Sistemas Informáticos Abiertos, S.A. Avenida de Europa, 2 Alcor Plaza Edificio B Parque Oeste Alcorcón 28922 Alcorcón Madrid (España) Telf: (34) 902 480 580 Fax: (34) 91 307 79 80 www.siainternational. com
RESUMEN El proyecto Hércules, emprendido por Caixa Galicia, tiene por finalidad el incremento del control y mantenimiento de la seguridad de los sistemas de la entidad, así como de la productividad de sus empleados/administradores, reduciendo tiempos de espera en el acceso a los sistemas de información, tareas administrativas repetitivas y el volumen de incidencias relacionadas con la pérdida u olvido de credenciales, sin merma de las premisas de facilidad para el usuario final, sencillez en el despliegue y el posterior mantenimiento de la solución. Esta iniciativa, que utiliza una plataforma tecnológica robusta, escalable e integrada con los sistemas de información de Caixa Galicia, se basa en una particularización de la solución Irene del Grupo SIA. INTRODUCCIÓN : OBJETIVOS PERSEGUIDOS Los sistemas de información dentro de las grandes empresas están tomando cada vez más relevancia, pasando de servir de apoyo al negocio a convertirse en el negocio propiamente dicho, con el consiguiente riesgo que supone una utilización indebida de la misma. Por ello mismo, Caixa Galicia confió en el Grupo SIA para solventar la necesidad fundamental de conseguir un óptimo funcionamiento de dichos sistemas lo que, desde el punto de vista de seguridad se puede traducir en: Autenticación fuerte: disponer de un sistema de autenticación robusta en el acceso a los recursos de la organización basados en la utilización de dispositivos externos, permitiendo un acceso sencillo, rápido y seguro. Gestión sólida de credenciales: manteniendo las credenciales de los usuarios bajo una política robusta, en los sistemas de información de Caixa Galicia, así como la armonización de las políticas de seguridad entre las mismas. El alcance definido consistió en la arquitectura productiva de Microsoft Active Directory, así como los entornos Z/OS de producción y de desarrollo, tomando en consideración las plataformas gestionadas. Desde el punto de vista del personal de Caixa Galicia, a partir de la autenticación mediante tarjeta y PIN, se obtiene el acceso de forma transparente al dominio de Caixa Galicia y a la aplicación de negocio que engloba toda la operativa de la red de oficinas, Oficina 2000, suite de aplicativos basados en Z/OS y que son igualmente accesibles a través de clientes MyExtra! y SNA Applet; por último, también se extendió el login transparente a los accesos remotos mediante VPN a la infraestructura anteriormente descrita, caso habitual en grupos de usuarios que trabajan desde su ordenador portátil sobre los recursos de Caixa Galicia. El resultado final constituye un acceso con autenticación fuerte y credenciales gestionadas basado en tarjetas inteligentes, independientemente del punto de acceso a los recursos de la organización. Página 2 de 6
Funcionalidad El proyecto Hércules aborda las principales funcionalidades referidas a la gestión de usuarios y a la utilización de credenciales para el acceso a los recursos de una organización. Entre ellas, cabe destacar el login único y la sincronización de contraseñas, cubriendo de forma directa las siguientes necesidades: 1. Eliminación por parte del usuario la necesidad de introducir sus diferentes credenciales para el acceso a las diferentes aplicaciones corporativas, quedando como elemento único de identificación la posesión de una tarjeta inteligente y el conocimiento de un PIN (Número de Identificación Personal para la tarjeta). Esto implica que el usuario, cada vez que acceda a las diferentes aplicaciones corporativas, no deberá introducir los userid/password correspondientes consiguiendo por tanto un Single Sign On o Login transparente. 2. Gestión de contraseñas de los diferentes entornos de los sistemas de información de Caixa Galicia, lo que implica la renovación, propagación y armonización de cambios de contraseña de forma automatizada y transparente, tanto para los usuarios incluidos en la política unificada de gestión de contraseñas, como para los administradores, disminuyendo su carga de actividad por este concepto. 3. Gestión de una forma sencilla, y lo más desatendida para el usuario, ante la inicialización, olvido o perdida de tarjeta inteligente/pin. La presentación de estos mecanismos al usuario se ilustra en la Figura 1. Página 3 de 6
