081 que resuelve-gx_evolution_2_para_la_seguridad_de_sus_aplicaciones_web_y_sd
•Descargar como PPTX, PDF•
0 recomendaciones•267 vistas
Recomendados
Recomendados
Más contenido relacionado
Similar a 081 que resuelve-gx_evolution_2_para_la_seguridad_de_sus_aplicaciones_web_y_sd
Similar a 081 que resuelve-gx_evolution_2_para_la_seguridad_de_sus_aplicaciones_web_y_sd (20)
Más de GeneXus
Más de GeneXus (20)
081 que resuelve-gx_evolution_2_para_la_seguridad_de_sus_aplicaciones_web_y_sd
- 1. ¿Qué resuelve GX Evo 2 para la seguridad de sus aplicaciones Web y SD? Eugenio García egarcia@genexus.com @ewgarcia #gx2419 #gx21
- 3. Conceptos Autenticación Proceso a cumplir para tener acceso a los recursos del sistema Verifica que el usuario es “quien” dice ser Autorización Una vez que se sabe “quien” ingreso al sistema se debe saber “qué” cosas puede hacer
- 4. ¿Por qué? Casi siempre lo necesito Estamos reinventando la rueda N veces Es algo que subestimamos Dar una solución completa es cada vez más difícil
- 5. ¿Y desde el desarrollo? No es algo que motive Tendemos a dejarlo para el final Codificar control de acceso Hay olvidos a la hora de controlar el acceso Queremos declarar más y programar menos
- 6. Escenarios
- 7. Aplicaciones Web y Smart Devices Todo privado Backend privado y Frontend público Frontend con datos públicos y privados Backend Web privado y Frontend Smart Device público
- 8. Más escenarios Varias aplicaciones compartiendo los mismos usuarios Integración con GXflow Capa de servicios segura Aplicaciones Web que ya tienen esquema de seguridad
- 9. Ejemplos
- 10. PesoBook
- 11. GXbus
- 13. Nuestra solución
- 14. GAM= GeneXus Access Manager Resuelve la autenticación y autorización Para Web y Smart Devices Define base de datos de usuarios y permisos Ofrece API built-in en GeneXus Oculta complejidad y da potencia
- 15. ¿Cómo lo habilito? Propiedad a nivel de KB Version EnableIntegrated Security = True Default integratedsecuritylevel = (none, authentication, authorization) Propiedad por objeto Integrated Security Level
- 16. Ejemplos built-in Login Usuarios Roles Políticas de seguridad Contraseñas Sesiones Tipos de autenticación Aplicaciones Permisos
- 17. Tipos de autenticación Local Web Service Externo Facebook Twitter
- 18. Autorización Control de acceso por objeto Permisos de ejecución Permisos por modos de una transacción El control de acceso queda en lo generado
- 19. Resumen
- 20. Beneficios
- 21. Charlas para profundizar Cómo incorporar seguridad a mis aplicaciones GeneXus Martes 15:00 Sala 2A ¿Qué hace y cómo se utiliza la Seguridad Integrada a GeneXus? Miércoles 10:30 Sala 2A Café con seguridad Miércoles 11:45 Sala Torres García Desarrollando aplicaciones seguras con GeneXus Miércoles 9:30 Sala 2A
- 22. ¡Gracias! Eugenio García egarcia@genexus.com @ewgarcia #gx2419 #gx21
Notas del editor
- Buenas tardes, mi nombre es Eugenio García y trabajo en Artech como Program Manager de GXflow, GXportal y Gxplorer. Además en esta versión me ha tocado seguir de cerca esta nueva funcionalidad que ayudará a hacer aplicaciones web y SD más seguras de una manera simple y rápida. Aquellos que quieran seguir la conversación por Twitter ahí tienen mi cuenta y los hashtags de esta charla y el encuentro.
