceAccountKeyAdmin e roles/compute.viewer conforme descrito na documentação do Google.

Passo 2

Gere uma Chave conforme descrito na documentação.

Passo 3

Configure o Google Cloud como autenticador no Segura

  1. Vá para Settings > Authentication > Providers.
  2. Clique no botão de opções e selecione New provider.
  3. Na tela, selecione a opção Google Cloud e forneça a Chave do Google Cloud.
  4. Para finalizar, vá para DSM > Aplicação > Aplicação.

Quando um recurso precisa usar um segredo, ele pode usar suas chaves do Google Cloud para solicitar as informações do Segura. O Segura validar á a chave fornecida com o Google Cloud e mapeará as políticas atribuídas ao solicitante. Se os dados usados forem válidos, o Segura permitirá que a aplicação interaja com os segredos e autorizações do DSM.

Autenticador GitHub

A autenticação pelo GitHub oferece uma maneira para usuários e aplicações se conectarem e autenticarem no Segura usando tokens de usuários do GitHub. Este método de autenticação é mais utilizado por usuários para consumir recursos do Segura.

Configurar o Autenticador GitHub

Passo 1

Crie um token de usuário GitHub com escopo admin:org conforme descrito na documentação do GitHub.

Passo 2

Configure o autenticador GitHub no Segura:

  1. Vá para Settings > Authentication > Providers.
  2. Clique no botão de opções e selecione New provider.
  3. Na tela, selecione a opção GitHub e forneça o Token de usuário.
  4. Para finalizar, vá para DSM > Aplicação > Aplicação.
    Quando um usuário precisa usar um segredo, ele pode usar seu token pessoal do GitHub para solicitar as informações do Segura. O Segura validar á o token fornecido com o GitHub e mapeará as políticas atribuídas ao solicitante. Se os dados usados forem válidos, o Segura permitirá que a aplicação interaja com os segredos e autorizações do DSM.

Autenticador OpenID

OpenID Connect (OIDC) é uma camada de identidade baseada no protocolo OAuth 2.0 que permite que clientes solicitem e recebam informações sensíveis. Ele oferece a possibilidade de usar uma conta para autenticar múltiplas aplicações. O Autenticador OpenID do Segura utiliza a camada de autenticação fornecida pelo OIDC para permitir que aplicações se autentiquem e busquem segredos no Segura.

Configurando o Autenticador OpenID

Você deve fornecer as seguintes informações para registrar este método de autenticação:

  1. Nome do provedor.
  2. Token.
  3. URL de redirecionamento.
    Consulte a documentação do seu provedor OpenID ou fale com nossa equipe de suporte para saber mais sobre isso. Após isso, siga estas etapas para configurar seu provedor OpenID como método de autenticação:
  4. Vá para Settings > Authentication > Providers.
  5. Clique no botão de opções e selecione New provider.
  6. Na tela, selecione a opção OpenID e preencha os campos Provedor, Token e URL de redirecionamento.
  7. Para finalizar, vá para DSM > Aplicação > Aplicação.
    Para usar o Autenticador OpenID, a aplicação precisará enviar um token para o Segura, que o validará com o provedor OpenID. Para um token válido, o Segura fornecerá o segredo para a aplicação solicitante.

Autenticador Kubernetes

O Autenticador Kubernetes do Segura oferece uma maneira para aplicações e recursos do Kubernetes se autenticarem no Segura para acessar segredos gerenciados pela solução usando tokens Kubernetes. Este método facilita a autenticação de contêineres gerenciados pelo Kubernetes no Segura.

Configurar o Autenticador Kubernetes

Passo 1

Aplique a seguinte política para gerar um token Kubernetes:

kubectl apply -f - <<EOF
---
apiVersion : rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: senhasegura-authenticator
  namespace : default
subjects:
    - kind: ServiceAccount
      name: senhasegura-authenticator
      namespace: kube-system
roleRef:
  kind: ClusterRole
  name: senhasegura-authenticator
  apiGroup: rbac.authorization.k8s.io

Para usar o Autenticador Kubernetes, a aplicação precisará enviar um token para o Segura, que o validará com o host Kubernetes. Para um token válido, o Segura fornecerá o segredo para a aplicação solicitante.

Autenticador SPIFFE

SPIFFE, o Framework de Identidade de Produção Segura para Todos, é um conjunto de padrões de código aberto para identificar sistemas de software de forma segura em ambientes dinâmicos e heterogêneos. Sistemas que adotam o SPIFFE podem autenticar mutuamente de forma fácil e confiável onde quer que estejam sendo executados. O Autenticador SPIFFE do Segura oferece uma maneira para workloads se autenticarem com o Segura para acessar segredos gerenciados pela solução através de documentos de identidade criptográfica de curta duração (SVID).

