[webinar] gestión identidades y control de acceso en los servicios usando wso2 is
Post on 15-Apr-2017
807 Views
Preview:
TRANSCRIPT
Last Updated: June 2015
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2
Identity Server
2
Agenda• Presentación de WSO2 y Chakray Consulting• Requerimientos de Seguridad en los Servicios
• Seguridad Holística no diferencia entre los Servicios, Aplicaciones e Información.
• Casos de uso o ejemplos de Seguridad• WSO2 Identity Server y WSO2 ESB• Aplicando Seguridad: Estrategias• Demostración• Preguntas y respuestas.
SanjivaWeerawarana
Hola! somos
MMVenture Capital$30
3
4
Una plataforma completa para crear negócios conectados
4
Mountain View,
California, USA
BloomingtonIndiana, USA
London,United
Kingdom
Colombo,Sri Lanka
São Paulo,Brazil
Oficinas
5
Equipo 500+
6
Publication Category WSO2 Year
Gartner Magic Quadrant for Enterprise Application Platform as a Service Visionary 2014
Gartner Magic Quadrant for Application Services Governance Visionary 2013
Gartner Magic Quadrant for On-Premises Application Integration Suites Visionary 2013
Gartner Magic Quadrant for On-Premises Application Platforms Visionary 2013
The Forrester Wave API Management Platforms, Q1 Leader 2013
Gartner Magic Quadrant for Systematic SOA Application Projects Visionary 2012
Gartner Magic Quadrant for Systematic Application Integration Projects Visionary 2012
Gartner Magic Quadrant for SOA Infrastructure Projects Visionary 2012
The Forrester Wave Integrated SOA Governance, Q1 Strong Performer 2012
The Forrester Wave SOA Service Life-Cycle Management, Q1 Strong Performer 2012
The Forrester Wave Standalone SOA Management Solutions, Q4 Strong Performer 2011
Gartner Magic Quadrant for SOA Governance Technologies Visionary 2011
The Forrester Wave Enterprise Service Bus, Q2 Leader 2011
Presencia en estudios de Mercado
7
+ de 250 Clientes
8
9
• "Enfoque brillante, amor a la modularidad, lo que permite una gran flexibilidad. Estamos muy contentos de estar trabajando con WSO2 "- Jim Crabbe, Senior Product Manager, Boeing
• "La extrema capacidad de soporte, es lo que nos cautivó con WSO2" - Prakash Iyer, Vicepresidente del Software Arquitectura y Estrategia, CIO, Trimble.
• “Con el uso de WSO2 ESB, habíamos sido capaces de proporcionar a los clientes y nuestors socios la calidad y experiencia que esperan de eBay" - Abhinav Kumar, Gerente senior de Ingeniería de Sistemas en eBay.
¿Y los clientes, qué dicen?
10
11
Roger CARHUATOCTO
Principal Architect SOA, BigData and Security.
www.linkedin.com/in/rcarhuatocto
@Chilcano
holisticsecurity.wordpress.com
roger [at] chakray.com
Puedes ponerte en contacto conmigo vía:
• Grupo de Consultores sénior muy especializados en WSO2.• Preferred Partner con presencia en Europa y Sudamérica.• Especializado en proveer servicios de Consultoría a Integradoras.• Suministra formación oficial on-line y presencial.
12
13
1. Requerimientos de Seguridad en los Servicios• Seguridad Holística (end-to-end):
1.-
2.-
3.-
4.-
5.-
6.-
7.-
8.-
9.-
Autenticación e Identificación
Autorización
Confidencialidad
Integridad
No Repudio
Anonimato
Disponibilidad y Fiabilidad
Auditoría
Gestión de Identidades
¿Quién eres tu?
¿Qué puedes hacer tu?
