21
Roger Carhuatocto IT Consultant roger[at] chakray.com +34 629292125 Enterprise Security & SOI Identity and Access Management (IAM) in the Organizations with WSO2 IS

Chakray enterprise-security-soi-portunoidm

Embed Size (px)

DESCRIPTION

Si hay un proyecto de Seguridad TIC que implantar en las Organizaciones, iniciar por Gestión de Accesos e Identidades (IAM). Todos los tipos de Seguridad TIC se sustentan en IAM. IAM dota a toda la Organización de capacidad de Auditabilidad y “no repudio” a los activos de la empresa como: información, productos, procesos, individuos, marca, etc

Citation preview

Page 1: Chakray enterprise-security-soi-portunoidm

Roger Carhuatocto

IT Consultant

roger[at] chakray.com

+34 629292125

Enterprise Security & SOI Identity and Access Management (IAM) in the Organizations with WSO2 IS

Page 2: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

1. Qué es un Ecosistemas Empresarial ?

• ERP ,CRM, ECM • Software Ad-Hoc • Correo Electrónico Corporativo,

Portal Corporativo, Intranet, Extranet • Sistemas de Gestión de Contenidos

Empresariales • Base de Datos • Plataforma de comercio electrónico • Software de Infraestructuras

• Un Ecosistema Empresarial puede ser muy acoplado o desacoplado, en él pueden co-existir Sistemas y Aplicaciones heredadas o bastantes antiguas, que por la criticidad de la información que gestionan y su alto costo de actualización no pueden ser reemplazados.

Es la agrupación de Sistemas y Aplicaciones Tecnológicas que dan soporte al desarrollo de negocio de la Organización. Pueden conformarlo:

Page 3: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

2. Enterprise Security

• Nos referimos como “Enterprise Security” a los niveles de Seguridad aplicada a todos los niveles de la Organización, esto sería: • “Security Compliance” (PCI, SOX, MoReq, ISO, BSI, …) • Seguridad Física y Lógica • Seguridad Perimetral • Seguridad Preventiva, Reactiva, Pro-activa.

• Sin embargo, el eje transversal o pilar de la seguridad a nivel Corporativo es la Gestión del Acceso y de las Identidades (IAM), y se incluye lo siguiente: • Gestión del Ciclo de Vida de las Identidades

• Dar de alta, baja, actualizar, etc. perfiles de usuarios. • Modelo jerárquico de Usuarios (Grupos, Roles, etc.) muy relacionado

al modelo jerárquico de la Organización. • Servicios de Autenticación, Autorización y Auditoría.

• Si hay un proyecto de Seguridad TIC que implantar en las Organizaciones, iniciar por Gestión de Accesos e Identidades (IAM).

• Todos los tipos de Seguridad TIC se sustentan en IAM. • IAM dota a toda la Organización de capacidad de Auditabilidad y “no repudio” a los activos de la

empresa como: información, productos, procesos, individuos, marca, etc.

Page 4: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

Service-oriented Infraestructure (SOI) as best practice

BAM, BI & BigData

Enterprise Service Bus

Security

and Identity

Managem

ent

Authentication

Authorization

Single Sign-On

Social Login

Federation of Identities

Users Management

Users Provisioning

Consolidation of Identities

Presentation Layer

Orchestration Layer

Business Service Layer

CONTROLLER

MODEL

VIEW

SE

CU

RIT

Y

Portal B2B Portal B2C

Web Portlets Mobile B2B API Dashboard OpenData Collaboration

BPM Applications (Bonita BPM)

Existing Business Applications

CRM

CMS, ECM

ERP BPM Designer

Workflow Engine

BPM Portal

SERVICES

DB, KPI, Logs, Docs

GOVERNED SERVICES

New Business Application

Systems

PHP, Ruby, Python, Java

3. Un ejemplo de Ecosistema Empresarial

• Chakray Consulting provee un Stack completo para abordar Proyectos de Integración basado en Servicios. • En una Arquitectura de Referencia SOA/SOI basado en el stack de productos de WSO2 (free/open source), podemos abordar

toda la complejidad de la integración de Sistemas y Aplicaciones de Negocio existentes en la Organización y siempre alineados a los principios arquitectura SOA.

Page 5: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

4. Aplicando Seguridad a un Ecosistema Empresarial

• Primera fase: • Gestión de Accesos e Identidades (IAM).

