Skip to content
Latchkey

O Que é Authentication? Provar Quem Você É

Authentication responde a uma pergunta: você é quem diz ser? Ela verifica uma identidade antes de qualquer acesso ser concedido.

Authentication é a porta da frente de todo sistema seguro. Antes de uma pessoa, serviço ou pipeline poder fazer qualquer coisa, ela precisa provar sua identidade, geralmente apresentando algo que sabe, tem ou é. No CI/CD isso importa constantemente: uma pipeline se autentica no GitHub, em um cloud provider e em um registry, muitas vezes dezenas de vezes por execução, tudo sem um humano digitar uma senha.

Os três fatores

  • Algo que você sabe: uma senha, PIN ou passphrase.
  • Algo que você tem: um telefone, hardware key ou token.
  • Algo que você é: uma impressão digital, rosto ou outro biométrico.

Authentication não é authorization

Authentication estabelece a identidade; authorization decide o que aquela identidade tem permissão de fazer. Fazer login prova quem você é. Se você pode deletar um banco de dados de produção é uma questão de authorization separada. Confundir as duas é uma fonte comum de bugs de segurança.

Como máquinas se autenticam

A maior parte do trabalho de CI é machine-to-machine. Uma pipeline não digita uma senha; ela apresenta um token, uma API key ou uma credencial de vida curta cunhada sob demanda. O serviço receptor valida essa credencial e decide se confia na requisição.

Authentication no CI/CD

Uma única execução de workflow se autentica muitas vezes: para clonar o repo, dar push em uma image, deployar em uma cloud account e reportar o status de volta. Cada passo precisa de uma credencial, e cada credencial é algo que pode vazar. Minimizar credenciais permanentes, por exemplo usando OIDC para cunhar tokens por job, encolhe esse risco.

Modos comuns de falha

Senhas fracas ou reusadas, tokens de vida longa que nunca rotacionam e credenciais commitadas no source control são as formas usuais de a authentication quebrar. Em pipelines, um token vazado é especialmente perigoso porque muitas vezes carrega acesso amplo e automatizado.

Por que o runner importa

Credenciais de authentication passam por qualquer máquina que roda o job. Em um runner compartilhado e de vida longa, um token vazado pode permanecer e ser lido por um job posterior. Runners isolados e efêmeros (como os runners gerenciados do Latchkey) destroem o ambiente após cada job, então as credenciais não sobrevivem ao trabalho que as usou.

Principais conclusões

  • Authentication prova que uma identidade é genuína antes de o acesso ser concedido.
  • Ela é distinta de authorization, que governa o que uma identidade pode fazer.
  • No CI/CD, a authentication de máquinas é constante; credenciais de vida curta reduzem o risco de leak.

Guias relacionados