- Antes de comenzar quería aclararles que no vamos a hablar de hackers y como evitarlos ni de técnicas de cómo programar para evitar determinados ataques a nuestras aplicaciones. Para esto les recomiendo la charla “Desarrollando aplicaciones seguras con GeneXus” que será el miércoles 9:30 donde se van a abordar otros aspectos que debemos tener en cuenta cuando pensamos en la seguridad de las aplicaciones que desarrollamos. Además ese mismo día antes del mediodía tendrán un “Café con seguridad” donde se podran intercambiar ideas sobre todos estos aspectos.La idea es presentarles qué es lo que estamos dando en GeneXus Evolution 2 para resolver el control de acceso a nuestras aplicaciones y sobre todo dejarles claro cuales son los escenarios donde ustedes pueden aplicar esta nueva funcionalidad que hemos bautizado como GAM.
- Antes de ver qué es el GAM y qué escenarios resuelve me parece bueno aclarar algunos conceptos relacionados al tema de la seguridad de las aplicaciones.El primero es el concepto de autenticación que lo podemos definir como el proceso por el cual el usuario se identifica; es decir, dice quien es. Una vez que el sistema sabe quien es el usuario que ingreso al sistema hablamos de Autorización como el proceso de verificación que una persona conocida tiene la autoridad para realizar una cierta operación. Es decir, define qué cosas puede hacer el usuario en el sistema.
- Algo que siempre es bueno preguntarse cuando queremos resolver algún proyecto nuevo es preguntarse por qué lo estamos haciendo y qué queremos resolver con esto.Entre las motivaciones mas importantes que tuvimos para integrar esta funcionalidad en GeneXus es el hecho de que en casi todas las aplicaciones sean para la web o para smartdevices necesitan resolver aspectos de autenticación y control de acceso a las opciones de la aplicación.Lo que vemos sobre este tema es que como desarrolladores estamos reinventando la rueda n mil veces y en general subestimamos el alcance de la implementación de un módulo de seguridad y nos termina llevando mucho mas tiempo del que quisiéramos y con el riesgo de dejar agujeros importantes en el control de acceso a las distintas opciones de nuestras aplicaciones.Hoy en día es cada vez mas complejo dar una solución completa que contemple lo que el usuario quiere, es decir, no sólo registrar y loguearse con su usuario de la aplicación sino que también quiere poder loguearse en determinadas aplicaciones con sus cuentas que tienen en Twitter y Facebook y para esto es necesario implementar bsandote en Oauth. Es decir, se necesitan conocimientos más profundos que simplemente guardar el usuario y contraseña en una tabla de la base de datos y esto es lo que queremos evitarles al ofrecer esta funcionalidad built-in en GeneXus X Evolution 2.
- ¿Y desde el punto de vista del desarrollo?Generalmente resolver la autenticación y autorización no es un tema que motive a la mayoría de los desarrolladores, todos sabemos que en algún momento lo tenemos que hacer y medio que por obligación y lo terminamos dejando para las etapas finales del proyecto en algunos casos.Al tenerlo dentro de GeneXus evitamos codificar los llamados que siempre debíamos incluir en todos los mains para asegurarnos de que el usuario que accede a determinada pantalla tenga los permisos necesarios para hacerlo, esto hace que nuestros objetos GeneXus no tengan que incluir este tipo de controles dado que serán los generadores los encargados de generar lo necesario para realizar estos controles.Otro tema que es común que pase es que la incorporación del login y de los controles de acceso se dejen para etapas avanzadas del desarrollo de la aplicación y esto muchas veces trae como consecuencia que nos olvidamos de poner los controles en lugares donde deberíamos tenerlos.Sobre todo lo que se busca es que declaremos más en nuestras bases de conocimiento y funcionalidades como estas vengan dadas de forma que nos enfoquemos en las reglas que tenemos que modelar y no tanto en aspectos que no hacen al negocio en si mismo.