Transmisión secreta o privada del mensaje
Nadie haya alterado el mensaje
Nadie pueda rechazar/cuestionar la transacción ni el/los
mensajesNo trazabilidad de ciertas transacciones o mensajes
Servicio siempre operativo o con garantía de que funcione
Trazabilidad y recolección de evidencia
Gestión del ciclo de vida de las credenciales y atributos… y
14
1. Requerimientos de Seguridad en los Servicios• Seguridad en los Servicios:
1.-
2.-
3.-
4.-
5.-
6.-
7.-
8.-
9.-
Autenticación e Identificación
Autorización
Confidencialidad
Integridad
No Repudio
Anonimato
Disponibilidad y Fiabilidad
Auditoría
Gestión de Identidades
¿Quién eres tu?
¿Qué puedes hacer tu?
Transmisión secreta o privada del mensaje
Nadie haya alterado el mensaje
Nadie pueda rechazar/cuestionar la transacción ni el/los
mensajesNo trazabilidad de ciertas transacciones o mensajes
Servicio siempre operativo o con garantía de que funcione
Trazabilidad y recolección de evidencia
Gestión del ciclo de vida de las credenciales y atributos… y
(*)
(*)
(*) A nivel de transporte
Principal preocupación en los Servicios.
No es la principal preocupación.
15
2. Casos de uso o ejemplos de Seguridad (1/4)• Autenticación e Identificación (¿Quién eres tu?)
• Donde haya una validación de cualquier tipo de credenciales hay una “autenticación”.
• Autorización (¿Qué puedes hacer tu?)• Después de una “autenticación” satisfactoria se procede a asignar unos “atributos” (rol, permisos, etc).
• Confidencialidad (Transmisión secreta o privada del mensaje)• Mensaje de correo electrónico cifrado (certificados X.509, PGP, clave simétrica).
• Integridad (Nadie haya alterado el mensaje)• Mensaje de correo electrónico con “precintos digitales” como firma digital, hashing, time-stamping, etc.
16
2. Casos de uso o ejemplos de Seguridad (2/4)• No repudio (Nadie pueda rechazar/cuestionar la transacción ni el mensaje)
• Es la suma de todos los elementos de seguridad aplicados que “minimiza” el riesgo que la transacción o el mensaje sea rechazado o sea cuestionado.
• Burofax• Notaría• Trámites Administrativos realizados con el DNI, e-DNI, Pasaporte o e-Pasaporte.
• Anonimato (No trazabilidad de ciertas transacciones o mensajes)• Muy relacionado con la Confidencialidad/Privacidad. La RAE ha introducido el termino “Intimidad”.
• El “uso” del teléfono móvil debe ser anónimo, de igual forma que las Compras por Internet, e-Gambling, Voto, e-Voto, etc.
17
2. Casos de uso o ejemplos de Seguridad (3/4)• Disponibilidad y Fiabilidad (Servicio siempre operativo o con garantía de que
funcione)• Cómo evitamos los ataques de Ataques Distribuidos de Denegación de Servicio (“DDoS” -Denial Distributed of
Service-) en nuestras cada vez más expuestas APIs (servicios) ?.
• Throttling• Firewall de Aplicaciones• Mediation
• Auditoría (Trazabilidad y recolección de evidencia)• De aquellas operaciones o transacciones identificadas como críticas deben ser auditables, para ello se recolecta
evidencia o información producida en los eventos.
• Muchos de los servicios expuestos como APIs son monetizables y por ello son traceables. Es decir, se sabe quién, qué, cuándo y de dónde fueron usados.
18
2. Casos de uso o ejemplos de Seguridad (4/4)• … y Gestión de Identidades (Gestión de ciclo de vida de credenciales y
atributos)• Ninguno de los puntos anteriores (autenticación, autorización, confidencialidad, etc.) puede ser implantado sin
antes hacer “Gestión de Credenciales”, y esto significa:
• Crear un modelo único de usuarios, grupos y roles (modelo canónico de usuarios).• Integración y consolidación de las fuentes de credenciales (integración de datos).• Aprovisionamiento (propagar las credenciales a los sistemas que los necesitan).• Gestión del Ciclo de Vida de las Identidades (baja, alta, actualizaciones, suspensión, permisos, etc.).• Políticas y estándares (políticas de seguridad).
