Passo 1
Definir modelo e regras de aprovação
Mapeie funções de plataforma para funções de trabalho e defina quem pode aprovar alterações de acesso privilegiado.
- Documente os proprietários de funções e os caminhos de aprovação para espaços de trabalho de produção.
- Limite quem pode gerenciar o faturamento, as configurações de identidade e as chaves de API.
- Exigir aprovação explícita para alterações de acesso de administrador.
- Distribua um link de SSO específico do tenant, como `/login?tenant=acme-security&provider=okta`, para que o usuário chegue ao IdP aprovado sem descoberta pública do tenant.
Passo 2
Implementar fluxo de integração e mudança de função
Use um processo repetível para novos usuários e mudanças de responsabilidade.
- Configure seu provedor de identidade e valide o fluxo de login antes da implementação ampla.
- Mapeie grupos de identidades para funções de plataforma com padrões de privilégio mínimo.
- Defina recertificações periódicas de acesso ou janelas de expiração para funções de alto risco.
Passo 3
Implementar desligamento e revogação de emergência
Garanta que o acesso possa ser removido rapidamente durante partidas ou suspeita de comprometimento.
- Desative o acesso do usuário dentro do cronograma de desativação exigido.
- Alterne chaves ou segredos de API após saídas privilegiadas, quando necessário.
- Revise os logs de auditoria para confirmar se nenhuma sessão privilegiada obsoleta permanece ativa.