Upload
gabriel-monreal
View
1.737
Download
1
Tags:
Embed Size (px)
DESCRIPTION
Si hay un proyecto de Seguridad TIC que implantar en las Organizaciones, iniciar por Gestión de Accesos e Identidades (IAM). Todos los tipos de Seguridad TIC se sustentan en IAM. IAM dota a toda la Organización de capacidad de Auditabilidad y “no repudio” a los activos de la empresa como: información, productos, procesos, individuos, marca, etc
Citation preview
Roger Carhuatocto
IT Consultant
roger[at] chakray.com
+34 629292125
Enterprise Security & SOI Identity and Access Management (IAM) in the Organizations with WSO2 IS
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
1. Qué es un Ecosistemas Empresarial ?
• ERP ,CRM, ECM • Software Ad-Hoc • Correo Electrónico Corporativo,
Portal Corporativo, Intranet, Extranet • Sistemas de Gestión de Contenidos
Empresariales • Base de Datos • Plataforma de comercio electrónico • Software de Infraestructuras
• Un Ecosistema Empresarial puede ser muy acoplado o desacoplado, en él pueden co-existir Sistemas y Aplicaciones heredadas o bastantes antiguas, que por la criticidad de la información que gestionan y su alto costo de actualización no pueden ser reemplazados.
Es la agrupación de Sistemas y Aplicaciones Tecnológicas que dan soporte al desarrollo de negocio de la Organización. Pueden conformarlo:
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
2. Enterprise Security
• Nos referimos como “Enterprise Security” a los niveles de Seguridad aplicada a todos los niveles de la Organización, esto sería: • “Security Compliance” (PCI, SOX, MoReq, ISO, BSI, …) • Seguridad Física y Lógica • Seguridad Perimetral • Seguridad Preventiva, Reactiva, Pro-activa.
• Sin embargo, el eje transversal o pilar de la seguridad a nivel Corporativo es la Gestión del Acceso y de las Identidades (IAM), y se incluye lo siguiente: • Gestión del Ciclo de Vida de las Identidades
• Dar de alta, baja, actualizar, etc. perfiles de usuarios. • Modelo jerárquico de Usuarios (Grupos, Roles, etc.) muy relacionado
al modelo jerárquico de la Organización. • Servicios de Autenticación, Autorización y Auditoría.
• Si hay un proyecto de Seguridad TIC que implantar en las Organizaciones, iniciar por Gestión de Accesos e Identidades (IAM).
• Todos los tipos de Seguridad TIC se sustentan en IAM. • IAM dota a toda la Organización de capacidad de Auditabilidad y “no repudio” a los activos de la
empresa como: información, productos, procesos, individuos, marca, etc.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
Service-oriented Infraestructure (SOI) as best practice
BAM, BI & BigData
Enterprise Service Bus
Security
and Identity
Managem
ent
Authentication
Authorization
Single Sign-On
Social Login
Federation of Identities
Users Management
Users Provisioning
Consolidation of Identities
Presentation Layer
Orchestration Layer
Business Service Layer
CONTROLLER
MODEL
VIEW
SE
CU
RIT
Y
Portal B2B Portal B2C
Web Portlets Mobile B2B API Dashboard OpenData Collaboration
BPM Applications (Bonita BPM)
Existing Business Applications
CRM
CMS, ECM
ERP BPM Designer
Workflow Engine
BPM Portal
SERVICES
DB, KPI, Logs, Docs
GOVERNED SERVICES
New Business Application
Systems
PHP, Ruby, Python, Java
3. Un ejemplo de Ecosistema Empresarial
• Chakray Consulting provee un Stack completo para abordar Proyectos de Integración basado en Servicios. • En una Arquitectura de Referencia SOA/SOI basado en el stack de productos de WSO2 (free/open source), podemos abordar
toda la complejidad de la integración de Sistemas y Aplicaciones de Negocio existentes en la Organización y siempre alineados a los principios arquitectura SOA.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
4. Aplicando Seguridad a un Ecosistema Empresarial
• Primera fase: • Gestión de Accesos e Identidades (IAM).
