Chakray enterprise-security-soi-portunoidm-v3.0

Roger CarhuatoctoIT Consultant

roger[at] chakray.com

+34 629292125

Enterprise Security & SOIIdentity and Access Management (IAM) in the Organizations with WSO2 IS

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

1. Enterprise Security

• Nos referimos como “Enterprise Security” a los niveles de Seguridad aplicada a todos los niveles de la Organización, esto sería:• “Security Compliance” (PCI, SOX, MoReq, ISO, BSI, …)• Seguridad Física y Lógica• Seguridad Perimetral• Seguridad Preventiva, Reactiva, Pro-activa.

• Sin embargo, el eje transversal o pilar de la seguridad a nivel Corporativo es la Gestión del Acceso y de las Identidades (IAM), y se incluye lo siguiente:• Gestión del Ciclo de Vida de las Identidades

• Dar de alta, baja, actualizar, etc. perfiles de usuarios.• Modelo jerárquico de Usuarios (Grupos, Roles, etc.) muy relacionado

al modelo jerárquico de la Organización.• Servicios de Autenticación, Autorización y Auditoría.

• Si hay un proyecto de Seguridad TIC que implantar en las Organizaciones, iniciar por Gestión de Accesos e Identidades (IAM).

• Todos los tipos de Seguridad TIC se sustentan en IAM.• IAM dota a toda la Organización de capacidad de Auditabilidad y “no repudio” a los activos de la

empresa como: información, productos, procesos, individuos, marca, etc.



2. Qué es un Ecosistemas Empresarial ?

• Es la agrupación de Sistemas y Aplicaciones Tecnológicas que dan soporte al desarrollo de negocio de la Organización. Pueden conformarlo:

• ERP (Enterprise • CRM• ECM• Software Ad-Hoc• Correo Electrónico Corporativo• Portal Corporativo, Intranet, Extranet• Sistemas de Gestión de Contenidos Empresariales• Base de Datos• Sistemas “Legacy”

• Un Ecosistema Empresarial puede ser muy acoplado o desacoplado, en él pueden co-existir Sistemas y Aplicaciones heredadas o bastantes antiguas, que por la criticidad de la información que gestionan y su alto costo de actualización no pueden ser reemplazados.


Service-oriented Infraestructure (SOI) as best practice

BAM, BI & BigData

Enterprise Service Bus

Sec

urity

and

Iden

tity

Man

agem

ent

Authentication

Authorization

Single Sign-On

Social Login

Federation of Identities

Users Management

Users Provisioning

Consolidation of Identities

Presentation Layer

OrchestrationLayer

Business Service Layer

CONTROLLER

MODEL

VIEW

SE

CU

RIT

Y

Portal B2BPortal B2C

Web Portlets Mobile B2B API Dashboard OpenDataCollaboration

BPM Applications(Bonita BPM)

Existing Business Applications

CRM

CMS, ECM

ERP BPM Designer

WorkflowEngine

BPM Portal

SERVICES

DB, KPI, Logs, Docs

GOVERNED SERVICES

New Business Application

Systems

PHP, Ruby, Python,Java

3. Un ejemplo de Ecosistema Empresarial

• Chakray Consulting provee un Stack completo para abordar Proyectos de Integración basado en Servicios.• En una Arquitectura de Referencia SOA/SOI basado en el stack de productos de WSO2 (free/open source), podemos abordar

toda la complejidad de la integración de Sistemas y Aplicaciones de Negocio existentes en la Organización y siempre alineados a los principios arquitectura SOA.


4. Aplicando Seguridad a un Ecosistema Empresarial

• Primera fase:• Gestión de Accesos e Identidades (IAM).

