Proyecto con adAS IAM
adAS IAM GT-Identidad Contacto Daniel García Franco [email protected] Cándido Rodríguez Montes [email protected] Derechos de uso El presente documento es propiedad de Auditoría y Consultoría de Privacidad y Seguridad, SL, (PRiSE) y se cede a los miembros de GT-Identidad con las siguientes condiciones: Este documento es privado y no podrá ser objeto de reproducción total o parcial, electrónico, mecánico, por fotocopia, registro o cualquier otro. Así mismo, tampoco podrá ser objeto de préstamo, alquiler o cualquier otra forma de cesión de uso sin el consentimiento previo y por escrito de PRiSE, titular del derecho de autor (copyright). El incumplimiento de las limitaciones señaladas por cualquier persona que tenga acceso a la documentación será perseguida de acuerdo con la ley. Resumen Suite de adAS Proyecto con adAS IAM Suite de adAS • • • • • • Presentación suite adAS SSO adAS PWD adAS User adAS IAM Escenario habitual en universidad Suite de adAS Presentación suite SSO PWD SERVICIO DE SINGLE SIGN-ON GESTIÓN DE CONTRASEÑAS ALERTAS IAM COMUNICACIONES PARA LOS USUARIOS FED GESTIÓN DE FEDERACIONES CONSULTORÍA SERVICIO DE CONSULTORÍA GESTIÓN DE IDENTIDAD DIGITAL SUITE DE PRODUCTOS EN IDENTIDAD DIGITAL USER GESTIÓN DE DATOS POR PARTE DE LOS USUARIOS CAPACITACIÓN FORMACIÓN CONTINUA Suite de adAS - adAS SSO Presentación suite SSO SERVICIO DE SINGLE SIGN-ON SUITE DE PRODUCTOS EN IDENTIDAD DIGITAL Suite de adAS - adAS SSO Características • Proveedor de Identidad avanzado • Autenticación • • • • Usuario y contraseña Certificado digital X.509 Autenticación delegada: STORK, SIR, CONFIA, ... Protección contra ataques de usuario y contraseña SSO Suite de adAS - adAS SSO Características • Proveedor de Identidad avanzado • Autorización de acceso • • • • En base a atributos Pantalla de error o URL a la que redirigir API REST • Atributos, aplicaciones, ... Escenario completo • • Aplicaciones web Aplicaciones móviles SSO Suite de adAS - adAS PWD Presentación suite PWD GESTIÓN DE CONTRASEÑAS SUITE DE PRODUCTOS EN IDENTIDAD DIGITAL Suite de adAS - adAS PWD Características • • Definición de política de contraseña • Modificación de la contraseña sin solicitar la actual • Si la autenticación es fuerte • Histórico de contraseñas • Integración con mecanismo externo de comunicación • SMS Provee dos aplicaciones • Usuario final • Procedimiento para resetear o cambiar contraseña • CAU o Help Desk • Mecanismos de protección RBAC Suite de adAS - adAS PWD Características • • Integración con adAS IAM • Perfiles y sincronizaciones Integración con adAS SSO • En cada autenticación, comprueba la validez contraseña • Si la contraseña está expirada: • Redirige a adAS PWD • Si la contraseña está próxima a expirar: • Informa al usuario de ello Suite de adAS - adAS User Presentación suite SUITE DE PRODUCTOS EN IDENTIDAD DIGITAL USER GESTIÓN DE DATOS POR PARTE DE LOS USUARIOS Suite de adAS - adAS User Características • Servicio orientado al usuario final • Se integra en el SSO como un Proveedor de Servicio más • Usuario consulta su propia identidad en la organización • Cambia o solicita cambios de un conjunto determinado de atributos Suite de adAS - adAS User Características • Aplicación base para móvil • Basado en Candao 2.0 • Consultar su propia identidad en la • • organización Conocer qué aplicaciones están disponibles en el SSO Activar/desactivar el acceso a cada una de las aplicaciones Suite de adAS - adAS IAM Presentación suite IAM GESTIÓN DE IDENTIDAD DIGITAL SUITE DE PRODUCTOS EN IDENTIDAD DIGITAL Suite de adAS - adAS IAM Introducción • Gestión de identidad digital • Usuarios • • • • • • Grupos o perfiles Contraseñas Políticas de cumplimiento de atributos Auditorías e informes Repositorio principal y sincronizaciones Interoperabilidad IAM Suite de adAS - adAS IAM Arquitectura Portal autoservicio Consola de administración Aplicaciones Lectura/ Escritura Repositorio principal LDAP Virtual API REST SCIM Base de datos interna SSO Motor backend Motor IAM API REST Repositorios gestionados API REST Servidor Gearman Worker Interfaz backend Worker Worker