• User credential lifecycle Management • Modelo de usuarios • Servicio de Autenticación • Servicio de Autorización • Servicio de SSO
• Segunda fase: • Seguridad de la Información
• PKI, Firma Digital • Gestión Centralizada de Documentos
• Tercera fase: • Security Compliance:
• Gestión de Riesgos de activos de la empresa • Continuidad de Negocio
• Cuarta fase: • Auditabilidad y “no repudio”
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
Federated User Management
(Penrose Virtual Directory)
Portal B2B (WSO2 UES, BAM, AM, ES)
Service-oriented Infraestructure (SOI) e IAM
BAM, BI & BigData
(WSO2 SS, BAM, CEP)
Enterprise Service Bus (WSO2 ESB)
Portal B2C (Liferay Portal) Identity Management
(WSO2 IS)
Web Portlets Mobile B2B API Authentication, Authorization
Single Sign-On
Consolidation of Identities
New Business Application
Systems
Dashboard OpenData Collaboration
Presentation Layer
Orchestration Layer
Business Service Layer
CONTROLLER
MODEL
VIEW
SE
CU
RIT
Y
PHP, Ruby, Python, Java
User Management
Social Login
BPM Applications (Bonita BPM)
Existing Business Applications
Openia CRM
Alfresco ECM
Openbravo ERP Bonita Studio
Bonita Workflow Engine
Bonita UX Portal
SERVICES
GOVERNED SERVICES
5. Desplegando IAM en la Organización (1/2)
• La implantación o el desarrollo de un proyecto de IAM en la Organización se aborda como un Proyecto de Integración siguiendo los Principios SOA/SOI.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
*
*
*
*
*
*
*
*
*
*
Federated User Management
Portal B2B (WSO2 UES, BAM, AM, ES)
Identificando Productos y Tecnología para IAM
BAM, BI & BigData
(WSO2 SS, BAM, CEP)
BPM Applications (Bonita BPM)
(WSO2 ESB)
Portal B2C (Liferay Portal) Identity Management
Web, Collab, Mobile, Portlets B2B API
(Penrose Virtual Directory)
Existing Business Applications
New Business Application
Systems
Bonita Studio
Bonita Workflow Engine
Dashboard OpenData
Presentation Layer
Orchestration Layer
Business Service Layer
CONTROLLER
MODEL
VIEW
SE
CU
RIT
Y
Bonita UX Portal
SERVICES
PHP, Ruby, Python, Java
2
3
4
5
6
7
9
10
8
(WSO2 IS)
1
GOVERNED SERVICES
9
9
5. Desplegando IAM en la Organización
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
1. User Credentials Management
6. IAM - uses cases
• WSO2 Identity Server: • Multiples User Storages. • User Storage using LDAP embeded,
LDAP external and external DB. • Authentication, Authorization and SSO. • Exposes complete API to user
management. • Provisioning via SCIM. • Policies
• Penrose Virtual Directory • Can integrated existing LDAP and DB
storing user credentials. • Exposes a LDAP interface that can be
used as external LDAP for WSO2 IS. • Bidirectional sync (LDAP in read/write
mode)
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
2. AuthN and AuthZ for Ad-hoc Applications
6. IAM - uses cases
• WSO2 Identity Server exposes API to user management. • Recovery. • Change password. • Update profile.
• WSO2 IS exposes AutheN/AuthZ Services using serveral strategies/protocols: • OpenID, SAML, OAuth, XACML, RBAC,
etc.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
3. AuthN and AuthZ for existing ERP and ECM
6. IAM - uses cases
• Centralized User Management. • Openia CRM is a module for Openbravo
ERP. Openbravo ERP already have functionalities to user management, then Openbravo should be configurated pointing to the embeded LDAP of WSO2 IS or Penrose Virtual Directory.
• In similar way, Alfresco ECM should be configures with this LDAP.
• Authentication and Authorization. • It is not necessary if you extend ERP or
ECM because user credentials and roles are in LDAP storage.
• Calling Services of Openbravo ERP or Alfresco ECM requires HTTP Basic Authentication. Try it using HTTP over SSL.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
5. AuthN and AuthZ for Bonita BPM
6. IAM - uses cases
• Any BPM Suite has 3 components: • Designer (Bonita Studio)
• In time of processes modeling, obtain representation of hierarchy of users, groups, roles is a great help for business process expert.
