chakray enterprise-security-soi-portunoidm-v3.0
DESCRIPTION
TRANSCRIPT
Roger CarhuatoctoIT Consultant
roger[at] chakray.com
+34 629292125
Enterprise Security & SOIIdentity and Access Management (IAM) in the Organizations with WSO2 IS
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
1. Enterprise Security
• Nos referimos como “Enterprise Security” a los niveles de Seguridad aplicada a todos los niveles de la Organización, esto sería:• “Security Compliance” (PCI, SOX, MoReq, ISO, BSI, …)• Seguridad Física y Lógica• Seguridad Perimetral• Seguridad Preventiva, Reactiva, Pro-activa.
• Sin embargo, el eje transversal o pilar de la seguridad a nivel Corporativo es la Gestión del Acceso y de las Identidades (IAM), y se incluye lo siguiente:• Gestión del Ciclo de Vida de las Identidades
• Dar de alta, baja, actualizar, etc. perfiles de usuarios.• Modelo jerárquico de Usuarios (Grupos, Roles, etc.) muy relacionado
al modelo jerárquico de la Organización.• Servicios de Autenticación, Autorización y Auditoría.
• Si hay un proyecto de Seguridad TIC que implantar en las Organizaciones, iniciar por Gestión de Accesos e Identidades (IAM).
• Todos los tipos de Seguridad TIC se sustentan en IAM.• IAM dota a toda la Organización de capacidad de Auditabilidad y “no repudio” a los activos de la
empresa como: información, productos, procesos, individuos, marca, etc.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
2. Qué es un Ecosistemas Empresarial ?
• Es la agrupación de Sistemas y Aplicaciones Tecnológicas que dan soporte al desarrollo de negocio de la Organización. Pueden conformarlo:
• ERP (Enterprise • CRM• ECM• Software Ad-Hoc• Correo Electrónico Corporativo• Portal Corporativo, Intranet, Extranet• Sistemas de Gestión de Contenidos Empresariales• Base de Datos• Sistemas “Legacy”
• Un Ecosistema Empresarial puede ser muy acoplado o desacoplado, en él pueden co-existir Sistemas y Aplicaciones heredadas o bastantes antiguas, que por la criticidad de la información que gestionan y su alto costo de actualización no pueden ser reemplazados.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
Service-oriented Infraestructure (SOI) as best practice
BAM, BI & BigData
Enterprise Service Bus
Sec
urity
and
Iden
tity
Man
agem
ent
Authentication
Authorization
Single Sign-On
Social Login
Federation of Identities
Users Management
Users Provisioning
Consolidation of Identities
Presentation Layer
OrchestrationLayer
Business Service Layer
CONTROLLER
MODEL
VIEW
SE
CU
RIT
Y
Portal B2BPortal B2C
Web Portlets Mobile B2B API Dashboard OpenDataCollaboration
BPM Applications(Bonita BPM)
Existing Business Applications
CRM
CMS, ECM
ERP BPM Designer
WorkflowEngine
BPM Portal
SERVICES
DB, KPI, Logs, Docs
GOVERNED SERVICES
New Business Application
Systems
PHP, Ruby, Python,Java
3. Un ejemplo de Ecosistema Empresarial
• Chakray Consulting provee un Stack completo para abordar Proyectos de Integración basado en Servicios.• En una Arquitectura de Referencia SOA/SOI basado en el stack de productos de WSO2 (free/open source), podemos abordar
toda la complejidad de la integración de Sistemas y Aplicaciones de Negocio existentes en la Organización y siempre alineados a los principios arquitectura SOA.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
4. Aplicando Seguridad a un Ecosistema Empresarial
• Primera fase:• Gestión de Accesos e Identidades (IAM).