Conexión LDAPS Conexión HTTPS Conexión TLS/TCP Servidor Gearman Worker Interfaz backend Worker Worker Suite de adAS - adAS IAM Arquitectura v1.0 Portal autoservicio Consola de administración Aplicaciones Lectura/ Escritura Repositorio principal LDAP Virtual API REST Base de datos interna SSO Motor backend Motor IAM Conexión LDAPS Repositorios gestionados Conexión HTTPS Conexión TLS/TCP Suite de adAS - adAS IAM 1.0 Gestión de identidad digital • • • • Definición de perfiles y sub-perfiles • Atributos obligatorios y opcionales Operaciones CRUD • Crear, Ver, Modificar y Eliminar • • Repositorio principal Sobre un usuarios Sobre varios usuarios Gestión de grupos de usuarios Gestión de roles y permisos • Facilitar modelo RBAC Repositorios gestionados Suite de adAS - adAS IAM 1.0 Gestión de identidad digital • Políticas de cumplimiento de atributos • Semántica y restricciones • Configuración adaptable: • Predefinición de numerosos tipos de atributos • • Dirección, código postal, NIF, ... Posibilidad de incluir propios Suite de adAS - adAS IAM 1.0 Auditorías e informes • Registro de log • Toda acción en adAS IAM queda registrada • Auditorías • Análisis de la identidad digital • Ejecución programable • Envío de resumen a través de correo electrónico • Configurable qué personas lo reciben Suite de adAS - adAS IAM 1.0 Auditorías e informes • Tipos de auditorías: • Políticas de cumplimiento de atributos • • Qué usuarios Usuarios duplicados • • • Detección de usuarios similares Mediante reglas configuradas Ejecución de auditoría seleccionando reglas Suite de adAS - adAS IAM 1.0 Auditorías e informes • Estadísticas • Visualización estado Identidad digital • Generación de indicadores • Ejemplos: • • • Número de usuarios dados de alta Usuarios que no cumplen política de cumplimiento de atributos Usuarios por perfiles Suite de adAS - adAS IAM 1.0 Repositorios • Modelo 1 - N • • • 1 repositorio principal N fuentes de datos • • Manual Automáticamente detectando cambios • Definición de reglas para la resolución de conflictos de manera automatizada • LDAP, AD, Oracle, SQL Server, MySQL, ... Sincronizaciones entre repositorio y las fuentes de datos • Reglas de reconciliación • Siempre que se pueda Suite de adAS - adAS IAM 1.0 Repositorios • Sincronización hacia el repositorio principal • • Replicación de información • • • Selección de datos Reglas de validación Reglas de transformación Repositorio principal Repositorios gestionados Ejecución manual o programada • • Uso de las reconciliaciones definidas Generación de informe Suite de adAS - adAS IAM 1.0 Repositorios • Sincronización desde el repositorio principal • Volcado de información • • • Selección de datos Reglas de transformación Repositorios gestionados Ejecución manual o programada • • Uso de las reconciliaciones definidas Generación de informe Repositorio principal Suite de adAS - adAS IAM 1.0 Interoperabilidad • API REST • • • Ofrece determinadas operaciones de adAS IAM • • Gestión de identidad digital Auditorías Protegido mediante OAuth 2 LDAP Virtual • LDAP para operar con la identidad digital definida en adAS IAM Suite de adAS Escenario habitual en universidad • Core business y adAS IAM • Aplicaciones que generan gran volumen de información • Gestionan parte de la identidad digital • Gran impacto en el modelo anualmente • • Independientemente • Consecuencia: escenario complejo • Miles de operaciones • Poco nivel de confianza en la información Ejemplos: RRHH, académico, ... • Sin la integración en adAS IAM el escenario no será 100% éxito Suite de adAS Escenario objetivo en universidad Entradas manuales Aplicaciones Aplicaciones Gestión RRHH API REST Gestión Académica SSO IAM LDAP Virtual LDAP Correo / Autenticación Portal autoservicio Consola de administración Repositorio principal Suite de adAS Escenario objetivo en universidad • Gestión de identidad digital centralizada Entradas manuales Aplicaciones Aplicaciones Gestión RRHH API REST Gestión Académica SSO IAM LDAP Virtual LDAP Correo / Autenticación Portal autoservicio Consola de administración Repositorio principal Suite de adAS Escenario