rasea na revista tema
DESCRIPTION
Artigo sobre o Rasea (http://rasea.org) na sessão técnica da revista Tema, a Tematec.TRANSCRIPT
O QUÊ?
O Rasea é um sistema de controle de acesso, mas
não um qualquer. Seu nome é um acrônimo para cRoss-
plAtform accesS control for Enterprise Applications, o
que já nos revela bastante coisa: uma solução de con-
trole de acesso multiplataforma para aplicações corpo-
rativas. Seu grande diferencial é a simplicidade,
alcançada através de experiências adquiridas em pesqui-
sas, implementações e uso.
Buscando equalizar teoria e prática, o projeto foi
aprovado como dissertação de mestrado em 2009 e
bem aceito pelas empresas privadas e órgãos públicos
que utilizam o Rasea em ambiente de produção. O Ra-
sea esteve entre os três trabalhos premiados no tema
Engenharia de Software do ConSerpro 2010, congresso
que estimula pesquisa, criatividade e inovação tecnoló-
gica.
Resumidamente, o Rasea é uma solução orientada a
serviços que permite o controle unificado de permissões
com base no padrão RBAC, utilizando conceitos e tec-
nologias existentes para garantir a interoperabilidade em
ambientes heterogêneos. Ainda não entendeu? Vamos
adiante, tudo ficará mais claro a partir daqui.
�������� �� ������
��������� ��� � �����
PARA QUÊ?
Durante o dia-a-dia no trabalho acessamos diversos
sistemas diferentes: correio, rede, controle de ponto,
chamado técnico, contra-cheque, dados cadastrais e por
aí vai. Quando precisa modificar suas senhas de acesso,
o que você faz? É obrigado a alterá-las em cada sistema,
seguindo diferentes regras: tamanho, combinação de le-
tras e números, expiração, dentre outras. Só que o pro-
blema não acaba por aí.
JAN/FEV 2011| | 5
públicos. Pode ser utilizado por profissionais autônomos
e por qualquer organização que pretende facilitar o ge-
renciamento do controle de acesso de suas aplicações.
O Serpro pode ser altamente beneficiado, minimi-
zando eventuais esforços redundantes gastos no geren-
ciamento de diferentes módulos de controle de acesso,
criados por necessidades diversas: tecnologia, área de
negócio, unidade organizacional ou polo de desenvolvi-
mento. O Rasea também poderia fazer parte da linha de
negócios de empresa prestadoras de serviços de infor-
mática, com potencial de customização para atender as
diferentes políticas de gerenciamento de permissões
praticadas nos clientes.
COMO?
Antes de mais nada, é preciso deixar claro alguns ter-
mos importantes. Um deles é autenticação, que identifi-
ca alguém no sistema e garante que ele é de fato quem
diz ser. Já a autorização define quem pode fazer o que.
A função do controle de acesso é permitir ou negar o
acesso aos recursos do sistema.
O Rasea não reinventa a roda. Utilizamos o padrão
RBAC (ANSI INCITS 359-2004), que significa Role Based
Access Control ou controle de acesso baseado em pa-
péis. Com o RBAC é possível conceder permissões ao
papel, e não diretamente ao usuário. Veja: os funcioná-
rios (usuários) do setor financeiro (papel) possuem auto-
rização para emitir (ação) nota fiscal (recurso). Agora,
mãos à obra!
A arquitetura do Rasea se fundamenta em dois ele-
mentos principais tratados sob duas perspectivas. O ser-
vidor preocupa-se com a disponibilidade dos serviços, o
agente aborda aspectos específicos das plataformas das
aplicações. As perspectivas independência de platafor-
ma e integração promovem a comunicação entre o Ra-
sea e as informações da organização, tudo de uma
forma independente de tecnologia ou linguagem de
programação.
Você está dentro do sistema! Agora é necessário ga-
rantir que você terá acesso apenas às funcionalidades
compatíveis com seu cargo, função ou papel que de-
sempenha. Na maioria das vezes, cada aplicação cria
seu próprio módulo de gerenciamento de permissões,
gerando retrabalho, falta de padronização e desperdício
de tempo. Os analistas e programadores não deveriam
se preocupar apenas com o negócio? Não seria mais
apropriado delegar para “alguém” as questões relacio-
nadas ao controle de acesso?
O Rasea vai auxiliar em três pontos-chave. O primei-
ro é contribuir para a unificação da base de usuários. O
segundo é proporcionar o reuso e a padronização do
mecanismo de controle de acesso das aplicações. O ter-
ceiro quem agradece são os administradores de segu-
rança, que serão beneficados com a simplificação no
gerenciamento de permissões.
ONDE?
