Um Tribunal Regional do Trabalho deseja implementar um sistema de autenticação c...

Questão de Segurança da Informação da banca FCC aplicada no concurso TRT 1ª REGIÃO RJ (2025). Confira a resolução completa abaixo:

Q978642•
Segurança da Informação•
Autenticação•
FCC•
TRT 1ª REGIÃO RJ•
Tecnologia da Informação•
2025

Um Tribunal Regional do Trabalho deseja implementar um sistema de autenticação centralizado para seus diversos aplicativos internos e externos. Decidiu, para isso, utilizar o Keycloak como Identity Provider (IdP) e configurar a autenticação e autorização dos usuários por meio do OAuth2. Durante a implementação, a equipe de segurança precisa garantir que os fluxos de autenticação estejam corretamente configurados e que os aplicativos tenham acesso seguro aos recursos protegidos. Nesse cenário,

o Keycloak pode atuar como um Authorization Server dentro do fluxo OAuth2, permitindo a emissão de tokens de acesso ? refresh tokens para aplicações cliente.

o Keycloak apenas suporta OAuth2 para autenticação federada, sendo necessário utilizar um provedor externo como Azure AD ou Google Identity para permitir login unificado.

no OAuth2, ao utilizar Keycloak como IdP, o fluxo de Implicit Grant deve ser sempre a opção preferida para aplicações web modernas, pois é o mais seguro e recomendado atualmente.

aplicações cliente que precisam acessar APIs protegidas devem utilizar o Authorization Code Lazy (ACL) combinado com Proof Authority for Code Exchange (PACE) para aumentar a segurança na troca de tokens.

o protocolo OAuth2, implementado no Keycloak, permite a geração de Access Tokens e ID Tokens, mas não suporta Refresh Tokens para renovação de sessão.

Notificações

Nada por aqui

Q978642•Segurança da Informação•Autenticação•FCC•TRT 1ª REGIÃO RJ•Tecnologia da Informação•2025

Q978642•
Segurança da Informação•
Autenticação•
FCC•
TRT 1ª REGIÃO RJ•
Tecnologia da Informação•
2025