objetivo en universidad • Gestión de identidad digital centralizada • Entradas manuales Aplicaciones Gestión Académica Aplicaciones business informan • • • Gestión RRHH API REST Aplicaciones del core IAM LDAP Virtual Creación ModificaciónSSO LDAP Correo / Autenticación • Eliminación Se ejecutan procesos de Portal autoservicio Consola de administración Repositorio principal validación de la información Suite de adAS Escenario objetivo en universidad • Gestión de identidad digital centralizada • Entradas manuales Aplicaciones Aplicaciones del repositorio principal Gestión RRHH API REST Gestión Académica Actualización • IAM LDAP Virtual Sincronización SSO con otros LDAP Correo / Autenticación repositorios Consola de administración Repositorio principal • Portal autoservicio Reconciliaciones Suite de adAS Escenario objetivo en universidad • Servicio de Single Sign-On • Uso de LDAP y Entradas manuales repositorio • • Aplicaciones Aplicaciones Autenticación Gestión RRHH Autorización de Gestión Académica acceso API REST SSO IAM LDAP Virtual LDAP Correo / Autenticación Portal autoservicio Consola de administración Repositorio principal Suite de adAS Escenario objetivo en universidad • Aplicaciones • Uso de LDAP para la autenticación • • Entradas manuales Si no se encuentra dentro del SSO Aplicaciones Uso de la API REST Gestión RRHH • • API REST Atributos del usuario IAM Gestión Académica • Aplicaciones Autorización del usuario LDAP Virtual • SSO LDAP Virtual LDAP Correo / Autenticación Portal autoservicio Consola de administración Autenticación + atribución + autorización definidas en Repositorio principal adAS Suite de adAS Escenario objetivo en universidad • Portal de autoservicio • Combinación de adAS PWD + adAS User • Aplicaciones Aplicaciones Aplicación para usuarios Gestión RRHH • • Web Gestión Académica • Entradas manuales Móvil API REST SSO IAM LDAP Virtual LDAP Correo / Autenticación Aplicación para CAU/Help Desk Portal autoservicio Consola de administración Repositorio principal Suite de adAS Escenario objetivo en universidad • Gestión centralizada • • • • adAS IAM Entradas manuales adAS SSO Aplicaciones Aplicaciones adAS PWD Gestión RRHH adAS User Gestión Académica API REST SSO IAM LDAP Virtual LDAP Correo / Autenticación Portal autoservicio Consola de administración Repositorio principal Proyecto con adAS IAM • • • • Requisitos de GT-Identidad Costes Alcance proyecto Ventajas principales Proyecto con adAS IAM Requisitos de GT-Identidad Proyecto con adAS IAM Alcance del proyecto • • • Dependencia de éxito en un proyecto de gestión de identidad digital • 40% producto • 60% ejecución del proyecto Proyecto donde casi el 100% es instalación del producto • Se obtienen scripts bajo herramienta visual Ejemplo • Política de autorización de acceso en adAS SSO Proyecto con adAS IAM Costes • Licencia de adAS IAM • • Licencia académica • Alcance puede ser diferente en cada universidad • De por vida y sin límite de usuarios • Inferior a 12.000€ Servicio de implantación • • • • Fuentes de datos Aplicaciones Sincronizaciones ... Estimación media • • Duración 12 meses Ejecución en 4 fases Proyecto con adAS IAM Alcance del proyecto • • Fase 1. Consultoría • • Análisis de identidad digital • • • Modelo Fuentes de datos Flujos Infraestructura técnica Fase 2. Implantación (1/2) • Instalación y configuración de la suite de adAS • SSO, User, IAM y PWD Proyecto con adAS IAM Alcance del proyecto • • • Fase 2. Implantación (2/2) • • • Gestión de identidad digital • • • • Políticas de validación de atributos Carga de repositorio central Reglas de sincronización ... Adaptación de aplicaciones Piloto y puesta en producción Fase 3. Formación Fase 4. Mantenimiento Proyecto con adAS IAM Ventajas principales • • • Experiencia en PRiSE • Identidad digital • Institución académica / científica Equipo técnico completo en los proyectos • Nivel 1, 2 y 3 Productos abiertos y orientados al cliente • Experiencias previas con adAS SSO y adAS PWD • ¿Alguna pregunta? C/García de Vinuesa nº 22, 1º B Sevilla 41001 T 954 22 53 03 · [email protected] www.prise.es
© Copyright 2024