19
3. WSO2 IS y WSO2 ESB (1/5)
1.-
2.-
3.-
4.-
5.-
6.-
7.-
8.-
9.-
Autenticación e Identificación
Autorización
Confidencialidad
Integridad
No Repudio
Anonimato
Disponibilidad y Fiabilidad
Auditoría
Gestión de Identidades
¿Quién eres tu?
¿Qué puedes hacer tu?
Transmisión secreta o privada del mensaje
Nadie haya alterado el mensaje
Nadie pueda rechazar/cuestionar la transacción ni el/los
mensajesNo trazabilidad de ciertas transacciones o mensajes
Servicio siempre operativo o con garantía de que funcione
Trazabilidad y recolección de evidencia
Gestión del ciclo de vida de las credenciales y atributos
El “Negocio Conectado” de hoy
REQU
ISIT
OS D
E SE
GURI
DAD
20
3. WSO2 IS y WSO2 ESB (2/5)“Identity Silos” “Spaghetti Identity”
21
3. WSO2 IS y WSO2 ESB (3/5)Hay que ser “políglotas”
http://www.slideshare.net/rcarhuatocto/wso2-con2013-soacryptorcarhuatoctorev2
22
3. WSO2 IS y WSO2 ESB (4/5)
Implementada completamente.
Integrada pero no rica en funcionalidades.
23
3. WSO2 IS y WSO2 ESB (5/5)
Identity Mediation Language
http://blog.facilelogin.com/2015/05/identity-mediation-language-iml.html
El “Identity Bus”
http://www.slideshare.net/prabathsiriwardena/connected-identity-the-role-of-the-identity-bus
4. Aplicando Seguridad (1/5)
24
• El proceso seguido
Gestión de Accesos e Identidades (IAM).
• User credential lifecycle Management
• Modelo de usuarios
Gestión de Accesos e Identidades (IAM).
• Servicio de Autenticación y Autorización
• Servicio de SSO
Seguridad de la Información.
• PKI y Firma Digital• Time Stamp• Seguridad de
Documentos.
Disponibilidad de los Servicios y API.
• Throttling• QaS• Firewalling
Auditabilidad.
• No Repudio• Evidencias
Monitoring
4. Aplicando Seguridad (2/5)
25
*
****
*****
Federated User Management
Portal B2B, B2C, E2E (API)
BAM, BI & BigData
(WSO2 SS, BAM, CEP)
BPM Applications(Bonita BPM)
(WSO2 ESB)
Portal / Front-endIdentity Management
Web, Collab, Mobile, Portlets B2B, B2C, API
(Virtual Directory)
Existing Business Applications
New Business Application
SystemsBonita Studio
Bonita WorkflowEngine
Presentation Layer
OrchestrationLayer
Business Service Layer
CONTROLLER
MODEL
VIEW
SECU
RITY
Bonita UX Portal
SERVICES
PHP, Ruby, Python,Java
2 3
4
5
6
7
910
8
(WSO2 IS)
1
GOVERNED SERVICES
9
• Un Negocio Conectado
4. Aplicando Seguridad (3/5)
26
• Flujos implementados
1. Start login process2. Pass login process to Bonita3. Bonita passes login process4. OB passes login process5. WSO2IS sends response6. OB redirects response7. Bonita redirects response8. Liferay receive response
Authentication in Openbravo
1. Start login process2. Pass login process to Bonita3. Validate credentials4. WSO2IS sends response5. Bonita redirects response6. Liferay receives response
Authentication in Bonita
1. Start login process2. Validate credentials3. WSO2IS sends response4. Liferay receives response
Authentication in Liferay
LIFERAY WSO2IS BONITA OPENBRAVO
LIFERAY WSO2IS BONITA OPENBRAVO
Desplegar WSO2 Identity Server (WSO2 IS), crear usuarios, roles, grupos, …
1.
Configurar Autenticación LDAP en Liferay apuntando al LDAP embebido de WSO2 IS. Habilitar la sincronización usuarios, roles, grupos, …
2.
Configurar Autenticación LDAP y sincronización en Bonita BPM apuntando al LDAP embebido de WSO2 IS.3.
Configurar Autenticación LDAP y sincronización de usuarios en Openbravo apuntando al LDAP embebido de WSO2 IS.4.