• Bonita Studio is based in Eclipse IDE and It is possible to model following this representation of hierarchy of users, groups and roles using “Bonita’s Actor Filter”.
• Workflow engine (Bonita Workflow Engine)
• In this case we should cofigure Workflow engine to get hierarchy from external LDAP server.
• TaskList Portal (Bonita UX Portal) • AuthN and AuthZ process is delegated
to external LDAP. Bonita UX Portal has to configure pointing to LDAP server.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
4. AuthN and AuthZ for existing Services
6. IAM - uses cases
• User Storage in WSO2 IS can be used as User Storage for WSO2 ESB.
• Authentication and Authorization: • In WSO2 ESB you can enable/disable
security over the exposed services.
• WSO2 IS offers several protocols and strategies as a Trusted-third-party, of this way, you can reach SSO and Federation of Identities.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
7. AuthN and AuthZ for the Presentation Layer
6. IAM - uses cases
• Any Web Portal server commonly has a LDAP connector to sync users, groups and/or roles. Also, any Web Portal has connectors to do authentication and authorization, for example, Liferay has tools for these purposes.
• WSO2 IS provides OpenID functionality that can be used with Liferay Portal easily.
• Review the strategies to authentication, authorization and SSO of WSO2IS suitable to our environment.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
1. Start login process 2. Pass login process to Bonita 3. Bonita passes login process 4. OB passes login process 5. WSO2IS sends response 6. OB redirects response 7. Bonita redirects response 8. Liferay receive response
Authentication in Openbravo
1. Start login process 2. Pass login process to Bonita 3. Validate credentials 4. WSO2IS sends response 5. Bonita redirects response 6. Liferay receives response
Authentication in Bonita
1. Start login process 2. Validate credentials 3. WSO2IS sends response 4. Liferay receives response
Authentication in Liferay
Deploy WSO2 Identity Server, create several users and roles.
Consolidate user credentials (Penrose Virtual Directory) and Deploy LDAP WSO2 IS
Configure LDAP Authentication in Liferay pointing to the embedded LDAP of WSO2 IS. Enable Users and Roles (Group) sync.
In this step is possible to do LDAP Authentication and User syncronization.
Configure LDAP Authentication and users sync in Bonita pointing to the embedded LDAP of WSO2 IS.
Right now this functionality is available in Bonita BPM Teamwork version (http://www.bonitasoft.com/products/product-comparison).
Configure LDAP Authentication and users sync in OpenBravo pointing to the embedded LDAP of WSO2 IS.
Configure LDAP Authentication and User syncronization of OpenBravo with embedded LDAP of WSO2 IS.
Check the authentication flow and user sync flow in all the system.
Testining authentication an sync of users.
LIFERAY WSO2IS BONITA OPENBRAVO
LIFERAY WSO2IS BONITA OPENBRAVO
1.
2.
3.
4.
5.
7. IAM – flow diagram
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
5
6
7
1
3
4
2
9
10
8
• Process integration and consolidation of different sources of user identities. • Bi-directional synchronization, the goal is to build a centralized database of identities and attributes.
• WSO2 Identity Server exposes API to user management: recovery, change password, update profile.
• WSO2 IS exposes AutheN/AuthZ Services using serveral strategies/protocols: OpenID, SAML, OAuth, XACML, RBAC, etc.
• Openia CRM is a module for Openbravo ERP. Openbravo ERP already have functionalities to user management, then Openbravo should be configurated pointing to the embeded LDAP of WSO2 IS or Penrose Virtual Directory.
• In similar way, Alfresco ECM should be configures with this LDAP. • Calling Services of Openbravo ERP or Alfresco ECM requires HTTP Basic Authentication.
• Bonita BPM in two phases: In design-time and running-time. • When the processes are modeling, the Bonita Studio’s Actor Filters should be configurated to get users, groups and
roles from our centrilazed User Storage (LDAP). • When the processes are running, the BPM engine delegate the validation of identities (authorization) in WSO2 IS,
while the model of roles and permissions (attributes) on the centralized User Storage (LDAP).