Configurar o Autenticador SPIFFE

Para usar este método de autenticação, siga estas etapas:

Passo 1

Obtenha os arquivos root.pem e bundle.pem usados na sua topologia SPIFFE com sua CA.

Passo 2

Configure o SPIFFE como autenticador no Segura:

  1. Vá para Settings > Authentication > Providers.
  2. Clique no botão New provider.
  3. Selecione a opção SPIFFE e forneça o Certificado raiz e o Certificado bundle.
  4. Clique no botão Salvar.

Passo 3

Configure a aplicação para usar autenticação SPIFFE no Segura:

  1. Vá para DSM > Aplicação > Aplicação.
  2. Edite ou crie uma nova aplicação e selecione Autenticador SPIFFE.
  3. Clique no botão Salvar.

Passo 4

Configure o Workload SN em uma Autorização no Segura:

  1. Vá para DSM > Aplicação > Autorizações para a aplicação.
  2. Clique em Nova autorização.
  3. No Workload SN (Subject Name), preencha a URL SPIFFE dos workloads que deseja autorizar. Por exemplo: spiffe://webservices.example.com/environment/application/database/.
  4. Clique no botão Salvar.

Com este método de autenticação, aplicações e microserviços poderão consumir segredos do DSM Segura usando seu SVID SPIFFE. Neste exemplo, qualquer aplicação ou serviço que tenha seu SN começando com o valor abaixo, por exemplo, poderá autenticar e obter os segredos, conforme definido nas permissões de Autorização.

Configuração de autenticação JWT

A autenticação JWT permite que aplicações ou usuários se autentiquem com o DSM para usar segredos salvos no produto. Ao se autenticar com um JWT válido, o usuário obtém um token de acesso à API, com permissões definidas por políticas associadas ao papel configurado.

Requisitos

  • Um provedor de identidade capaz de emitir JWTs válidos (com assinatura RS256 ou HS256).
  • Chave pública do provedor, se JWTs forem assinados com RS256.
  • Um JWT válido com as claims necessárias (iss, aud, sub, etc.).

Passos de configuração

Para iniciar a autenticação JWT, o provedor JWT deve ser registrado no Segura.

Habilitar o método de autenticação JWT.

No arquivo de configuração ou via CLI/API:

auth_methods:
  - type: jwt
    enabled: true

Configurar o provedor de identidade.

Você deve especificar o emissor, a chave pública (se RS256) e os parâmetros de validação:

POST /auth/jwt/config
{
  "issuer": "https://seu-idp.com/",
  "jwks_url": "https://seu-idp.com/.well-known/jwks.json",
  "audience": "sua-aplicacao-id",
  "allowed_algorithms": ["RS256"]
}

Criar um papel (regra de associação token-a-política).

Crie um papel que define quais tokens podem autenticar e quais permissões recebem:

POST /auth/jwt/roles/dev-app
{
  "bound_audiences": ["sua-aplicacao-id"],
  "bound_issuer": "https://seu-idp.com/",
  "user_claim": "sub",
  "policies": ["read-secrets", "list-keys"],
  "token_ttl": "1h"
}

Realizar login com JWT

A aplicação cliente envia o JWT para obter um token da sua solução:

{
  "auth": {
    "access_token": "s.abc123xyz",
    "policies": ["read-secrets", "list-keys"],
    "expires_in": 3600
  }
}

Validações

Quando o JWT é recebido, sua aplicação deve realizar as seguintes validações:

  • Verificar a assinatura (via chave pública ou segredo).
  • Verificar que o iss e o aud estão entre os permitidos no papel.
  • Extrair a claim sub ou outra configurada como a identidade do usuário.
  • Associar as políticas definidas no papel correspondente.

Sem autenticação

O Segura oferece uma maneira para aplicações consumirem os recursos sem autenticação. Este método identificará a aplicação com base na chave única gerada para ela e controlará o acesso da aplicação com base nas políticas de autorização.

Configurando uma autorização sem autenticação

Para iniciar com o Autenticador OpenID, o Provedor OpenID deve ser registrado no Segura.

  1. Vá para DSM > Aplicação > Aplicação.
  2. Edite ou crie uma Nova aplicação e selecione Sem autenticação.
Info

Para aumentar a segurança ao usar os recursos do DSM do senhasegura® sem autenticação, sugerimos adicionar restrições de acesso por IP, solicitar origem e limitar permissões. Sem um método de autenticação, a aplicação poderá consumir os recursos do senhasegura® informando apenas a Chave do Cliente.