AWS SUmmit MAdrid 2018 - Como podemos mejorar la gestión de cientos o miles de cuentas de usuario para disponer de Single Sign On (SSO) y SAML 2.0.
Aspectos como la seguridad, el MFA, y qué hacer con las aplicaciones que soportan estos protocolos.
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
Identity Management con SSO y SAML 2.0
1. SIMPLIFICANDO Y MEJORANDO LA GESTIÓN
DE IDENTIDAD CON HERRAMIENTAS SSO
Pol Jane Senior Devops Engineer @ Edrans
2. AWS SUMMIT MADRID 2018
QUIEN SOY?
▸ Pol Jane - Senior DevOps Engineer @ EDRANS
QUE HACE EDRANS?
▸ Infrastructure as Code
▸ Services Automation
▸ DevOps
▸ IoT
▸ Big Data
▸ Containers
▸ Cost Optimization
▸ Software Development
3. AWS SUMMIT MADRID 2018
WE’RE WOLDWIDE!
▸ London
▸ Barcelona
▸ Buenos Aires (HQ)
▸ Las Vegas
4. AWS SUMMIT MADRID 2018
WE’RE WOLDWIDE!
▸ +70 profesionales especializados
▸ +50 Herramientas OpenSource
▸ 0% Downtime
▸ Clientes: 90% Europe + USA
5. AWS SUMMIT MADRID 2018
LA AUTENTICACIÓN CENTRALIZADA
▸ El escenario tradicional
Normalmente, los “stacks” de autenticación suelen ser o bien un Active Directory o un LDAP,
donde se autentican nuestros usuarios con las correspondientes credenciales.
1. Puedo entrar? 2. Le pregunto al IdP
APP/ServiceUser 3.OK AD/LDAP4. Login
6. AWS SUMMIT MADRID 2018
LA AUTENTICACIÓN CENTRALIZADA
▸ Como funciona SSO (Single Sign On)?
SSO o Inicio de sesión único significa poder acceder a múltiples recursos usando las mismas
credenciales de acceso. Esto por un lado, evita al usuario tener que recordar varias contraseñas y
a su vez simplifica la gestión de identidades al departamento de sistemas.
1. Puedo entrar? 2. Le pregunto al IdP
3. OK! Pero necesito verificación (MFA)
APP/ServiceUser 5. MFA OK
User’s
Phone
4. Soy yo :)
IdP6. Login
7. AWS SUMMIT MADRID 2018
PROVEEDORES DE IDENTIDAD [IDP’S]
▸ Como escoger un IdP?
La elección de un IdP debe hacerse mediante un análisis de los requisitos de la compañía
en lo que a aplicaciones y servicios se refiere.
▸ IdP “on premises” o SAAS IdP?
More info: https://en.wikipedia.org/wiki/SAML-based_products_and_services
Entre muchos otros…
2.0
8. AWS SUMMIT MADRID 2018
LA AUTENTICACIÓN CENTRALIZADA CON SAAS IDP
▸ Más seguridad
Al usar un IdP que se adapta a nuestras necesidades y nos proporciona más capas
de seguridad. (Ej: MFA, Push Notification, YubiKey, RSA, Secret question, SMS, Certificados…)
>> Base de datos de usuarios y credenciales protegidas.
>> Disponibilidad garantizada
>> Protección frente a ataques.
▸ Posibilidades infinitas
▸ Rápida implantación
El IdP puede ofrecer también más servicios de valor añadido en materia de facilidad de uso
y gestión de las identidades así como en seguridad (Ej: Filtrado por MAC Address/Red).
Debido a que no debemos preocuparnos por el mantenimiento de la plataforma de autenticación,
podemos delegar ese trabajo al IdP. Además contamos con soporte 24/7.*
* Dependiendo del proveedor y los tipos de contrato.
9. AWS SUMMIT MADRID 2018
FOTO-FINISH
▸ El escenario deseado:
Todos los usuarios de la compañía pueden
acceder a los distintos servicios y aplicaciones
con unas únicas credenciales de acceso
Cumpliendo así los estándares de seguridad
acorde con el marco legal europeo (GDPR)
>> Máxima seguridad a distintos niveles.
>> Facilidad de uso
>> Bulk Import/Export
>> Trazabilidad absoluta
>> Fácil migración
>> Compatible con nuestra infra
10. AWS SUMMIT MADRID 2018
EL RETO DEL SSO
▸ Que hacer con las aplicaciones no soportadas?
App/Service SAML 2.0 OpenID
CUSTOM
APP
AuthProxy
11. AWS SUMMIT MADRID 2018
EL RETO DEL SSO
▸ Que hacer con las aplicaciones no soportadas?
SAML 2.0 Support
No SAML 2.0 Support
12. AWS SUMMIT MADRID 2018
VISTA DE USUARIO
El usuario tan solo debe acceder a un panel web y hacer click en la aplicación o servicio deseado
O a través de un plugin en el navegador:
13. AWS SUMMIT MADRID 2018
VISTA DE ADMINISTRADOR
La consola web de administración nos facilita mucho el trabajo.
14. AWS SUMMIT MADRID 2018
VISTA DE ADMINISTRADOR
Con tan solo unos “clics” podemos asignar diferentes roles a usuarios/grupos
Registro de eventos:
Visibilidad y trazabilidad total.
15. AWS SUMMIT MADRID 2018
USUARIOS, GRUPOS, PERMISOS Y ROLES EN AWS
Asignación de roles y permisos para distintos usuarios/grupos.
DEV
STG
PRO
AWS Account A
AWS Account B
AWS Account C
· EC2_Read_Only
· EC2_Admin
· S3_Read_Only
· S3_Admin
· RDS_Read_Only
· RDS_Admin
Los usuarios pueden tener
acceso a uno o varios roles
en las diferentes cuentas A,B,C
Los administradores puedes escoger entre
una lista de roles en todas las cuentas para asignar
a usuarios o grupos
16. THANKS FOR
WATCHING!
Q&A?
Link presentación: http://link.to/blah
http://www.edrans.com
Developing technology for future business