• User credential lifecycle Management • Modelo de usuarios • Servicio de Autenticación • Servicio de Autorización • Servicio de SSO

• Segunda fase: • Seguridad de la Información

• PKI, Firma Digital • Gestión Centralizada de Documentos

• Tercera fase: • Security Compliance:

• Gestión de Riesgos de activos de la empresa • Continuidad de Negocio

• Cuarta fase: • Auditabilidad y “no repudio”

Page 6: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

Federated User Management

(Penrose Virtual Directory)

Portal B2B (WSO2 UES, BAM, AM, ES)

Service-oriented Infraestructure (SOI) e IAM

BAM, BI & BigData

(WSO2 SS, BAM, CEP)

Enterprise Service Bus (WSO2 ESB)

Portal B2C (Liferay Portal) Identity Management

(WSO2 IS)

Web Portlets Mobile B2B API Authentication, Authorization

Single Sign-On

Consolidation of Identities

New Business Application

Systems

Dashboard OpenData Collaboration

Presentation Layer

Orchestration Layer

Business Service Layer

CONTROLLER

MODEL

VIEW

SE

CU

RIT

Y

PHP, Ruby, Python, Java

User Management

Social Login

BPM Applications (Bonita BPM)

Existing Business Applications

Openia CRM

Alfresco ECM

Openbravo ERP Bonita Studio

Bonita Workflow Engine

Bonita UX Portal

SERVICES

GOVERNED SERVICES

5. Desplegando IAM en la Organización (1/2)

• La implantación o el desarrollo de un proyecto de IAM en la Organización se aborda como un Proyecto de Integración siguiendo los Principios SOA/SOI.

Page 7: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

*

*

*

*

*

*

*

*

*

*

Federated User Management

Portal B2B (WSO2 UES, BAM, AM, ES)

Identificando Productos y Tecnología para IAM

BAM, BI & BigData

(WSO2 SS, BAM, CEP)

BPM Applications (Bonita BPM)

(WSO2 ESB)

Portal B2C (Liferay Portal) Identity Management

Web, Collab, Mobile, Portlets B2B API

(Penrose Virtual Directory)

Existing Business Applications

New Business Application

Systems

Bonita Studio

Bonita Workflow Engine

Dashboard OpenData

Presentation Layer

Orchestration Layer

Business Service Layer

CONTROLLER

MODEL

VIEW

SE

CU

RIT

Y

Bonita UX Portal

SERVICES

PHP, Ruby, Python, Java

2

3

4

5

6

7

9

10

8

(WSO2 IS)

1

GOVERNED SERVICES

9

9

5. Desplegando IAM en la Organización

Page 8: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

1. User Credentials Management

6. IAM - uses cases

• WSO2 Identity Server: • Multiples User Storages. • User Storage using LDAP embeded,

LDAP external and external DB. • Authentication, Authorization and SSO. • Exposes complete API to user

management. • Provisioning via SCIM. • Policies

• Penrose Virtual Directory • Can integrated existing LDAP and DB

storing user credentials. • Exposes a LDAP interface that can be

used as external LDAP for WSO2 IS. • Bidirectional sync (LDAP in read/write

mode)

Page 9: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

2. AuthN and AuthZ for Ad-hoc Applications

6. IAM - uses cases

• WSO2 Identity Server exposes API to user management. • Recovery. • Change password. • Update profile.

• WSO2 IS exposes AutheN/AuthZ Services using serveral strategies/protocols: • OpenID, SAML, OAuth, XACML, RBAC,

etc.

Page 10: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

3. AuthN and AuthZ for existing ERP and ECM

6. IAM - uses cases

• Centralized User Management. • Openia CRM is a module for Openbravo

ERP. Openbravo ERP already have functionalities to user management, then Openbravo should be configurated pointing to the embeded LDAP of WSO2 IS or Penrose Virtual Directory.

• In similar way, Alfresco ECM should be configures with this LDAP.

• Authentication and Authorization. • It is not necessary if you extend ERP or

ECM because user credentials and roles are in LDAP storage.

• Calling Services of Openbravo ERP or Alfresco ECM requires HTTP Basic Authentication. Try it using HTTP over SSL.