- Repasemos los escenarios que pretendemos cubrir con la funcionalidad que estamos dando en el GAM en GeneXus Evolution 2 MARCAR ROADMAP
- Los escenarios que pretendemos resolver son tanto para aplicaciones Web como para aplicaciones para Smart Devices.Acá tenemos por ejemplo el caso donde todo es privado, por lo tanto se requiere que el usuario esté identificado y además seguramente se necesiten distintos permisos para distintos perfiles de usuarios.Otro caso es cuando tengo información que sólo usuarios autorizados pueden editar pero que a través de algún sitio o aplicación SD se deja acceder libremente a esa información.También nos vamos a encontrar con casos donde gran parte de los datos que ofrecemos para los usuarios son públicos y para algunos en particular necesitamos que se identifiquen.Y el caso donde todo el backend que gestiona los datos es privado y la aplicación SD da acceso libre a leer esa información.En general la mayoría de los casos se resume en una mezcla de estos.
- Otro escenario que vamos a resolver es el de integración de aplicaciones donde en general el primer problema que tienen que resolver cuando se integran dos aplicaciones diferentes es el tema de la seguridad y el control de acceso.Sumado a esto GXflow también soportará este nuevo módulo así como el resto de los productos nuestros por lo tanto va a ser mucho más fácil gestionar los usuarios de distintas aplicaciones.En el caso de tener una capa de servicios SOAP o REST también podremos resolver que el acceso a los mismos se haga luego de realizar la autenticación, de esta forma protegemos el acceso a los datos de la aplicación por este medio.En el caso de aplicaciones web que ya tienen su propio esquema de seguridad, lo podrán seguir usando o tendran los elementos para migrar esos usuarios al nuevo esquema.Seguramente se me escapan varios casos más que en realidad son una combinación de estos.
- Se puede aplicar tanto a aplicaciones Web como para Smart Devices.En el caso de las aplicaciones Web tengo la opción de no usarlo y seguir con el esquema que ya tuviera implementado. Para el caso de las aplicaciones para Smart Devices la forma de poder tener un login y resolver la autenticación para este tipo de aplicaciones es usando el GAM.Dado que en una misma KB vamos a tener nuestra aplicación web y la aplicación para SD ambas van a usar la misma base de datos del GAM y por lo tanto los mismos usuarios y permisos.
- Se puede aplicar tanto a aplicaciones Web como para Smart Devices.En el caso de las aplicaciones Web tengo la opción de no usarlo y seguir con el esquema que ya tuviera implementado. Para el caso de las aplicaciones para Smart Devices la forma de poder tener un login y resolver la autenticación para este tipo de aplicaciones es usando el GAM.Dado que en una misma KB vamos a tener nuestra aplicación web y la aplicación para SD ambas van a usar la misma base de datos del GAM y por lo tanto los mismos usuarios y permisos.
- Entonces, qué es el GAM?Su sigla es por GeneXus Access Manager y se trata de un API y un conjunto de funcionalidades que resuelven de manera automática las funcionalidades de autenticación y autorización cuando lo habilitamos en nuestras Bases de Conocimiento al trabajar con GeneXus Evolution 2. Esté nuevo modulo será el encargado de centralizar todos los aspectos de autenticación y permisos, será donde registremos a los usuarios de nuestros sistemas y configuremos que cosas podrán hacer en el mismo.Se puede aplicar tanto a aplicaciones Web como para Smart Devices.En el caso de las aplicaciones Web tengo la opción de no usarlo y seguir con el esquema que ya tuviera implementado. Para el caso de las aplicaciones para Smart Devices la forma de poder tener un login y resolver la autenticación para este tipo de aplicaciones es usando el GAM.Dado que en una misma KB vamos a tener nuestra aplicación web y la aplicación para SD ambas van a usar la misma base de datos del GAM y por lo tanto los mismos usuarios y permisos.Durante el encuentro van a ver otras charlas que explican como usarlo y verán que es algo muy sencillo y lo suficientemente transparente como para que cualquiera que necesite resolver estos temas lo pueda hacer de una manera muy simple.