• User Storage in WSO2 IS can be used as the User Storage for WSO2 ESB. • In WSO2 ESB you can enable/disable security over the exposed services. • WSO2 IS offers several protocols and strategies as a Trusted-third-party, of this way, you can reach
SSO and Federation of Identities.
• Existing or new applications can delegate their authentication process in WSO2 IS, while for user synchronization will use the Penrose Virtual Direcotry as our centralized repository of users and attributes.
• The advantage of using Liferay Portal Server rather than a pure applications is the ability to delegate the Authentication, Authorization and People Management WSO2 IS only setting connectors with little programming.
8. Enterprise Security & SOI - summary
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
9. Portuno IdM – Nuestra solución para IAM
Es nuestra estrategia tecnológica que da soporte al ciclo completo de desarrollo de Proyectos de IAM en Ecosistemas Empresariales.
Tecnológicamente está sustentada en: • WSO2 Identity Server • Penrose Virtual Directory • Conjunto de Adaptadores y
Configuraciones para Bonita BPM (Studio, Portal), Openbravo ERP, Liferay Portal, Alfresco ECM, etc. que facilitan la Gestión centralizada de credenciales de usuarios.
Metodológicamente está sustentada en las buenas prácticas de arquitectura de aplicaciones críticas y los principios de integración basada en “servicios” (SOI).
SOA
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
9. Portuno IdM – Beneficios
Basado en productos free/open source maduros y con una comunidad y organizaciones muy activas que les dan soporte.
WSO2 IS, Penrose implementan los estándares de seguridad más usado en estos momentos: • SAML, OAuth, SCIM, XACML, X.500, X.509, ..
Sigue las buenas prácticas de arquitectura y seguridad: • Decoupled Architecture • Separation of Concerns (SoC) • Service-Oriented Architecture (SOA) • Service-Oriented Integration (SOI) • Complete IAM’s Services exposed as API • Ready to Cloud: Social Login • No intrusive Technology:
• Integration and consolidation, not migration or shift to back burner
Quiénes Somos
Presentación Corporativa
Chakray: “Palabra Quechua que describe el buen uso que en el mundo Andino se le ha dado a la Tecnología para el trabajo con la tierra.”
Aportar la excelencia en la Planificación, implantación, Soporte y Formación de Sistemas de Misión Críticos.
Misión:
Visión:
Ser una empresa de “Alta Especialización sobre Sistemas de Misión Críticos”. Sabemos que el principal activo es nuestro equipo. Sabemos colaborar con todos los “Stakeholders” en Proyectos sobre Tecnologías de la Información con base en plataformas OpenSource dando soporte de muy alta calidad a los negocios de sus clientes, gestionando y evolucionando sus Sistemas de Información.
Nuestros Principios
Presentación Corporativa
• Hacemos bien las cosas. Sabemos que la Tecnología es el soporte al
Negocio y conocemos su Criticidad.
• Somos Especialistas en las soluciones que proponemos.
• No reinventamos la rueda .Trabajamos con Arquitecturas escalables bajo una Orientación a Servicios (SOA: Service Oriented Architecture) con una Arquitectura de Referencia Probada.
• Desarrollo, Construcción e Integración Ágil y cercana al Negocio, bajo BPM (Busines Process Management) y PDD (Process Driven Development).
• Aplicamos la Seguridad a todos los niveles de la Solución.
• Nuestra Solución es Virtualizable y orientada a la Nube.
Nuestros Servicios
Presentación Corporativa
Consultoría Tecnológica OpenSource
✔ Planificación estratégica Arquitectura.
✔ Optimización de procesos Oficina Técnica
✔ Desarrollo, Implantación y Despliegue
Servicios Profesionales
✔ Selección de perfiles (Headhunting).
✔ Outsourcing no gestionado.
Metodologías Ágiles y Formación
✔ Proporcionar competencias técnicas para el mantenimiento de las soluciones tecnológicas.
www.linkedin.com/company/chakray-consulting
@Chakray_com
www.chakray.com
“Haciendo bien las cosas, con la Tecnología adecuada para el Soporte al Negocio”