• User credential lifecycle Management• Modelo de usuarios• Servicio de Autenticación• Servicio de Autorización• Servicio de SSO

• Segunda fase:• Seguridad de la Información

• PKI, Firma Digital• Gestión Centralizada de Documentos

• Tercera fase:• Security Compliance:

• Gestión de Riesgos de activos de la empresa• Continuidad de Negocio

• Cuarta fase:• Auditabilidad y “no repudio”


Federated User Management

(Penrose Virtual Directory)

Portal B2B (WSO2 UES, BAM, AM, ES)

Service-oriented Infraestructure (SOI) e IAM

BAM, BI & BigData

(WSO2 SS, BAM, CEP)

Enterprise Service Bus (WSO2 ESB)

Portal B2C (Liferay Portal)Identity Management

(WSO2 IS)

Web Portlets Mobile B2B APIAuthentication, Authorization

Single Sign-On

Consolidation of Identities


Systems

Dashboard OpenDataCollaboration

Presentation Layer

OrchestrationLayer


CONTROLLER

MODEL

VIEW

SE

CU

RIT

Y


User Management

Social Login



Openia CRM

Alfresco ECM

Openbravo ERP Bonita Studio

Bonita WorkflowEngine

Bonita UX Portal

SERVICES

GOVERNED SERVICES

5. Desplegando IAM en la Organización (1/2)

• La implantación o el desarrollo de un proyecto de IAM en la Organización se aborda como un Proyecto de Integración siguiendo los Principios SOA/SOI.


*

****

*

****

Federated User Management

Portal B2B (WSO2 UES, BAM, AM, ES)

Identificando Productos y Tecnología para IAM

BAM, BI & BigData

(WSO2 SS, BAM, CEP)


(WSO2 ESB)

Portal B2C (Liferay Portal)Identity Management

Web, Collab, Mobile, Portlets B2B API

(Penrose Virtual Directory)



SystemsBonita Studio

Bonita WorkflowEngine

Dashboard OpenData

Presentation Layer

OrchestrationLayer


CONTROLLER

MODEL

VIEW

SE

CU

RIT

Y

Bonita UX Portal

SERVICES


23

4

5

6

7

910

8

(WSO2 IS)

1

GOVERNED SERVICES

9

9

5. Desplegando IAM en la Organización


1. User Credentials Management

6. IAM - uses cases

• WSO2 Identity Server:• Multiples User Storages.• User Storage using LDAP embeded,

LDAP external and external DB.• Authentication, Authorization and SSO.• Exposes complete API to user

management.• Provisioning via SCIM.• Policies

• Penrose Virtual Directory• Can integrated existing LDAP and DB

storing user credentials.• Exposes a LDAP interface that can be

used as external LDAP for WSO2 IS.• Bidirectional sync (LDAP in read/write

mode)


2. AuthN and AuthZ for Ad-hoc Applications

6. IAM - uses cases

• WSO2 Identity Server exposes API to user management.• Recovery.• Change password.• Update profile.

• WSO2 IS exposes AutheN/AuthZ Services using serveral strategies/protocols:• OpenID, SAML, OAuth, XACML, RBAC,

etc.


3. AuthN and AuthZ for existing ERP and ECM

6. IAM - uses cases

• Centralized User Management.• Openia CRM is a module for Openbravo

ERP. Openbravo ERP already have functionalities to user management, then Openbravo should be configurated pointing to the embeded LDAP of WSO2 IS or Penrose Virtual Directory.

• In similar way, Alfresco ECM should be configures with this LDAP.

• Authentication and Authorization.• It is not necessary if you extend ERP or

ECM because user credentials and roles are in LDAP storage.

• Calling Services of Openbravo ERP or Alfresco ECM requires HTTP Basic Authentication. Try it using HTTP over SSL.


5. AuthN and AuthZ for Bonita BPM

6. IAM - uses cases

• Any BPM Suite has 3 components:• Designer (Bonita Studio)

• In time of processes modeling, obtain representation of hierarchy of users, groups, roles is a great help for business process expert.

• Bonita Studio is based in Eclipse IDE and It is possible to model following this representation of hierarchy of users, groups and roles using “Bonita’s Actor Filter”.

• Workflow engine (Bonita Workflow Engine)

• In this case we should cofigure Workflow engine to get hierarchy from external LDAP server.

• TaskList Portal (Bonita UX Portal)• AuthN and AuthZ process is delegated

to external LDAP. Bonita UX Portal has to configure pointing to LDAP server.


4. AuthN and AuthZ for existing Services

6. IAM - uses cases

• User Storage in WSO2 IS can be used as User Storage for WSO2 ESB.

• Authentication and Authorization:• In WSO2 ESB you can enable/disable

security over the exposed services.