• User credential lifecycle Management• Modelo de usuarios• Servicio de Autenticación• Servicio de Autorización• Servicio de SSO
• Segunda fase:• Seguridad de la Información
• PKI, Firma Digital• Gestión Centralizada de Documentos
• Tercera fase:• Security Compliance:
• Gestión de Riesgos de activos de la empresa• Continuidad de Negocio
• Cuarta fase:• Auditabilidad y “no repudio”
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
Federated User Management
(Penrose Virtual Directory)
Portal B2B (WSO2 UES, BAM, AM, ES)
Service-oriented Infraestructure (SOI) e IAM
BAM, BI & BigData
(WSO2 SS, BAM, CEP)
Enterprise Service Bus (WSO2 ESB)
Portal B2C (Liferay Portal)Identity Management
(WSO2 IS)
Web Portlets Mobile B2B APIAuthentication, Authorization
Single Sign-On
Consolidation of Identities
New Business Application
Systems
Dashboard OpenDataCollaboration
Presentation Layer
OrchestrationLayer
Business Service Layer
CONTROLLER
MODEL
VIEW
SE
CU
RIT
Y
PHP, Ruby, Python,Java
User Management
Social Login
BPM Applications(Bonita BPM)
Existing Business Applications
Openia CRM
Alfresco ECM
Openbravo ERP Bonita Studio
Bonita WorkflowEngine
Bonita UX Portal
SERVICES
GOVERNED SERVICES
5. Desplegando IAM en la Organización (1/2)
• La implantación o el desarrollo de un proyecto de IAM en la Organización se aborda como un Proyecto de Integración siguiendo los Principios SOA/SOI.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
*
****
*
****
Federated User Management
Portal B2B (WSO2 UES, BAM, AM, ES)
Identificando Productos y Tecnología para IAM
BAM, BI & BigData
(WSO2 SS, BAM, CEP)
BPM Applications(Bonita BPM)
(WSO2 ESB)
Portal B2C (Liferay Portal)Identity Management
Web, Collab, Mobile, Portlets B2B API
(Penrose Virtual Directory)
Existing Business Applications
New Business Application
SystemsBonita Studio
Bonita WorkflowEngine
Dashboard OpenData
Presentation Layer
OrchestrationLayer
Business Service Layer
CONTROLLER
MODEL
VIEW
SE
CU
RIT
Y
Bonita UX Portal
SERVICES
PHP, Ruby, Python,Java
23
4
5
6
7
910
8
(WSO2 IS)
1
GOVERNED SERVICES
9
9
5. Desplegando IAM en la Organización
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
1. User Credentials Management
6. IAM - uses cases
• WSO2 Identity Server:• Multiples User Storages.• User Storage using LDAP embeded,
LDAP external and external DB.• Authentication, Authorization and SSO.• Exposes complete API to user
management.• Provisioning via SCIM.• Policies
• Penrose Virtual Directory• Can integrated existing LDAP and DB
storing user credentials.• Exposes a LDAP interface that can be
used as external LDAP for WSO2 IS.• Bidirectional sync (LDAP in read/write
mode)
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
2. AuthN and AuthZ for Ad-hoc Applications
6. IAM - uses cases
• WSO2 Identity Server exposes API to user management.• Recovery.• Change password.• Update profile.
• WSO2 IS exposes AutheN/AuthZ Services using serveral strategies/protocols:• OpenID, SAML, OAuth, XACML, RBAC,
etc.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
3. AuthN and AuthZ for existing ERP and ECM
6. IAM - uses cases
• Centralized User Management.• Openia CRM is a module for Openbravo
ERP. Openbravo ERP already have functionalities to user management, then Openbravo should be configurated pointing to the embeded LDAP of WSO2 IS or Penrose Virtual Directory.
• In similar way, Alfresco ECM should be configures with this LDAP.
• Authentication and Authorization.• It is not necessary if you extend ERP or
ECM because user credentials and roles are in LDAP storage.
• Calling Services of Openbravo ERP or Alfresco ECM requires HTTP Basic Authentication. Try it using HTTP over SSL.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
5. AuthN and AuthZ for Bonita BPM
6. IAM - uses cases
• Any BPM Suite has 3 components:• Designer (Bonita Studio)
• In time of processes modeling, obtain representation of hierarchy of users, groups, roles is a great help for business process expert.
• Bonita Studio is based in Eclipse IDE and It is possible to model following this representation of hierarchy of users, groups and roles using “Bonita’s Actor Filter”.
• Workflow engine (Bonita Workflow Engine)
• In this case we should cofigure Workflow engine to get hierarchy from external LDAP server.
• TaskList Portal (Bonita UX Portal)• AuthN and AuthZ process is delegated
to external LDAP. Bonita UX Portal has to configure pointing to LDAP server.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
4. AuthN and AuthZ for existing Services
6. IAM - uses cases
• User Storage in WSO2 IS can be used as User Storage for WSO2 ESB.