Atualmente o Rasea é utilizado na linha de produção
de uma Fábrica de Software como componente reusá-
vel, aumentando a produtividade no desenvolvimento
de aplicações. É utilizado também para controlar o aces-
so aos sistemas internos de algumas empresas e órgãos
TEMATEC
JAN/FEV 2011| | 6
O servidor disponibiliza um módulo administrativo,
para o gerenciamento das permissões dos sistemas, e
um módulo de serviços acessíveis pelos agentes (compo-
nentes conectáveis às aplicações corporativas). Fornece
também um módulo de extensão, possibilitando a busca
de informações dos usuários onde mais você quiser
(XML, arquivo de texto, outros sistemas), e não somente
nos meios já providos nativamente pelo Rasea (LDAP ou
SGBD).
Todas as tentativas de acesso às aplicações são inter-
ceptadas pelos agentes, que buscam as instruções de co-
mo responder àquela solicitação: permitir ou negar? Só o
servidor saberá responder, mas só o agente poderá atuar.
O agente tem a grande responsabilidade de se especializar
na tecnologia da aplicação. Por exemplo, uma aplicação
Java necessita de um agente Java.
O módulo administrativo roda na Web, é simples e intuitivo. Com ele é possível ge-
renciar usuários, aplicações, recursos, ações, permissões e autorizações. Destaque para
a matriz de concessão de autorizações, resultado das sugestões de diversos administra-
dores durante o desenvolvimento e evolução do projeto.
QUANDO?
Já! A versão atual do Rasea está pronta para uso em aplicações Java que utilizem o
framework JBoss Seam, pois este é hoje o único agente disponível. Temos notícias de
um agente criado para uso em aplicações PHP. Está em andamento a criação de um
agente para o Demoiselle, que logo permitirá a integração do Rasea com qualquer apli-
cação que utiliza o framework.
Num futuro muito breve, sistemas unificados de controle de acesso poderão ser
oferecidos como serviços em nuvem. Pode-se imaginar um cenário onde, em poucos
minutos, o cliente teria à sua disposição uma instância confiável e segura do Rasea com
o Demoiselle, permitindo o imediato controle de acesso das suas aplicações. Pensar em
Cloud Computing amplia as possibilidades e favorece a incorporação de tecnologias
como REST e NoSQL, podendo aumentar ainda mais a escalabilidade e perfomance da
solução atual.
QUANTO?
Nada, zero! Não há custo com licenciamento. Acreditamos, praticamos e disseminamos
a cultura do software livre, por isso o Rasea está disponível no SourceForge, o maior reposi-
tório de projetos open source do mundo, sob a licença LGPLv3.
Existe sim um investimento de tempo em aprendizado, capacitação. Temos buscado dis-
ponibilizar informações úteis para isso, mas sempre existe espaço para melhorar. Toda con-
tribuição é muito bem-vinda.
E?
A falta de padrão para controle de acesso não é
nenhuma novidade, sabemos disso. Grande parte
das organizações sofre deste problema, nem todas
conseguem resolver. Algumas gastam muito dinheiro
para isso.
A idéia e a implementação do Rasea são basea-
dos em simplicidade, facilidade de instalação e uso,
padrões e interoperabilidade. Para saber mais infor-
mações indicamos aqui algumas referencias. Bom
proveito!
Site do projeto: http://www.rasea.org
SourceForge: http://sourceforge.net/projects/rasea/
Twitter: http://twitter.rasea.org
Vídeo com os primeiros passos: http://www.you-
tube.com/watch?v=DV53pW14kso
JAN/FEV 2011| | 7
CLEVERSON SACRAMENTO
(ou ZyC) é desenvolvedor, arquiteto, administrador e
fundador do projeto Rasea. Mestre em Sistemas e
Computação e MBA em Sistemas de Informação,
trabalha no Serpro (CETEC/Salvador) na equipe
Demoiselle e é entusiasta da versão 2.0. Gosta de
pedalar, correr, fazer um som, escrever bobagens e
coisas sérias no blog
http://cleversonsacramento.wordpress.com.
SERGE REHEM
é analista do Serpro e atualmente lidera a excelente
equipe técnica do Framework Demoiselle, na
projeção da Coordenação Estratégica de Tecnologia
(CETEC) - regional Salvador. É entusiasta e praticante
do software livre e das metodologias ágeis de
desenvolvimento. Escreve sobre colaboração em seu
blog http://bazedral.blogspot.com.
VOCÊ
Isso mesmo! Você que se identificou com o projeto e
está com vontade de usar e contribuir com sugestões,
críticas, ideias ou até mesmo fazendo parte da equipe
de desenvolvedores. De “brinde”, você aprende muito
participando de projetos Open Source.
Todo mundo ganha!
QUEM?
JAN/FEV 2011| | 8