• WSO2 IS offers several protocols and strategies as a Trusted-third-party, of this way, you can reach SSO and Federation of Identities.


7. AuthN and AuthZ for the Presentation Layer

6. IAM - uses cases

• Any Web Portal server commonly has a LDAP connector to sync users, groups and/or roles. Also, any Web Portal has connectors to do authentication and authorization, for example, Liferay has tools for these purposes.

• WSO2 IS provides OpenID functionality that can be used with Liferay Portal easily.

• Review the strategies to authentication, authorization and SSO of WSO2IS suitable to our environment.


1. Start login process2. Pass login process to Bonita3. Bonita passes login process4. OB passes login process5. WSO2IS sends response6. OB redirects response7. Bonita redirects response8. Liferay receive response

Authentication in Openbravo

1. Start login process2. Pass login process to Bonita3. Validate credentials4. WSO2IS sends response5. Bonita redirects response6. Liferay receives response

Authentication in Bonita

1. Start login process2. Validate credentials3. WSO2IS sends response4. Liferay receives response

Authentication in Liferay

Deploy WSO2 Identity Server, create several users and roles.

Consolidate user credentials (Penrose Virtual Directory) and Deploy LDAP WSO2 IS

Configure LDAP Authentication in Liferay pointing to the embedded LDAP of WSO2 IS.Enable Users and Roles (Group) sync.

In this step is possible to do LDAP Authentication and User syncronization.

Configure LDAP Authentication and users sync in Bonita pointing to the embedded LDAP of WSO2 IS.

Right now this functionality is available in Bonita BPM Teamwork version (http://www.bonitasoft.com/products/product-comparison).

Configure LDAP Authentication and users sync in OpenBravo pointing to the embedded LDAP of WSO2 IS.

Configure LDAP Authentication and User syncronization of OpenBravo with embedded LDAP of WSO2 IS.

Check the authentication flow and user sync flow in all the system.

Testining authentication an sync of users.

LIFERAY WSO2IS BONITA OPENBRAVO

LIFERAY WSO2IS BONITA OPENBRAVO

1.

2.

3.

4.

5.

7. IAM – flow diagram


5

6

7

1

3

4

2

9

10

8

• Process integration and consolidation of different sources of user identities.• Bi-directional synchronization, the goal is to build a centralized database of identities and attributes.

• WSO2 Identity Server exposes API to user management: recovery, change password, update profile.

• WSO2 IS exposes AutheN/AuthZ Services using serveral strategies/protocols: OpenID, SAML, OAuth, XACML, RBAC, etc.

• Openia CRM is a module for Openbravo ERP. Openbravo ERP already have functionalities to user management, then Openbravo should be configurated pointing to the embeded LDAP of WSO2 IS or Penrose Virtual Directory.

• In similar way, Alfresco ECM should be configures with this LDAP.• Calling Services of Openbravo ERP or Alfresco ECM requires HTTP Basic Authentication.

• Bonita BPM in two phases: In design-time and running-time.• When the processes are modeling, the Bonita Studio’s Actor Filters should be configurated to get users, groups and

roles from our centrilazed User Storage (LDAP).• When the processes are running, the BPM engine delegate the validation of identities (authorization) in WSO2 IS,

while the model of roles and permissions (attributes) on the centralized User Storage (LDAP).

• User Storage in WSO2 IS can be used as the User Storage for WSO2 ESB.• In WSO2 ESB you can enable/disable security over the exposed services.• WSO2 IS offers several protocols and strategies as a Trusted-third-party, of this way, you can reach

SSO and Federation of Identities.

• Existing or new applications can delegate their authentication process in WSO2 IS, while for user synchronization will use the Penrose Virtual Direcotry as our centralized repository of users and attributes.

• The advantage of using Liferay Portal Server rather than a pure applications is the ability to delegate the Authentication, Authorization and People Management WSO2 IS only setting connectors with little programming.

8. Enterprise Security & SOI - summary


9. Portuno IdM – Nuestra solución para IAM

Es nuestra estrategia tecnológica que da soporte al ciclo completo de desarrollo de Proyectos de IAM en Ecosistemas Empresariales.

