sso trabajo

Upload: javier-munoz

Post on 16-Jul-2015

200 views

Category:

Documents


1 download

TRANSCRIPT

SINGLE SING-ON

UNICAESCOMPUTACION DISTRIBUIDA.Franklin Humberto Zepeda. Cecilia Vernica Cceres. Vctor Enrique Miranda.

Ing. Carlos Orellana.

COMPUTACION DISTRIBUIDA.S.S.O.

SINGLE SING-ONS.S.O.

ndiceINTRODUCCIN ........................................................................................................................................ 2 CONCEPTO DE SINGLE SIGN-ON............................................................................................................... 3 ARQUITECTURA DE SSO. .......................................................................................................................... 5 SISTEMAS DE AUTENTICACIN REDUCIDA DE SSO. ................................................................................. 6 LA IDENTIDAD FEDERADA. ....................................................................................................................... 8 KERBEROS. .............................................................................................................................................. 10 ENTERPRISE SINGLE SIGN ON. ............................................................................................................... 11 RESUMEN DE SINGLE SIGN ON............................................................................................................... 11 CONCLUSIN. ......................................................................................................................................... 14

1

SINGLE SING-ONS.S.O.

INTRODUCCINLas organizaciones buscan permanentemente mantener y fortalecer los niveles de seguridad informtica de su arquitectura de cmputo, desarrollando iniciativas viables de aseguramiento y control que permitan ofrecer, internamente y a los clientes, servicios de valor agregado con altos niveles de seguridad y confianza. Uno de lo grandes retos de la informtica corporativa es la gestin de la identidad de los usuarios. En un da tpico, el empleado medio de cualquier empresa debe introducir un login y una contrasea en multitud de aplicaciones adems del indispensable login en el dominio corporativo Una medida de seguridad habitual, hasta la fecha, es forzar al usuario a cambiar dicha contrasea con cierta periodicidad as como el establecimiento de polticas en cuanto a la calidad de la misma (extensin, no repeticin, exclusin de ciertas palabras). El resultado de ambos factores es una pequea pesadilla para el usuario que debe aprender a convivir con frecuentes cambios de contraseas, periodicidades y polticas diferentes en el cambio de la misma lo que deviene en constantes llamadas al administrador para resolver frecuentes olvidos de la contrasea tras su cambio. En el caso de que estas llamadas no se produjeran, la preocupacin del administrador debera ser an mayor pues significara que los usuarios estn apuntando las contraseas en un Post It bajo el teclado. De este modo nos encontramos con que es necesario disponer de nuevas soluciones al problema de la gestin de la identidad del usuario tanto en lo que se refiere al acceso al dominio como en el acceso a aplicaciones.

2

SINGLE SING-ONS.S.O.

CONCEPTO DE SINGLE SIGN-ONEl concepto de Single Sign-On se refiere al acceso a mltiples recursos por medio de un nico proceso de ingreso. Gran cantidad de las arquitecturas implementadas en diferentes organizaciones han sido diseadas con el objeto de dar acceso a los usuarios a mltiples servicios Web y/o aplicaciones. En la mayora de los casos se encuentra que cada uno de los servicios o aplicaciones cuenta con su propio componente de seguridad, lo cual generalmente compromete la seguridad de todo el sistema, dado que el nivel de seguridad de todo un sistema es igual al nivel de seguridad del componente ms inseguro que lo compone1. Una de las posibles soluciones a este problema es implementar la estrategia Single Sign-On El principal objetivo de una arquitectura que implemente Single Sign-On es transferir la funcionalidad y complejidad de todos los componentes de seguridad a un solo servicio de Single Sign-On (SSO). En una arquitectura SSO, todos los mecanismos de seguridad se encuentran concentrados en el SSO, siendo ste el nico punto de autenticacin y registro en el sistema. Otro beneficio de una arquitectura Single SignOn es que los usuarios deben hacer el proceso de ingreso una sola vez, a pesar de que continan interactuando con mltiples componentes de seguridad en el sistema. El concepto de Single Sign-On no necesariamente se refiere a una sincronizacin de passwords, ya que en ese caso todas las aplicaciones y servicios funcionan con un mismo password. Aunque una sincronizacin de passwords le permite al usuario experimentar las ventajas del SSO, sta no puede considerarse una implementacin real, ya que en lugar de fortalecer las caractersticas de seguridad del sistema, stas se estaran debilitando, dado que cuando todas las aplicaciones o servicios utilizan un mismo password, se corre el riesgo de que si un intruso logra conseguir el password de una de las aplicaciones o servicios, inmediatamente tendr acceso a todas ellas. A pesar de que en una verdadera implementacin existe un password que permite el acceso a todas las aplicaciones o servicios, esta aparente debilidad se soluciona sometiendo al usuario a un proceso de autenticacin fuerte en el momento de hacer el ingreso, haciendo que la arquitectura SSO aumente el nivel de seguridad del sistema completo, en lugar de disminuirlo. Autenticacin fuerte se refiere al proceso de autenticacin en sistemas que requieren mltiples factores para realizar la identificacin del usuario, los cuales utilizan tecnologa avanzada como contraseas dinmicas o certificados digitales

3

SINGLE SING-ONS.S.O.

