Gerenciamento de Identidade e Acesso do Cliente (CIAM) e Gerenciamento de Identidade e Acesso (IAM) são termos bastante próximos e cujas práticas têm um foco em comum – definir como deve ocorrer o acesso de diferentes perfis a uma aplicação ou sistema. No entanto, tratam-se de conjuntos de práticas que miram públicos e necessidades diferentes e que, por consequência, se adequam melhor a cenários distintos também.
Nesta leitura, vamos entender melhor a diferença entre CIAM e IAM e como cada um pode apresentar resultados melhores se adotados aos respectivos contextos para os quais foram desenhados.
Image by starline on Freepik
CIAM
Os critérios para conceder privilégios de acesso a pessoas formam o pilar principal de CIAM. Logo, é com esse tipo de gerenciamento que é controlado o funcionamento do login único, a autenticação de múltiplos fatores, o monitoramento de perfis e a extração de relatórios sobre uso de dados.
Há quem diga que CIAM é uma simples ramificação de IAM, com preocupação única em gerenciar as mencionadas aplicações e sistemas sob a ótica B2C. Mas a verdade é que o Gerenciamento de Identidade e Acesso do Cliente pode ter sistemas capazes de entregar efetividade sem ter qualquer dependência da estrutura hierárquica dos diretórios de IAM.
IAM
A disciplina para o controle de negócios é o lado da moeda que representa o Gerenciamento de Identidade e Acesso, garantindo que colaboradores tenham o acesso devido aos ambientes corretos dentro da estrutura de uma empresa. A aplicação rigorosa da segurança visa atender critérios exigentes para impedir a exposição e a vulnerabilidade de dados guardados, sejam eles da própria empresa, da sua força de trabalho ou dos clientes atendidos.
IAM ajuda a definir não apenas o permissionamento para o controle de acesso, mas também administra entidades, as quais podem abranger usuários, aplicações, hardware e até mesmo redes.
O caso Blue Box
Parte 1
Uma vez esclarecida a diferença entre CIAM e IAM, vamos assimilar qual dos 2 é mais adequado dentro de um cenário fictício. Suponhamos que uma empresa chamada Blue Box, com muitos clientes e nem tantos funcionários, esteja em processo de construção do seu futuro império com base em um algoritmo de compressão.
Para todas as contratações, a Blue Box quer certificar que haja acesso a recursos básicos como, por exemplo, Google Drive (para armazenar e sincronizar arquivos de trabalho), GitHub (para hospedar códigos-fonte), Slack (para otimizar a comunicação entre colaboradores), entre outros.
Em um mesmo dia foram contratados um profissional de Engenharia de Dados e outro de Marketing. O primeiro perfil precisa ser adicionado a um grupo específico do GitHub para poder seguir a sua rotina de trabalho. Já para o segundo perfil, fora os recursos citados anteriormente, ainda é necessário liberar o seu acesso ao HubSpot (plataforma de CRM) e ao Zapier (automatizador de fluxos de trabalho). Além disso, ambos devem apresentar capacidade sólida de realizar auditorias com toda a responsabilidade que o processo requer. Fica a questão – qual dos modelos de gerenciamento se encaixa melhor com o cenário fictício descrito?
A resposta é IAM. Isso porque os perfis dos colaboradores de Engenharia de Dados e de Marketing são plenamente conhecidos pela Blue Box, que os validou por meio do processo de contratação que é esperado ser duradouro. Sem contar que dentro da empresa há um processo de concessão de licença estruturado com base nas atribuições de cada um deles.
Parte 2
Todos os novos clientes da Blue Box são captados através de auto-registro e, após finalizá-lo, pagam para poder utilizar o algoritmo de compressão intermediária. Alguns deles fazem uso do algoritmo para realizar a integração que precisavam finalizar e ficam afastados por algum tempo, sem realizar login durante esse período. Já outros clientes utilizam o algoritmo com recorrência, mas não gostam da experiência de ter que fazer login múltiplas vezes e acabam recorrendo às suas contas no Google para tornar essa rotina de identificação mais rápida. Mais uma vez – qual dos modelos de gerenciamento atende de maneira mais eficaz essa realidade dos clientes da Blue Box?
Agora é o CIAM. Os motivos para isso incluem a existência de clientes pagando para utilizar uma solução desenvolvida pela empresa e que precisam ser fidelizados. Como sempre há mais opções no mercado, é preciso encantar aqueles que podem eventualmente escolher a concorrência em algum momento do ciclo de vida.
Comparativo final
Ainda que IAM e CIAM compartilhem certas similaridades quanto o assunto o gerenciamento em prol da segurança de dados, não se pode deixar de lado as divergências conceituais entre os conceitos.
Enquanto as soluções de IAM fornecem suporte para os colaboradores utilizem os recursos indispensáveis para a execução das suas atividades dentro do ambiente corporativo, os sistemas de CIAM miram na oferta de uma soluções escaláveis e experiências cada vez mais satisfatórias aos clientes que consomem uma aplicação ou um sistema comercializado por uma empresa fornecedora.