SOLUCIÓN La solución técnica planteada se basa en la implantación de diferentes herramientas y su conveniente integración tanto con los sistemas de información de Caixa Galicia, como con los diferentes flujos entre las distintas herramientas y actores involucrados con ellos. En este sentido, se realizó un análisis basado en la experiencia del Grupo SIA en proyectos similares y teniendo en cuenta las implicaciones que supone la distribución geográfica de los usuarios y su operatividad, con el objeto de particularizar diferentes casuísticas que La tecnología implantada, SecurPass, del fabricante Proginet, permite realizar la gestión de contraseñas en los sistemas finales, unificando las mismas y propagando a todos los sistemas involucrados los cambios realizados desde los diferentes puntos. Mediante esta gestión se obtiene una simplificación en la administración del usuario y se permite además la adopción de medidas especiales. Dichas medidas pueden ir desde la sincronización de todas las contraseñas existentes para un usuario en las distintas aplicaciones a las que tiene acceso, hasta el establecimiento de medidas de cambio de contraseña frecuente. Estas pueden aplicarse sin merma del servicio prestado a los usuarios finales, ya que las operaciones se realizan de forma transparente al usuario, e incluso a los administradores. Adicionalmente el despliegue de la solución requiere el empleo de un conjunto de componentes en los puestos clientes (existe la posibilidad de realizarlo a través de un modelo Web). Estos componentes son necesarios para que se realicen las operaciones de autenticación de forma transparente a las aplicaciones clientes o Web, proporcionando un SSO. Para dotar de un SSO a los usuarios de Caixa Galicia, se optó por proporcionar un login transparente a las aplicaciones, no buscando un SSO riguroso y estricto ya que esto exigiría un nivel de integración en las aplicaciones muy costoso e incluso inaceptable en algunos casos, basándose en la solución del Grupo SIA Secure Single Sign ON (S3O en adelante). S3O es un software cliente que permite en un primer plano la integración con tarjetas inteligentes, gracias a la colaboración con Seglan, empresa del Grupo Caixa Galicia. produjeran un impacto negativo en la usabilidad de la solución, y manteniendo la premisa de facilidad de uso y sencillez para el usuario final. Entre éstas se puede citar las siguientes: Proceso de inicialización: primer momento en el que el usuario se autentica a su estación de trabajo con una tarjeta inteligente. En este sentido se le obliga a pasar por un proceso en el cual básicamente se le pedirán las credenciales actuales, la comprobación con el repositorio, generación de nuevas credenciales en base a un algoritmo de generación aleatoria de contraseñas, unificación de las mismas a través de la herramienta SecurPass y la inclusión de las mismas en la tarjeta inteligente. Una vez pasado este proceso, el usuario estará obligado a utilizar su tarjeta inteligente para acceder a los recursos. Otros procesos de vital importancia que se tuvieron en cuenta: perdida u olvido de tarjeta, gestión del cambio de PIN bajo una política de cambio, gestión de olvido del PIN, etc. En un segundo plano se proporcionan las funcionalidades de un SSO con ciertas particularidades, que permiten un mayor control: mantenimiento de una sesión vinculada a la presencia de la tarjeta inteligente (bajo un lector), integración con los interfaces de autenticación y la propia autenticación, tanto al dominio como a las aplicaciones finales. El SSO a las aplicaciones es el componente que cumple los objetivos más visibles del proyecto, al permitir el acceso a las mismas sin exigir una nueva autenticación del usuario. S3O es un componente altamente configurable que depende de la aplicación. A menudo, aunque este elemento actúa en el lado cliente, es posible mantenerlo dentro de un servidor para permitir un mantenimiento más fluido. Página 4 de 6