El ejemplo ms simple de autenticacin con mltiples factores es la tarjeta dbito, ya que sta requiere algo que el usuario tiene (la tarjeta con banda magntica) y algo que el usuario sabe (su clave); con solamente una de las dos, el usuario no lograr autenticarse para realizar consultas o transacciones.

Existen diferentes tipos de arquitecturas que permiten implementar SSO. Cada una de ellas posee caractersticas que la hace ms apropiada para algn tipo de organizacin. La decisin de adoptar una u otra arquitectura bsicamente depende de los recursos computacionales y/o econmicos disponibles, y las decisiones de diseo establecidas por el equipo del proyecto.

4

SINGLE SING-ONS.S.O.

ARQUITECTURA DE SSO.Las diferentes arquitecturas SSO estn compuestas por tres componentes bsicos [3]: Interfase: El modo en que el SSO interacta con una determinada aplicacin. Usualmente reside en el cliente, y es conocido como Agente SSO. Administracin: El mecanismo que permite configurar, mantener y monitorear el proceso de SSO. Credenciales: Cada aplicacin a la que se accede requiere informacin confidencial (nombre de usuario, contrasea, etc.), que agrupada recibe el nombre de credenciales. Las credenciales deben almacenarse de manera protegida para que sea nicamente el agente SSO quien pueda acceder a ellas.

Single sign-on (SSO) es un procedimiento de autenticacin que habilita al usuario para acceder a varios sistemas con una sola instancia de identificacin.

5

SINGLE SING-ONS.S.O.

SISTEMAS DE AUTENTICACIN REDUCIDA DE SSO.Hay cinco tipos principales de SSO, tambin se les llama reduced sign on systems (en ingls, sistemas de autenticacin reducida).

Enterprise single sign-on (E-SSO), tambin llamado legacy single sign-on, funciona para una autenticacin primaria, interceptando los requerimientos de login presentados por las aplicaciones secundarias para completar los mismos con el usuario y contrasea. Los sistemas E-SSO permiten interactuar con sistemas que pueden deshabilitar la presentacin de la pantalla de login. Web single sign-on (Web-SSO), tambin llamado Web access management (Web-AM) trabaja slo con aplicaciones y recursos accedidos va web. Los accesos son interceptados con la ayuda de un servidor proxy o de un componente instalado en el servidor web destino. Los usuarios no autenticados que tratan de acceder son redirigidos a un servidor de autenticacin y regresan solo despus de haber logrado un acceso exitoso. Se utilizan cookies, para reconocer aquellos usuarios que acceden y su estado de autenticacin. Kerberos es un mtodo popular de externalizar la autenticacin de los usuarios. Los usuarios se registran en el servidor Kerberos y reciben un "ticket", luego las aplicaciones-cliente lo presentan para obtener acceso. Identidad federada es una nueva manera de concebir este tema, tambin para aplicaciones Web. Utiliza protocolos basados en estndares para habilitar que las aplicaciones puedan identificar los clientes sin necesidad de autenticacin redundante. OpenID es un proceso de SSO distribuido y descentralizado donde la identidad se compila en una url que cualquier aplicacin o servidor puede verificar.

6

SINGLE SING-ONS.S.O.

OPENID.

OpenID es un estndar de identificacin digital descentralizado, con el que un usuario puede identificarse en una pgina web a travs de una URL (o un XRI en la versin actual) y puede ser verificado por cualquier servidor que soporte el protocolo. En los sitios que soporten OpenID, los usuarios no tienen que crearse una nueva cuenta de usuario para obtener acceso. En su lugar, solo necesitan disponer de un identificador creado en un servidor que verifique OpenID Desventaja la autenticacin no ser adecuada para servicios bancarios o transacciones de comercio electrnico, sin embargo el proveedor de identidad puede usar autenticacin fuerte pudiendo ser usada para dichos fines.

7

SINGLE SING-ONS.S.O.