Page 11: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

5. AuthN and AuthZ for Bonita BPM

6. IAM - uses cases

• Any BPM Suite has 3 components: • Designer (Bonita Studio)

• In time of processes modeling, obtain representation of hierarchy of users, groups, roles is a great help for business process expert.

• Bonita Studio is based in Eclipse IDE and It is possible to model following this representation of hierarchy of users, groups and roles using “Bonita’s Actor Filter”.

• Workflow engine (Bonita Workflow Engine)

• In this case we should cofigure Workflow engine to get hierarchy from external LDAP server.

• TaskList Portal (Bonita UX Portal) • AuthN and AuthZ process is delegated

to external LDAP. Bonita UX Portal has to configure pointing to LDAP server.

Page 12: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

4. AuthN and AuthZ for existing Services

6. IAM - uses cases

• User Storage in WSO2 IS can be used as User Storage for WSO2 ESB.

• Authentication and Authorization: • In WSO2 ESB you can enable/disable

security over the exposed services.

• WSO2 IS offers several protocols and strategies as a Trusted-third-party, of this way, you can reach SSO and Federation of Identities.

Page 13: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

7. AuthN and AuthZ for the Presentation Layer

6. IAM - uses cases

• Any Web Portal server commonly has a LDAP connector to sync users, groups and/or roles. Also, any Web Portal has connectors to do authentication and authorization, for example, Liferay has tools for these purposes.

• WSO2 IS provides OpenID functionality that can be used with Liferay Portal easily.

• Review the strategies to authentication, authorization and SSO of WSO2IS suitable to our environment.

Page 14: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

1. Start login process 2. Pass login process to Bonita 3. Bonita passes login process 4. OB passes login process 5. WSO2IS sends response 6. OB redirects response 7. Bonita redirects response 8. Liferay receive response

Authentication in Openbravo

1. Start login process 2. Pass login process to Bonita 3. Validate credentials 4. WSO2IS sends response 5. Bonita redirects response 6. Liferay receives response

Authentication in Bonita

1. Start login process 2. Validate credentials 3. WSO2IS sends response 4. Liferay receives response

Authentication in Liferay

Deploy WSO2 Identity Server, create several users and roles.

Consolidate user credentials (Penrose Virtual Directory) and Deploy LDAP WSO2 IS

Configure LDAP Authentication in Liferay pointing to the embedded LDAP of WSO2 IS. Enable Users and Roles (Group) sync.

In this step is possible to do LDAP Authentication and User syncronization.

Configure LDAP Authentication and users sync in Bonita pointing to the embedded LDAP of WSO2 IS.

Right now this functionality is available in Bonita BPM Teamwork version (http://www.bonitasoft.com/products/product-comparison).

Configure LDAP Authentication and users sync in OpenBravo pointing to the embedded LDAP of WSO2 IS.

Configure LDAP Authentication and User syncronization of OpenBravo with embedded LDAP of WSO2 IS.

Check the authentication flow and user sync flow in all the system.

Testining authentication an sync of users.

LIFERAY WSO2IS BONITA OPENBRAVO

LIFERAY WSO2IS BONITA OPENBRAVO

1.

2.

3.

4.

5.

7. IAM – flow diagram

Page 15: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

5

6

7

1

3

4

2

9

10

8

• Process integration and consolidation of different sources of user identities. • Bi-directional synchronization, the goal is to build a centralized database of identities and attributes.

• WSO2 Identity Server exposes API to user management: recovery, change password, update profile.

• WSO2 IS exposes AutheN/AuthZ Services using serveral strategies/protocols: OpenID, SAML, OAuth, XACML, RBAC, etc.

• Openia CRM is a module for Openbravo ERP. Openbravo ERP already have functionalities to user management, then Openbravo should be configurated pointing to the embeded LDAP of WSO2 IS or Penrose Virtual Directory.

• In similar way, Alfresco ECM should be configures with this LDAP. • Calling Services of Openbravo ERP or Alfresco ECM requires HTTP Basic Authentication.

• Bonita BPM in two phases: In design-time and running-time. • When the processes are modeling, the Bonita Studio’s Actor Filters should be configurated to get users, groups and

roles from our centrilazed User Storage (LDAP). • When the processes are running, the BPM engine delegate the validation of identities (authorization) in WSO2 IS,

while the model of roles and permissions (attributes) on the centralized User Storage (LDAP).