• Authentication and Authorization:• In WSO2 ESB you can enable/disable
security over the exposed services.
• WSO2 IS offers several protocols and strategies as a Trusted-third-party, of this way, you can reach SSO and Federation of Identities.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
7. AuthN and AuthZ for the Presentation Layer
6. IAM - uses cases
• Any Web Portal server commonly has a LDAP connector to sync users, groups and/or roles. Also, any Web Portal has connectors to do authentication and authorization, for example, Liferay has tools for these purposes.
• WSO2 IS provides OpenID functionality that can be used with Liferay Portal easily.
• Review the strategies to authentication, authorization and SSO of WSO2IS suitable to our environment.
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
1. Start login process2. Pass login process to Bonita3. Bonita passes login process4. OB passes login process5. WSO2IS sends response6. OB redirects response7. Bonita redirects response8. Liferay receive response
Authentication in Openbravo
1. Start login process2. Pass login process to Bonita3. Validate credentials4. WSO2IS sends response5. Bonita redirects response6. Liferay receives response
Authentication in Bonita
1. Start login process2. Validate credentials3. WSO2IS sends response4. Liferay receives response
Authentication in Liferay
Deploy WSO2 Identity Server, create several users and roles.
Consolidate user credentials (Penrose Virtual Directory) and Deploy LDAP WSO2 IS
Configure LDAP Authentication in Liferay pointing to the embedded LDAP of WSO2 IS.Enable Users and Roles (Group) sync.
In this step is possible to do LDAP Authentication and User syncronization.
Configure LDAP Authentication and users sync in Bonita pointing to the embedded LDAP of WSO2 IS.
Right now this functionality is available in Bonita BPM Teamwork version (http://www.bonitasoft.com/products/product-comparison).
Configure LDAP Authentication and users sync in OpenBravo pointing to the embedded LDAP of WSO2 IS.
Configure LDAP Authentication and User syncronization of OpenBravo with embedded LDAP of WSO2 IS.
Check the authentication flow and user sync flow in all the system.
Testining authentication an sync of users.
LIFERAY WSO2IS BONITA OPENBRAVO
LIFERAY WSO2IS BONITA OPENBRAVO
1.
2.
3.
4.
5.
7. IAM – flow diagram
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
5
6
7
1
3
4
2
9
10
8
• Process integration and consolidation of different sources of user identities.• Bi-directional synchronization, the goal is to build a centralized database of identities and attributes.
• WSO2 Identity Server exposes API to user management: recovery, change password, update profile.
• WSO2 IS exposes AutheN/AuthZ Services using serveral strategies/protocols: OpenID, SAML, OAuth, XACML, RBAC, etc.
• Openia CRM is a module for Openbravo ERP. Openbravo ERP already have functionalities to user management, then Openbravo should be configurated pointing to the embeded LDAP of WSO2 IS or Penrose Virtual Directory.
• In similar way, Alfresco ECM should be configures with this LDAP.• Calling Services of Openbravo ERP or Alfresco ECM requires HTTP Basic Authentication.
• Bonita BPM in two phases: In design-time and running-time.• When the processes are modeling, the Bonita Studio’s Actor Filters should be configurated to get users, groups and
roles from our centrilazed User Storage (LDAP).• When the processes are running, the BPM engine delegate the validation of identities (authorization) in WSO2 IS,
while the model of roles and permissions (attributes) on the centralized User Storage (LDAP).
• User Storage in WSO2 IS can be used as the User Storage for WSO2 ESB.• In WSO2 ESB you can enable/disable security over the exposed services.• WSO2 IS offers several protocols and strategies as a Trusted-third-party, of this way, you can reach
SSO and Federation of Identities.
• Existing or new applications can delegate their authentication process in WSO2 IS, while for user synchronization will use the Penrose Virtual Direcotry as our centralized repository of users and attributes.
• The advantage of using Liferay Portal Server rather than a pure applications is the ability to delegate the Authentication, Authorization and People Management WSO2 IS only setting connectors with little programming.
8. Enterprise Security & SOI - summary
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
9. Portuno IdM – Nuestra solución para IAM
Es nuestra estrategia tecnológica que da soporte al ciclo completo de desarrollo de Proyectos de IAM en Ecosistemas Empresariales.