LA IDENTIDAD FEDERADA.La identidad federada es una de las soluciones para abordar la gestin de identidad en los sistemas de informacin. El valor aadido adicional respecto a otras soluciones es la gestin de identidad interdependiente entre compaas, lo que se denomina Federated Identity Management. Mediante soluciones de Identidad Federada los individuos pueden emplear la misma identificacin personal (tpicamente usuario y contrasea) para identificarse en redes de diferentes departamentos o incluso empresas. De este modo las empresas comparten informacin sin compartir tecnologas de directorio, seguridad y autenticacin, como requieren otras soluciones (metadirectorio, Single Sign On, etc.). Para su funcionamiento es necesaria la utilizacin de estndares que definan mecanismos que permiten a las empresas compartir informacin entre dominios. El modelo es aplicable a un grupo de empresas o a una gran empresa con numerosas delegaciones y se basa en el "crculo de confianza" de estas, un concepto que identifica que un determinado usuario es conocido en una comunidad determinada y tiene acceso a servicios especficos. Empresas que han desarrollado software para Identidad Federada son:

OASIS, que ofrece SAML (1.1), una especificacin basada en XML que permite autenticacin cruzada entre dominios. Microsoft e IBM, que proponen un mecanismo de seguridad de Web Services que incluye identidad. Por otro lado, se form la alianza Liberty Alliance Project (a la que pertenece IBM desde octubre de 2004) para desarrollar estndares abiertos y neutrales para Federacin de Identidad.

8

SINGLE SING-ONS.S.O.

9

SINGLE SING-ONS.S.O.

KERBEROS.

Kerberos es un protocolo de autenticacin de redes de ordenador que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseadores se concentraron primeramente en un modelo de clienteservidor, y brinda autenticacin mutua: tanto cliente como servidor verifican la identidad uno del otro. Los mensajes de autenticacin estn protegidos para evitar eavesdropping y ataques de Replay. Kerberos se basa en criptografa de clave simtrica y requiere un tercero de confianza. Adems, existen extensiones del protocolo para poder utilizar criptografa de clave asimtrica. Kerberos mantiene una base de datos de claves secretas; cada entidad en la red sea cliente o servidor comparte una clave secreta conocida nicamente por l y Kerberos. El conocimiento de esta clave sirve para probar la identidad de la entidad. Para una comunicacin entre dos entidades, Kerberos genera una clave de sesin, la cual pueden usar para asegurar sus interacciones. Kerberos fue creado por el MIT (Instituto Tecnolgico de Massachusetts) como una solucin para estos problemas de seguridad de la red. El protocolo de Kerberos usa unacriptografa fuerte con el propsito de que un cliente pueda demostrar su identidad a un servidor (y viceversa) a travs de una conexin de red insegura. Despus de que un cliente/servidor han conseguido a travs de Kerberos demostrar su identidad, tambin pueden cifrar todas sus comunicaciones para garantizar la privacidad y la integridad de los datos intercambiados. En resumen, Kerberos es una solucin para ciertos problemas de seguridad de la red. Provee las herramientas de autenticacin ycriptografa reforzada a travs de la red para ayudar a asegurar que los sistemas de informacin de una empresa o corporacin estn bien resguardados.

10

SINGLE SING-ONS.S.O.

ENTERPRISE

SINGLE SIGN ON.

El Enterprise Single Sign-on es un servicio que permite el mapeo de credenciales de seguridad entre Windows y otros sistemas heterogneos, permitiendo que los usuarios puedan acceder diferentes aplicaciones con un solo conjunto de credenciales.

RESUMEN DE SINGLE SIGN ON.1 Qu es? Concepto que consiste en la autentificacin nica por parte del usuario para acceder a sus recursos. La idea es introducir una nica vez el nombre de usuario y contrasea, sin necesidad de volver introducirlo a la hora de acceder a nuevos recursos en los que an no se haba autentificado. 2 Para qu sirve? En muchos casos no es posible recurrir a la autenticacin en el dominio como sistema de acceso a tercerasaplicaciones. Se hace patente en estos casos la necesidad de establecer sistemas de Single Sign On (SSO) o Simple Sign On que permitan al usuario disponer de una nica autenticacin frente a diversas aplicaciones. Caractersticas: Multiplataforma: facilita las tareas de inicio de sesin y de acceso a recursos de red desde distintas plataformas Transparencia: el acceso a los recursos de sistemas se efecta de forma transparente al usuario debido a la automatizacin del inicio de sesin Facilidad de uso: el usuario se autentifica una nica vez y el sistema le permite acceder a los recursos para los cuales esta autorizado. As se evita las interrupciones producidas por la solicitud de usuario y contrasea para el acceso a diferentes recursos Gestin sencilla: el uso de SSO aconseja la sincronizacin de contraseas e informacin de los usuarios. Esto implica la simplificacin de la gestin de los recursos por parte de los administradores.