- Cuando se habilita el GAM pasan las siguientes cosas en la KB:Se importan los objetos externos que definen el API del GAM que quedan en la carpeta GAM_Library y una serie de objetos con ejemplos de cómo usar el API tanto para web como para SmartDevices que quedan en la carpeta GAM_ExamplesSe inicializan las propiedades “Loginobjectfor Web” y “Loginobjectfor SD” que quedan apuntando a los ejemplos de login que se importaron anteriormente para web y SD respectivamenteSe crea un datastore secundario de nombre GAM que hereda la configuración del datastore defaultCuando se hace el primer Run luego de habilitar el GAM se crea la BD del GAM y se inicializa la metadata del GAM. Además se hace el deploy de los binarios del API del GAM.
- Para la autenticación nos resuelve el caso en donde los usuarios son locales , es decir, el registro de usuarios se lleva en la base de datos del GAM y por lo tanto cuando se identifican el control se hace sobre los datos almacenados por el GAMEn el caso de querer hacer que el proceso de login haga el chequeo contra una base de datos que no sea la del GAM o hasta con un directorio de usuarios basados en LDAP o Active Directory entonces se lo puede configurar para que la autenticación se haga a través de un Web Service Externo. En este caso es necesario desarrollar ese Web Service respetando determinada interfaz de parámetros de entrada y salida y es este servicio el qué tendrá la lógica para hacer la autenticación y devolverle al GAM los datos del usuario que se está logueando y código de error que correspodan. En este caso se configura en el GAM donde está dicho servicio.De la misma forma se puede habilitar que el login se haga contra la cuenta del usuario en Facebook y Twitter. Por ejemplo en el caso de Facebook se registra la aplicación que estemos desarrollando y Facebook nos da un par de claves que debemos configurar en el GAM. Para el usuario final cuando entra a la pantalla de login podemos ofrecer el botón con Facebook y/o Twitter y esto lo redireccionará al sitio que corresponda dado que la contraseña nunca se ingresa en nuestro sistema, luego de logueado en alguna de estas redes sociales es redireccionado a nuestra aplicación y ahí si estuvo todo bien con la autenticación se le da acceso al sistema.Todos estos tipos de autenticación se pueden habilitar simultaneamente, es decir, que al usuario en la pantalla de login le podemos ofrecer todas estas opciones para identificarse.
- Una vez que habilitamos el GAM por cada objeto main sean webpanels, procs, servicios, transacciones y BCs el IDE de GeneXus va a generar una serie de permisos de ejecución que va a impactar en la metadata del GAM. Además en el caso de transacciones y BCs se generan permisos por los modos con los cuales podemos invocarlos.El control de acceso en cada uno de estos objetos se genera automáticamente, es decir, no vamos a ver en los eventos GeneXus nada que haga referencia a estos controles pues esto queda en el código generado. Desde el backend del GAM luego tendremos que configurar los permisos, es decir, para cada rol asignar los permisos de ejecución que correspondan. Para facilitar esta tarea desde el GAM se puede definir grupos de permisos y así facilitar la gestión de los mismos.
- Esta funcionalidad ya la podemos usar en la Beta 3 y la idea es redondear el tema de permisos y login con Twitter para la RC.
- En definitiva este tipo de funcionalidad es algo que siempre vamos a necesitar y de la forma que lo estamos resolviendo con GX es algo muy simple de implementar, que nos ahorra tiempo y nos da claridad en lo que hacemos y además nos abre las puertas a que sea mucho más fácil integrarnos con sistemas hechos por terceros y nos da una herramienta que aporta a la integración como comunidad de desarrolladores. Finalmente lo que obtenemos es una solución mucho mas completa y con mayor valor agregado para nuestros clientes finales.