Tecnológicamente está sustentada en:• WSO2 Identity Server• Penrose Virtual Directory• Conjunto de Adaptadores y Configuraciones

para Bonita BPM (Studio, Portal), Openbravo ERP, Liferay Portal, Alfresco ECM, etc. que facilitan la Gestión centralizada de credenciales de usuarios.

Metodológicamente está sustentada en las buenas prácticas de arquitectura de aplicaciones críticas y los principios de integración basada en “servicios” (SOI).

SOA


9. Portuno IdM – Beneficios

Basado en productos free/open source maduros y con una comunidad y organizaciones muy activas que les dan soporte.

WSO2 IS, Penrose implementan los estándares de seguridad más usado en estos momentos:• SAML, OAuth, SCIM, XACML, X.500, X.509, ..

Sigue las buenas prácticas de arquitectura y seguridad:• Decoupled Architecture• Separation of Concerns (SoC)• Service-Oriented Architecture (SOA)• Service-Oriented Integration (SOI)• Complete IAM’s Services exposed as API• Ready to Cloud: Social Login• No intrusive Technology:

• Integration and consolidation, not migration or shift to back burner


9. Portuno IdM – Oferta de Servicios

Consultoría:- Toma de requerimientos- Diseño de Arquitectura IAM- Plan de Proyecto IAM

Arquitectura y desarrollo:- Despliegue de Infraestructura IAM- Configuración base de Infraestructura IAM- Diseño y ejecución de Test Master Plan para

Integración de Sistemas (Login y Control de Acceso, SSO, Gestión Centralizada de Usuarios)

Integración con Business Applications:- Con BPM, ERP, CRM, ECM, Portal, Social Login,

etc.

1 Semana

4 Semanas

En relación a Sistema a Integrar

IAM avanzada:- IAM en Alta Disponibilidad- Administración y Monitorización Gestionada

Consultar


• Toma de Requerimientos• Diseno de la

Arquitectura IAM• Plan de Proyecto

IAM

Consultoria

• Despliegue de Infraestructura IAM• Configuración base de

Infraestructura IAM• Diseño y ejecución de Test

Master Plan para Integración de Sistemas (Login y Control de Acceso, SSO, Gestión Centralizada de Usuario

Arquitectura y Desarrollo

Integracion con los Sistemas Existentes

Quiénes Somos

Presentación Corporativa

CHAKRAY : “Palabra Quechua que describe el buen uso que en el mundo Andino se le ha dado a la Tecnología para el trabajo con la tierra.”

Aportar la excelencia en la Planificacion, implantacion , Soporte y Formación de Sistemas Criticos OpenSource

Misión:

Visión:

Ser una empresa de Alta Especialización sobre Sistemas Críticos OpenSource, Sabemos que el principal activo es nuestro equipo. Sabemos colaborar con todos los “Stakeholders“ en Proyectos sobre Tecnologías de la Información con base en plataformas OpenSource dando soporte de muy alta calidad a los negocios de sus clientes, gestionando y evolucionando sus Sistemas de Información.

Nuestros Principios


• Hacemos bien las cosas. Sabemos que la Tecnología es Soporte al Negocio y conocemos su Criticidad

• Somos Especialistas en las soluciones que proponemos

• No reinventamos la rueda .Trabajamos con Arquitecturas Escalables bajo una Orientación a Servicios SOA (Service Oriented Architecture) con una Arquitectura de Referencia Probada.

• Desarrollo, Construcción e Integración Ágil y cercana al Negocio, bajo BPM (Busines Process Management) y PDD (Process Development Drive)

• Aplicamos la Seguridad a todos los niveles de la Solución

• Nuestra Solución es Virtualizable y orientada a la Nube

Nuestros Servicios


Consultoría Tecnológica OpenSource

Planificación estratégica Arquitectura.Optimización de procesos Oficina TécnicaDesarrollo , Implantación y Despliegue

Servicios Profesionales

Selección de perfiles (Headhunting).Outsourcing no gestionado.

Metodologías Agiles y Formación

Proporcionar competencias técnicas para el mantenimiento de las soluciones tecnológicas.

www.linkedin.com/company/chakray-consulting

@Chakray_com

www.chakray.com

Haciendo Bien las cosas , con la Tecnologia adecuada para el Soporte al Negocio

CHAKRAY

Documents

Chakray enterprise-security-soi-portunoidm-v3.0