11

SINGLE SING-ONS.S.O.

Control de acceso: no se ve afectado por el uso de este sistema, SSO implica cambiar los mecanismos de autentificacin del cliente y/o servidor, pero no modifica los permisos de los recursos. Seguridad: depende de la arquitectura usada, pero en todos los casos la informacin viaja cifrada por la red (SSL, certificados) 3 Cmo funciona? En el caso del Single Sign On (SSO), este tipo de herramientas permiten gestionar los passwords de acceso a diferentes aplicaciones mediante un nico login y password de manera que el usuario slo debe recordar una contrasea de acceso, la del SW cliente del SSO, siendo luego la aplicacin de Single Sign On la que autentica al usuario frente al resto de las aplicaciones.

4 Qu se necesita para implementarlo con Microsoft Windows? Windows Live ID (antes conocido como Microsoft Wallet, Microsoft Passport Network, y .NET Passport) es un servicio de inicio de sesin nico desarrollado y proporcionado por Microsoft que permite a los usuarios autenticarse en mltiples sitios web usando una cuenta nica. Entre estos sitios, se incluyen todos los servicios de Microsoft como (MSN, Windows Live, etc.). La mayora de los sitios web y aplicaciones que usan Windows Live ID son sitios de Microsoft, servicios y propiedades como Windows Live, MSNBC, Xbox Live, Zune o MSN, pero tambin hay varias empresas afiliadas a Microsoft que usan el servicio. Automticamente, los usuarios de Hotmail o MSN tienen un Windows Live ID que corresponde a sus cuentas. Ms recientemente, los datos de inicio de sesin de los usuario han comenzado a permitir demogrfica por anunciantes utilizando Microsoft adCenter. Microsoft Windows XP tiene una opcin para vincular una cuenta de usuario de Windows con Windows Live ID (que aparece con sus nombres anteriores), registro de usuarios en Windows Live ID cada vez que inicien la sesin en Windows.12

SINGLE SING-ONS.S.O.

5 En que lo podras implementar en tu escuela? En los laboratorios cuando el alumno accese a la mquina usando su usuario y contrasea, pueda ingresar a los dems servicios sin necesidad de escribirla de nuevo. 6 Cmo lo promocionaras? Primero que nada hacer una conferencia donde se le explique al alumno lo que es el single sign-on y las ventajas que tiene, o en los mismos laboratorios dar algunas platicas en horas de clase, hablando sobre el tema. 7 Cules consideras las etapas que te podra llevar la implementacin? La primera etapa sera realizar las conferencias o las platicas sobre lo que es single sign-on para que el alumno este informado sobre el tema, una vez que esta informado sobre el tema, comenzar a usarlo como prueba hasta que quede en su etapa final y se `pueda implementar sin problemas. 8 Qu Tiempo aproximado tardaras en implementarlo? Por qu? Se tardara alrededor de 6 meses en implementar, podra ponerse un semestre de prueba, para ver que tal funciona, para ver su rendimiento y si vale la pena implementarlo.

13

SINGLE SING-ONS.S.O.

CONCLUSIN.El tipo de arquitectura SSO a implementar en una determinada organizacin deber determinarse con base en varios factores como son: su capacidad de personalizacin y flexibilidad, la complejidad deseada en la infraestructura, los recursos de tecnologa informtica disponibles y los recursos econmicos disponibles, entre otros. La arquitectura deseable en las grandes organizaciones es la arquitectura SSO totalmente distribuida, y en estos casos la principal razn para no implementarla es la falta de recursos econmicos. El excesivo costo que representa implementar la arquitectura SSO totalmente distribuida se debe no solamente al costo de los mltiples servidores mediante los cuales se implementa la caracterstica de balanceo de carga, y las mltiples bases de datos empleadas para implementar redundancia, sino a los altos costos administrativos (personal especializado, software especial y tiempo requerido) que genera mantener funcionando un sistema de tal dimensin. Si bien, algunas organizaciones en el mundo, han desarrollado y adquirido importantes mecanismos de seguridad informtica que muestran un alto nivel de cumplimiento con los fundamentos de seguridad informtica como lo son: las tarjetas token card (contraseas dinmicas), los perfiles de control de acceso, o una infraestructura de llaves pblica y privadas PKI, entre otros, la implementacin de una estrategia de Single Sign-On muestra nuevamente el compromiso de las empresas con la proteccin y fortalecimiento de la arquitectura de cmputo y el acceso a sus aplicaciones corporativas.

14