• User Storage in WSO2 IS can be used as the User Storage for WSO2 ESB. • In WSO2 ESB you can enable/disable security over the exposed services. • WSO2 IS offers several protocols and strategies as a Trusted-third-party, of this way, you can reach

SSO and Federation of Identities.

• Existing or new applications can delegate their authentication process in WSO2 IS, while for user synchronization will use the Penrose Virtual Direcotry as our centralized repository of users and attributes.

• The advantage of using Liferay Portal Server rather than a pure applications is the ability to delegate the Authentication, Authorization and People Management WSO2 IS only setting connectors with little programming.

8. Enterprise Security & SOI - summary

Page 16: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

9. Portuno IdM – Nuestra solución para IAM

Es nuestra estrategia tecnológica que da soporte al ciclo completo de desarrollo de Proyectos de IAM en Ecosistemas Empresariales.

Tecnológicamente está sustentada en: • WSO2 Identity Server • Penrose Virtual Directory • Conjunto de Adaptadores y

Configuraciones para Bonita BPM (Studio, Portal), Openbravo ERP, Liferay Portal, Alfresco ECM, etc. que facilitan la Gestión centralizada de credenciales de usuarios.

Metodológicamente está sustentada en las buenas prácticas de arquitectura de aplicaciones críticas y los principios de integración basada en “servicios” (SOI).

SOA

Page 17: Chakray enterprise-security-soi-portunoidm

Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS

9. Portuno IdM – Beneficios

Basado en productos free/open source maduros y con una comunidad y organizaciones muy activas que les dan soporte.

WSO2 IS, Penrose implementan los estándares de seguridad más usado en estos momentos: • SAML, OAuth, SCIM, XACML, X.500, X.509, ..

Sigue las buenas prácticas de arquitectura y seguridad: • Decoupled Architecture • Separation of Concerns (SoC) • Service-Oriented Architecture (SOA) • Service-Oriented Integration (SOI) • Complete IAM’s Services exposed as API • Ready to Cloud: Social Login • No intrusive Technology:

• Integration and consolidation, not migration or shift to back burner

Page 18: Chakray enterprise-security-soi-portunoidm

Quiénes Somos

Presentación Corporativa

Chakray: “Palabra Quechua que describe el buen uso que en el mundo Andino se le ha dado a la Tecnología para el trabajo con la tierra.”

Aportar la excelencia en la Planificación, implantación, Soporte y Formación de Sistemas de Misión Críticos.

Misión:

Visión:

Ser una empresa de “Alta Especialización sobre Sistemas de Misión Críticos”. Sabemos que el principal activo es nuestro equipo. Sabemos colaborar con todos los “Stakeholders” en Proyectos sobre Tecnologías de la Información con base en plataformas OpenSource dando soporte de muy alta calidad a los negocios de sus clientes, gestionando y evolucionando sus Sistemas de Información.

Page 19: Chakray enterprise-security-soi-portunoidm

Nuestros Principios

Presentación Corporativa

• Hacemos bien las cosas. Sabemos que la Tecnología es el soporte al

Negocio y conocemos su Criticidad.

• Somos Especialistas en las soluciones que proponemos.

• No reinventamos la rueda .Trabajamos con Arquitecturas escalables bajo una Orientación a Servicios (SOA: Service Oriented Architecture) con una Arquitectura de Referencia Probada.

• Desarrollo, Construcción e Integración Ágil y cercana al Negocio, bajo BPM (Busines Process Management) y PDD (Process Driven Development).

• Aplicamos la Seguridad a todos los niveles de la Solución.

• Nuestra Solución es Virtualizable y orientada a la Nube.

Page 20: Chakray enterprise-security-soi-portunoidm

Nuestros Servicios

Presentación Corporativa

Consultoría Tecnológica OpenSource

✔ Planificación estratégica Arquitectura.

✔ Optimización de procesos Oficina Técnica

✔ Desarrollo, Implantación y Despliegue

Servicios Profesionales

✔ Selección de perfiles (Headhunting).

✔ Outsourcing no gestionado.

Metodologías Ágiles y Formación

✔ Proporcionar competencias técnicas para el mantenimiento de las soluciones tecnológicas.

Page 21: Chakray enterprise-security-soi-portunoidm

www.linkedin.com/company/chakray-consulting

@Chakray_com

www.chakray.com

“Haciendo bien las cosas, con la Tecnología adecuada para el Soporte al Negocio”