Verifique el proceso de autenticación y de sincronización de usuarios en todo el ecosistema.5.
Después de consolidar repositorios de Usuarios y validar el proceso de Autenticación, estamos listos para implementar servicio de Autorización, SSO, Federación de Identidades, Social Login, etc.
6.
27
4. Aplicando Seguridad (4/5)• Firma Digital
http://www.slideshare.net/rcarhuatocto/wso2-con2013-soacryptorcarhuatoctorev2
28
4. Aplicando Seguridad (5/5)• Firma Digital
http://www.slideshare.net/rcarhuatocto/wso2-con2013-soacryptorcarhuatoctorev2
29
5. Demostración #1 (1/3)• Gestión de Identidades (Aprovisionamiento)
http://holisticsecurity.wordpress.com/2014/01/13/iam-organizaciones-con-wso2is
*
**
Federated User Management
APP 2
APP 1Identity Management
(Virtual Directory)
SECU
RITY
(WSO2 IS)
9
API (
prov
ision
ing)
User
Adm
in S
OAP
*
APP 3
30
*
5. Demostración #1 (2/3)• Bring Your Own ID (BYOID): Social Login
***
Federated User Management
APP 2
(ERP, CRM, …)
APP 1
(Mobile App)
Identity Management
(Virtual Directory)
SECU
RITY
(WSO2 IS)
9
Travelocity.COM
(Adhoc WebApp)
SAML WSO2 IS 5.0:• Supporting BYOID with Chained Collaborative
Federation (CCF) pattern.• Can “mediate” between OpenID, OAuth 1.0, OAuth 2.0,
SAML 2.0 and OpenID Connect.• Built integration with Google (with openID), Facebook
(Graph API 1.0), Yahoo and Microsoft Live.
https://developer.linkedin.com/docs/oauth2https://developers.facebook.com
OAuth
31
5. Demostración #1 (3/3)• Autenticación y Autorización en API (1/2)
http://wso2.com/library/articles/2015/03/bring-your-social-identity-to-perform-organizational-authorization-actions-with-wso2-identity-server/
32
Existing Business Applications
ESB
5. Demostración #1 (3/3)• Autenticación y Autorización en API (2/2)
https://holisticsecurity.wordpress.com/2015/04/19/applying-ws-security-policy-framework-to-wso2esb-wso2dss/
**
Federated User Management
API
Identity Management
(Virtual Directory)
SECU
RITY 1
(WSO2 IS)
3
9
2
WS-SECURITY
JWT (JSon Web Token)
OAUTH
USER TOKEN
ERP CRM MS Oracle IBM SAP
4
WSO2 ESB:• Axis2 Server
• Rampart (WS-Security)• PasswordCallback (Axis2 Handler)
WSO2 AM:• Habilitar JWT (Java Web Token)• https
://docs.wso2.com/display/AM180/Passing+Enduser+Attributes+to+the+Backend+Using+JWT
• %APIM_HOME%/repository/conf/api-manager.xml
{ "typ":"JWT", "alg":"NONE" }{ "iss":"wso2.org/products/am", "exp":1345183492181, "http://wso2.org/claims/subscriber":"admin", "http://wso2.org/claims/applicationname":"app2", "http://wso2.org/claims/apicontext":"/placeFinder", "http://wso2.org/claims/version":"1.0.0", "http://wso2.org/claims/tier":"Silver", "http://wso2.org/claims/enduser":"sumedha" }
33
5. Demostración #2• Firma Digital
http://www.slideshare.net/rcarhuatocto/wso2-con2013-soacryptorcarhuatoctorev2
6. Conclusiones
34
• Defina la Arquitectura• Haga un Plan:
• Identifique una o varias estrategias de integración de “seguridad”
• Inicie una “Prueba de Concepto”• Todo es API, es fácil.
• No se olvide de lo primero:• Gestión de Identidades antes de desplegar las estrategias de integración de “seguridad”
• Monitorización y Auditabilidad
Preguntas y
respuestas
35
edgar@wso2.comroger@chakray.co
m
Contact us !
Connect the World
top related