DIA 21, Gestión de la Identidad Digital en Red: Gestión de Identidades y Control de Acceso José Manuel Medina Desarrollo de Negocio Bull España 21 de Noviembre de 2.007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD
Índice 1. Visión general de la Gestión de Identidades 2. Gestión de Accesos 3. Gestión de Identidades y Aprovisionamiento 4. Gestión de Roles 5. RBAC: Definición 6. RBAC Extendido: Definición y características 7. Gestión de Políticas 2
Gestión de Identidades, Control de Acceso y SSO User centric Negocio Gestión de Roles Workflow Autenticación Fuerte Enterprise SSO Cifrado Datos Servicio de gestión de Identidades Sincronización y Aprovisionamiento Gestión Acceso Auditoría, Reporting Cumplimiento Servicio de Infraestructura Servicio directorio, Alta disponibilidad IT Centric Satisface los requisitos inmediatos para desplegar rápidamente un SSO Aporta perspectivas atractivas para cumplir con las necesidades IAM 3
Gestión de A-I-R Los 3 ramas de la Gestión de Identidades y Accesos La gestión de accesos securiza el acceso al puesto de trabajo y a los datos, y controla la forma en que los usuarios se conectan a las aplicaciones. Debe incluir autenticación fuerte, gestión de passwords, auditoría y encriptación de datos. La Gestión de Identidades se focaliza en la creación y mantenimiento de la identidad de los usuarios en distintas fuentes autoritativas y sistemas IT. La Gestión de Roles define y aplica políticas de seguridad a la gestión de identidades y accesos, basada en procesos empresariales de alto nivel. 4
Gestión de Accesos Enterprise Single Sign-On Gestión de acceso a aplicaciones corporativas, política de gestión de contraseñas, autenticación fuerte, auditoría de acceso a los aplicativos Web Single Sign-ON Web Infraestructura de acceso seguro a todas las aplicaciones web J2EE Servicios de autenticación y autorización en aplicaciones multi-dominio SAML/SOA Autenticación Fuerte Métodos de autenticación más usados: Usuario/Contraseña, OTP, PKI (e-dni), Smarcard con Usuario/Contraseña, Biometría, RFID Activo Cifrado de Datos 5
Gestión de Identidades y Aprovisionamiento Gestión de todas las operaciones pertenecientes a la creación de identidades autoritativas y sus atributos en los sistemas User Provisioning Aprovisionamiento de cuentas de usuario en los sistemas y aplicaciones (basado en conectores y agentes) Sincronización de contraseñas entre diferentes sistemas y aplicaciones Upstream Provisioning Creación de un repositorio de identidades fiable y coherente 6
Gestión de Roles Debe facilitar la creación de la correspondencia entre los datos de usuario, el repositorio de identidades, y los derechos de uso en sistemas y aplicaciones Gestión de Políticas Definición de la política de seguridad basada en roles y organizaciones Workflow de aprobación Facilita la creación por parte de la empresa de flujos eficientes de responsabilidad para automatizar el proceso gestión del ciclo de vida de usuarios. Añade valor a los proyectos de Gestión de Identidades 7
Modelo RBAC Estándar vs Extendido Modelo RBAC Estándar Definición: Modelo estandarizado. Política centralizada de gestión de derechos implica definir roles y procesos de asignaciones a usuarios Limitación: RBAC implica que toda la organización comparte los mismos procesos de funcionamiento, los mismos conjuntos de tareas y las mismas definiciones de roles. Debe integrar, a medida que se implanta, más roles específicos, lo que puede convertirlo en extremadamente complicado. RBAC Estándar Usuario Rol Recurso 8
Modelo RBAC Estándar vs Extendido Modelo RBAC Extendido Definición: Modelo RBAC incluye especificidades de cada perfil dentro de cada organización. Beneficios: Toma en cuenta las características agregadas por las diferentes organizaciones a los roles (perfiles de negocio) de sus usuarios. El par rol/organización del usuario permite adaptar el modelo a las realidades operativas (roles) y estructurales (la organización) RBAC Extendido Usuario Rol Organización Recurso 9
Modelo RBAC Extendido: Ejemplos Ejemplo 1: El permiso P se asigna al par R/O. El usuario S tiene el rol R, pero no pertenece a la organización O. Por consiguiente, el usuario S no obtiene el permiso P. Martín es un auditor del holding. La aplicación cuentas es accesible por los auditores de la filial francesa. En consecuencia, Martín no puede acceder a la aplicación, puesto que para ello debería pertenecer a la filial francesa. Ejemplo 2: El permiso P se asigna al rol R. El usuario S está asignado al par R/O. El usuario S obtiene pues el permiso P. Juan es auditor de una filial. La aplicación audit es accesible por los auditores de todas las organizaciones. Así pues, Juan puede acceder a la aplicación audit, puesto que es auditor. 10
Gestión de Políticas: Solución E-RBAC Un gestor de política de seguridad de accesos le permitirá definir una política de seguridad de tipo RBAC extendido 4 funciones principales: Creación de los distintos elementos de la política de seguridad Aplicación de la política Comparación del estado deseado y del estado real Actualización (aprovisionamiento) 11
Gestión de Políticas: Solución E-RBAC Características: Permite la herencia de permisos Por roles, organizaciones, pares (rol, organización Gestiona las exclusiones Proporciona espacios de trabajo Implica el aprovisionamiento 12
Gestión de Pólíticas: Conclusión Cuál es el impacto potencial de la eliminación del rol contable temporal? Tras la modificación de la política, qué usuarios nuevos tendrán el derecho de acceder a SAP R/3? Las personas que tengan el rol ingeniero comercial en Boston, todavía podrán acceder al entorno de toma de pedidos? La nueva aplicación Gestión de historiales médicos, podrá ser utilizada por todos los médicos del hospital? 13
Solución completa (I) Policy Manager Approval Workflow ID Synchronization User Provisioning E-SSO Web Access Manager SOA Access Manager Self-Registration Data Privacy 14
Solución completa (II) Nuevo usuario RRHH >> empleado Auto registración >> personal externo Propuesta de Identidad Petición Ciclo de aprobación/validación Single Sign-On Auditoria Cumplimiento a normativas Control Acceso Directorio Aprobación Proceso de negocio (Workflow) Afectación : - Perfil(es) - Grupo(s) - Organización Provisioning Alta de las cuentas en los sistemas y aplicaciones Login/contraseña 15