Integración y Despliegue El despliegue abarcó los sistemas de información del mundo distribuido, así como el mundo MainFrame, integrando primeramente la propagación, unificación y armonización de las contraseñas entre los dos entornos según ilustra la figura 2. La integración está basada en diferentes interceptores de cambios de contraseñas situados en puntos estratégicos de la infraestructura en cuestión. Esto conforma las bases para conseguir el ansiado SSO, disponiendo de una única credencial para las aplicaciones a integrar incluyendo el dominio. La integración de S3O se basó en el estudio exhaustivo de las aplicaciones cliente, tipo emuladores 3270 y aplicaciones de banca, del mecanismo de autenticación y las diferentes opciones que se presentaban durante el acceso a los recursos, personalizando los diferentes accesos gracias a la flexibilidad en la adaptación del módulo S3O. En el caso del despliegue en Caixa Galicia, se ha integrado el componente S3O en los puestos cliente a través de los iconos que el usuario tiene en el escritorio, implicando por tanto el menor impacto en el uso habitual de las aplicaciones corporativas. En otros casos, se muestran a través del menú contextual que proporciona S3O. El menú se despliega cuando se pulsa el botón derecho del ratón sobre el icono del menú. El menú de S3O contiene el nombre de los sistemas integrados, y cada entrada de sistema contiene el nombre de la aplicación que ejecuta en el equipo del usuario. Para la integración del componente S3O con el puesto cliente (estación de trabajo) se optó por varias alternativas: a través de un menú contextual que proporciona S3O, según se ilustra en la figura 3, bien en la barra de tareas de Windows, bien en el menú de inicio de Windows, o incluso a través de accesos directos en el escritorio. La decisión se toma en base a la operatividad actual con el objeto de minimizar el impacto por cambios en el usuario final. 1 -El usuario se identifica en el servidor de dominio con su tarjeta y PIN S3O Desktop 3 -Al arrancar las aplicaciones, S3O Desktop realiza el SSO a las aplicaciones objeto Servidor de dominio -Interceptor de cambios de contraseña - Las contraseñas se mantienen sincronizadas entre las plataformas con la herramienta de sincronización de contraseñas SecurPass I I 2 2 2 Sincronización de contraseñas Aplicaciones clientes ( AD, OS/390, VPN, ) Página 5 de 6
BENEFICIOS Desde el punto de vista del usuario poseedor de una tarjeta, se sigue el siguiente proceso: 1. acceso a la estación de trabajo, identificación con su PIN y acceso a su escritorio habitual 2. autenticación en las aplicaciones a las que tiene acceso, y contra las que no será necesaria una nueva autenticación 3. el cambio de password en el sistema será un proceso automático y transparente para el usuario, propagándose este cambio a todos los sistemas integrados bajo el alcance de la solución Desde el punto de vista del administrador, el sistema de gestión de usuarios con Securpass permitirá: 1. la sincronización de claves en todos los sistemas, facilitando así la gestión de los mismos 2. se evitarán los problemas derivados de las peticiones de los usuarios que requieran una nueva clave por olvido o por otras circunstancias. Esto permitirá a los administradores, ante un cambio de contraseña o reseteo no tener que realizar el cambio en cada uno de los sistemas finales, sino que se realizará desde un único punto objeto de definición durante la fase de implantación de la solución. Adicionalmente, la solución plantea la convivencia con la certificación digital, permitiendo una autenticación fuerte basada en certificados y la posibilidad de la realización de firma electrónica al estar basado en tarjetas criptográficas. CONCLUSIÓN El proyecto desplegado por Caixa Galicia refleja, en definitiva, la seguridad perseguida y a la vez conciliada con la funcionalidad, facilidad de uso y ahorro de costes; en suma, constituye una oportunidad inmejorable para colaborar con los objetivos de negocio de la organización. Avenida de Europa, 2 Alcor Plaza Edificio B Parque Oeste Alcorcón 28922 Alcorcón Madrid (España) Telf: (34) 902 480 580 Fax: (34) 91 307 79 80 www.siainternational. com Página 6 de 6