Situação (antes da nossa atuação)
A Kev Systems já possuía uma solução parcial para autenticação e gestão de chaves JWKS, mas enfrentava um desafio crítico com um de seus parceiros: a necessidade de rotação frequente dessas chaves.
Embora a empresa já tivesse uma base implementada, faltava o conhecimento técnico necessário para garantir a correta automação desse processo. Isso gerava dificuldades na manutenção da segurança e conformidade com os requisitos do parceiro.
Sem uma solução eficiente para a rotação das chaves, havia um risco significativo de não conseguir atender às exigências do parceiro, o que poderia impactar diretamente o relacionamento comercial e a continuidade do projeto.
Implicações
A rotação de chaves JWKS não é uma prática comum e, por isso, nem todos os provedores de identidade oferecem suporte nativo a esse processo. No caso da Kev Systems, a solução utilizada era baseada no Amazon Cognito, que não permitia uma rotação customizada do Key Set (JWKS).
Essa limitação representava um grande desafio, pois a rotação manual das chaves poderia gerar falhas na autenticação e impactar a experiência do parceiro. Além disso, sem um mecanismo automatizado, havia riscos operacionais e de segurança, tornando o sistema mais vulnerável.
Se não fosse possível implementar uma solução eficiente para essa rotação, a Kev Systems poderia não conseguir atender às exigências do parceiro, colocando em risco o contrato e a continuidade do projeto.
O que fizemos
Para resolver o desafio da rotação de chaves JWKS, inicialmente testamos outros provedores de identidade que pudessem oferecer suporte nativo a esse processo. No entanto, nenhum deles atendeu completamente às necessidades do projeto e às exigências do parceiro.
Diante disso, optamos por desenvolver uma solução personalizada, criando uma implementação customizada para permitir a rotação do Key Set (JWKS). Para garantir maior flexibilidade e compatibilidade, integramos essa solução ao Keycloak, uma plataforma de identidade de código aberto, que possibilitou o gerenciamento adequado das chaves e a rotação automatizada.
Com essa abordagem, a Kev Systems conseguiu atender aos requisitos do parceiro sem comprometer a segurança e a eficiência do sistema, mantendo um processo automatizado e confiável para a rotação das chaves JWKS.
Entregáveis
Como resultado do projeto, entregamos:
• Customização de um mapper para o Keycloak – Desenvolvemos e implementamos um mapper personalizado dentro do Keycloak para permitir a rotação do conjunto de chaves JWKS, garantindo que a solução atendesse às necessidades da Kev Systems e de seu parceiro.
• Prova de Conceito (PoC) para a rotação do JWKS – Criamos uma PoC funcional para validar a viabilidade da solução, demonstrando a automação do processo de rotação e assegurando que a integração com o Keycloak funcionasse conforme esperado.
Com essas entregas, a Kev Systems passou a contar com uma solução eficiente e segura para gerenciar a rotação de chaves, garantindo a continuidade do projeto com seu parceiro.
Feedbacks
Embora o projeto tenha sido finalizado recentemente e ainda não tenha havido um retorno formal, a expectativa é que a solução personalizada, integrada ao Keycloak, atenda plenamente às necessidades da Kev Systems e de seu parceiro. A Prova de Conceito validou a eficácia da rotação automatizada do JWKS, trazendo mais segurança e confiabilidade ao processo de autenticação.
