Reconciliação é um dos aspectos mais importantes, críticos e complexos em uma Plataforma de Gestão de Identidade. Reconciliação tem a ver com a consistência espacial e temporal de informações, que podem ter diversas naturezas numa plataforma de Gestão de Identidade. Consistência espacial é uma propriedade requerida quando uma informação é replicada em dois ou mais lugares. De modo sucinto, consistência espacial é a propriedade que garante que todas as cópias são consistentes entre si, isto é, as cópias são iguais à informação original. Consistência temporal é a propriedade requerida quando as cópias, incluindo a informação original, variam ao longo do tempo. Resumidamente, a consistência temporal é a propriedade que garante a consistência espacial independentemente do tempo transcorrido.

Consistências, espacial e temporal, são um dos dificultadores no projeto da escalabilidade de sistemas distribuídos. Lembrando que não apenas a fonte original pode mudar, as réplicas também podem variar (e variam) ao longo do tempo. Ou seja, há que se garantir que as cópias se mantêm consistentes em relação à informação original, mas eventuais alterações nas cópias têm de ser conciliadas (e atualizadas, portanto) com reflexo na informação original.

Por exemplo, quando um novo colaborador é admitido na corporação, o backoffice fará o cadastro deste novo colaborador na Folha de Pagamentos. Observe que os demais sistemas, tais como Active Directory (AD ou LDAP) – que entre outras coisas garante o acesso à rede corporativa, email, VPN, por exemplo, precisam das informações deste novo funcionário para prover seus acessos. A arquitetura da plataforma tem um RA (Resource Adapter) especialmente preparado para buscar este evento (da inserção de um novo colaborador) na Folha de Pagamentos e cadastrar este novo colaborador nos sistemas mencionados.

Ocorre que este colaborador obtém uma Identidade que tem um ciclo de vida dentro da corporação. Por exemplo, anualmente há o direito a férias, período em que colaboradores não devem (ou não deveriam) acessar os recursos da empresa. Cabe à gestão de identidades gerir estes eventos e conciliá-los nos sistemas corporativos aos quais o colaborador tem direitos de acesso. Quando colaboradores são desligados da empresa, seus acessos devem (ou deveriam) ser removidos dos sistemas aos quais têm acessos. Estes são apenas dois exemplos para tornar mais concreto este tópico.

Por que é crítico? Porque qualquer falha nas conciliações pode implicar em, pelo menos, dois problemas: 1) falha de acesso, na qual o colaborador não consegue acessar sistemas necessários a suas tarefas; 2) auditoria, pois inconsistências nos acessos (por exemplo, um acesso que deveria ter sido removido) são penalizáveis dependendo das regulações aplicáveis à corporação. Por que é complexo? Corporações podem ter dezenas de sistemas e centenas ou milhares de colaboradores (e prestadores de serviços) e a correlação de eventos pode ser explosiva, podendo facilmente atingir milhões de eventos. Isto torna humanamente impossível, inviabilizando processos manuais.

Imagine que durante uma reconciliação, o sistema endereçado esteja fora do ar ou com sobrecarga de processamento e esteja com um tempo de resposta excessivamente longo. Poderia ocorrer de reconciliar em alguns sistemas, mas não nesses. Por este motivo, a plataforma foi projetada para trabalhar nesses (e muitos outros cenários problemáticos) garantindo que as reconciliações sejam efetivamente feitas, mesmo que tenha de esperar e fazer ao longo do tempo (quando o sistema endereçado voltar a operar). Em último caso, último mesmo, poderá ser feita uma notificação (que poderá inclusive ser a abertura de um ticket se houver um RA para o TTM – Trouble Ticket Management) para os administradores responsáveis pelos sistemas faltosos.

Além dos eventos, digamos naturais (como a remoção de um cadastro que foi “esquecido” no desligamento de um colaborador), há aqueles advindos de brechas na segurança. Administradores têm (mas não deveriam ter) acessos irrestritos a sistemas corporativos tais como bases de dados, LDAP etc e podem ser tentados (e nada mais tentador que um colaborador amigo precisando de um “acessozinho extra”) a fazer alterações (e até inserções) nesses sistemas. Imagine por exemplo, que um usuário seja inserido no LDAP da empresa, ele passa automaticamente a acessar a rede corporativa.

Observe, então, que o termo Reconciliação, tem um semântica de conciliar muitas vezes, isto é, garantir as consistências reiterada e repetidamente ao longo do tempo. Garantir que todos as possibilidades mencionadas nos exemplos dados, sejam sanadas a cada ciclo. Esses ciclos são configuráveis em termos de periodicidade, de eventos e, até, manualmente, isto é, o Gestor de Identidade pode a qualquer momento solicitar uma reconciliação. Lembrando que a reconciliação é orientada por políticas corporativas, normativas, regulatórias, de segurança etc.

Como as informações a serem reconciliadas são de diversas naturezas, podendo inclusive pertencer a repositórios diferentes, fazer todas ao mesmo tempo, além de dispendioso (custo de processamento), pode ser desnecessário, uma vez que as políticas aplicáveis às diversas naturezas de informações da Gestão de Identidade, podem variar bastante no tempo e na amplitude. Por este motivo, a Plataforma Blazon distribuiu este tópico em diversas Reconciliações, sendo: Reconciliação de Usuários, Reconciliação de Contas, Reconciliação de Direitos e Reconciliação de Membros de Direitos.

Considerando que as possibilidades de reconciliações são muitas, como se pode depreender do parágrafo anterior, a Plataforma Blazon, para facilitar a Gestão de Identidade, criou a possibilidade da criação de perfis de reconciliação. Cada perfil pode ter um nome que represente a necessidade específica, por exemplo Auditoria de Contas, sendo que o administrador poderá criar vários perfis, um para cada finalidade.