Tecnológicamente está sustentada en:• WSO2 Identity Server• Penrose Virtual Directory• Conjunto de Adaptadores y Configuraciones
para Bonita BPM (Studio, Portal), Openbravo ERP, Liferay Portal, Alfresco ECM, etc. que facilitan la Gestión centralizada de credenciales de usuarios.
Metodológicamente está sustentada en las buenas prácticas de arquitectura de aplicaciones críticas y los principios de integración basada en “servicios” (SOI).
SOA
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
9. Portuno IdM – Beneficios
Basado en productos free/open source maduros y con una comunidad y organizaciones muy activas que les dan soporte.
WSO2 IS, Penrose implementan los estándares de seguridad más usado en estos momentos:• SAML, OAuth, SCIM, XACML, X.500, X.509, ..
Sigue las buenas prácticas de arquitectura y seguridad:• Decoupled Architecture• Separation of Concerns (SoC)• Service-Oriented Architecture (SOA)• Service-Oriented Integration (SOI)• Complete IAM’s Services exposed as API• Ready to Cloud: Social Login• No intrusive Technology:
• Integration and consolidation, not migration or shift to back burner
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
9. Portuno IdM – Oferta de Servicios
Consultoría:- Toma de requerimientos- Diseño de Arquitectura IAM- Plan de Proyecto IAM
Arquitectura y desarrollo:- Despliegue de Infraestructura IAM- Configuración base de Infraestructura IAM- Diseño y ejecución de Test Master Plan para
Integración de Sistemas (Login y Control de Acceso, SSO, Gestión Centralizada de Usuarios)
Integración con Business Applications:- Con BPM, ERP, CRM, ECM, Portal, Social Login,
etc.
1 Semana
4 Semanas
En relación a Sistema a Integrar
IAM avanzada:- IAM en Alta Disponibilidad- Administración y Monitorización Gestionada
Consultar
Enterprise Security & SOI: Identity Access Management in the Organizations with WSO2 IS
• Toma de Requerimientos• Diseno de la
Arquitectura IAM• Plan de Proyecto
IAM
Consultoria
• Despliegue de Infraestructura IAM• Configuración base de
Infraestructura IAM• Diseño y ejecución de Test
Master Plan para Integración de Sistemas (Login y Control de Acceso, SSO, Gestión Centralizada de Usuario
Arquitectura y Desarrollo
Integracion con los Sistemas Existentes
Quiénes Somos
Presentación Corporativa
CHAKRAY : “Palabra Quechua que describe el buen uso que en el mundo Andino se le ha dado a la Tecnología para el trabajo con la tierra.”
Aportar la excelencia en la Planificacion, implantacion , Soporte y Formación de Sistemas Criticos OpenSource
Misión:
Visión:
Ser una empresa de Alta Especialización sobre Sistemas Críticos OpenSource, Sabemos que el principal activo es nuestro equipo. Sabemos colaborar con todos los “Stakeholders“ en Proyectos sobre Tecnologías de la Información con base en plataformas OpenSource dando soporte de muy alta calidad a los negocios de sus clientes, gestionando y evolucionando sus Sistemas de Información.
Nuestros Principios
Presentación Corporativa
• Hacemos bien las cosas. Sabemos que la Tecnología es Soporte al Negocio y conocemos su Criticidad
• Somos Especialistas en las soluciones que proponemos
• No reinventamos la rueda .Trabajamos con Arquitecturas Escalables bajo una Orientación a Servicios SOA (Service Oriented Architecture) con una Arquitectura de Referencia Probada.
• Desarrollo, Construcción e Integración Ágil y cercana al Negocio, bajo BPM (Busines Process Management) y PDD (Process Development Drive)
• Aplicamos la Seguridad a todos los niveles de la Solución
• Nuestra Solución es Virtualizable y orientada a la Nube
Nuestros Servicios
Presentación Corporativa
Consultoría Tecnológica OpenSource
Planificación estratégica Arquitectura.Optimización de procesos Oficina TécnicaDesarrollo , Implantación y Despliegue
Servicios Profesionales
Selección de perfiles (Headhunting).Outsourcing no gestionado.
Metodologías Agiles y Formación
Proporcionar competencias técnicas para el mantenimiento de las soluciones tecnológicas.
www.linkedin.com/company/chakray-consulting
@Chakray_com
www.chakray.com
Haciendo Bien las cosas , con la Tecnologia adecuada para el Soporte al Negocio
CHAKRAY