TSI 4 Métd T-Check
Agenda Métd T-Check Cas de Estudi SSO en Web Services Marc Cnceptual Aplición del métd Trabajs futurs Cnclusines INCO - Facultad de Ingeniería Mntevide, Uruguay 2
Métd T-Check Es un métd para evaluar tecnlgías Se cmpne de las siguientes etapas Desarrll de hipótesis Desarrll de criteri de evaluación Diseñ e Implementación de slución Evaluación de slución sbre ls criteris Cnfirmar hipótesis rechazar INCO - Facultad de Ingeniería Mntevide, Uruguay 3
Cntext Una Organización tiene ds sistemas legads A y B que ls quiere hacer disnibles vía Web Services Ls sistemas tienen su prpi mecanism de autenticación y su univers de usuaris Surge la necesidad de que tds ls usuaris que tienen acces al sistema A, ahra puedan acceder al B Sl un subcnjunt de las funcinalidades necesitan estar dispnibles cm servici Cada una de esas funcinalidades lleva entre 15 y 35 segunds ejecutar INCO - Facultad de Ingeniería Mntevide, Uruguay 4
Cntext (II) La rganización quiere saber: 1. Qué cmbinación de tecnlgías debería utilizarse para implementar SSO? 2. Cuánt esfuerz llevará implementar una slución de SSO? 3. Cuál es el impact en el tiemp de una slución de SSO? 4. Cóm se pdría hacerse el cntrl de acces usand SSO? INCO - Facultad de Ingeniería Mntevide, Uruguay 5
Marc Cnceptual Web Services Seguridad SSO SSO en Web Services SAML WS-Security Otrs estándares relacinads WS-Trust, WS-SecurityPlicy, WS-Privacy, WS-SecureCnversatin, WS-SecureCnversatin, WS-Federatin, WS-Authrizatin INCO - Facultad de Ingeniería Mntevide, Uruguay 6
Hipótesis 1. Es psible implementar SSO para WSs usand SAML y WS-Security 2. Es bastante fácil implementar una slución básica de SSO 3. La slución de SSO n tendrá un gran impact en el cmprtamient del sistema 4. La slución de SSO puede prveer el cntrl de acces requerid INCO - Facultad de Ingeniería Mntevide, Uruguay 7
Criteri de evaluación INCO - Facultad de Ingeniería Mntevide, Uruguay 8
Investigación Para determinar si ls estándares SAML y WS-Security sn cmpatibles cntradictris Se investigó en la literatura y ls estándares dispnibles Se verificó si ésts sn cmpatibles cntradictris Se buscarn librerías que sean cmpatibles cn ls estandres INCO - Facultad de Ingeniería Mntevide, Uruguay 9
Investigación (II) Durante una búsqueda rápida se encntró: WS-Security 1.1 incluye SAML Tken Prfile Un dcument que describe cm usar SAML assertins cm security tkens en mensajes SOAP - WS-Security Se descubriern ds librerías: Apache WSS4J Oracle Phas Hay también herramientas y librerías que sprtan la cmbinación de SAML y WS-Security INCO - Facultad de Ingeniería Mntevide, Uruguay 10
Herramientas y Librerías utilizadas INCO - Facultad de Ingeniería Mntevide, Uruguay 11
Arquitectura INCO - Facultad de Ingeniería Mntevide, Uruguay 12
Herramientas de desarrll y runtime Apache Tmcat 6.0 Apache Axis 1.4 Apache WSS4J 1.5.0 Apache XML Security 1.4.1 OpenSAML 1.1 Eclipse 3.3 INCO - Facultad de Ingeniería Mntevide, Uruguay 13
Entendiend autenticación cn SAML (I) INCO - Facultad de Ingeniería Mntevide, Uruguay 14
Entendiend autenticación cn SAML (II) INCO - Facultad de Ingeniería Mntevide, Uruguay 15
Entendiend autenticación cn SAML (III) INCO - Facultad de Ingeniería Mntevide, Uruguay 16
Entendiend autenticación cn SAML (IV) INCO - Facultad de Ingeniería Mntevide, Uruguay 17
Implementación INCO - Facultad de Ingeniería Mntevide, Uruguay 18
Implementación (II) INCO - Facultad de Ingeniería Mntevide, Uruguay 19
Implementación (III) INCO - Facultad de Ingeniería Mntevide, Uruguay 20
Implementación (IV) INCO - Facultad de Ingeniería Mntevide, Uruguay 21
Implementación (V) INCO - Facultad de Ingeniería Mntevide, Uruguay 22
Implementación (VI) INCO - Facultad de Ingeniería Mntevide, Uruguay 23
Implementación (VII) INCO - Facultad de Ingeniería Mntevide, Uruguay 24
Evaluación de slución sbre criteris Hipótesis 1: Es psible implementar SSO para WSs usand SAML y WS-Security El WS- Security SAML tken prfile define cm un SAML tken puede ser embebid en el header de un mensaje SOAP Se encntrarn librerías y herramientas WS-Security with SAML tkens Apache Axis Apache WSS4J Apache XML Security OpenSAML. INCO - Facultad de Ingeniería Mntevide, Uruguay 25
Evaluación de slución sbre criteris (II) Hipótesis 2: Es bastante fácil implementar una slución básica de SSO El esfuerz de crear una slución fue aprximadamente de 10 días Aprendizaje de SAML and WS-Security Explrar Axis and WSS4J, implementand y cnfigurand INCO - Facultad de Ingeniería Mntevide, Uruguay 26
Evaluación de slución sbre criteris (III) Hipótesis 3: La slución de SSO n tendrá un gran impact en el cmprtamient del sistema La hipótesis fue cnfirmada prque el verhead intrducid pr el SSO es menr a 250 ms pr invcación a Web Service INCO - Facultad de Ingeniería Mntevide, Uruguay 27
Evaluación de slución sbre criteris (IV) Hipótesis 4: La slución de SSO puede prveer el cntrl de acces requerid N se implementó el cntrl de acces en la slución per se puede lgrar de frma simple, incluyend include infrmacin de permiss acerca del usuari en el tekn SAML. INCO - Facultad de Ingeniería Mntevide, Uruguay 28
Cnclusines La investigación aplicand el métd T-Check ilustra la actualidad de ls estándares para lgrar SSO en WS La curva de aprendizaje pdría ser cnsiderable dad que hay que aprender estándares, herramientas y tecnlgías La tecnlgía de SSO en WS parece tener un gran ptencial dad que puede llegar a ser usada de frma transparente a las aplicacines La metdlgía prpuesta cntribuyó de gran manera para cmprender cm la seguridad puede ser tratada en un cntext de WS INCO - Facultad de Ingeniería Mntevide, Uruguay 29
Trabajs Futurs Trabajar en áreas n cubiertas en el estudi tales cm: Trabajar la seguridad en ambientes ESB Estudiar trs escenaris más cmplejs para pder prbar estándares cm: WS-Trust y WS-SecurityPlicy Manej de identidad Federada INCO - Facultad de Ingeniería Mntevide, Uruguay 30
Referencias T-Check: Lw-Cst Apprach t Technlgy Evaluatin www.sei.cmu.edu/library/assets/tcheck_2010.pdf T-Check in Technlgies fr Interperability: Web Services and Security -- Single Sign-On http://www.sei.cmu.edu/reprts/08tn026.pdf INCO - Facultad de Ingeniería Mntevide, Uruguay 31