http://wso2.com/library/webinars/2015/06/gestion-de-identidades-y-control-de-acceso-en-los-servicios-usando-wso2-identity-server/
En esta sesión exploraremos las diferentes estrategias para aplicar seguridad (Autenticación, Autorización y SSO) sobre las Aplicaciones de Negocio, Servicios y/o API, conoceremos las funcionalidades de WSO2 IS para resolver todos y cada uno de estos desafíos, conoceremos cómo desde WSO2 ESB y WSO2 API Manager aplicar aspectos de QoS y Poíticas Seguridad.
Se muestra cómo desplegar mecanismos de seguridad (Gestión de Identidades, Autenticación, Autorización, SSO) en toda la Organización.
Se emplea:
WSO2 ESB, BAM, IS, BRS
Bonita BPM, Liferay, Openbravo ERP, Apache DS, Penrose Virtual LDAP
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...Roger CARHUATOCTO
Este documento presenta WSO2 Identity Server y su capacidad para gestionar identidades y control de acceso en servicios. Explica los requisitos de seguridad como autenticación, autorización, confidencialidad, integridad, no repudio, anonimato, disponibilidad y auditoría. También describe cómo WSO2 Identity Server y WSO2 ESB pueden aplicar seguridad a través de la autenticación, autorización, firma digital y administración de identidades. Finalmente, incluye demostraciones de aprovisionamiento de usuarios y autenticación
WSO2 API Manager y ESB la plataforma perfecta para evolucionar los serviciosWSO2
To view recording of this webinar please use the below URL:
http://wso2.com/library/webinars/2015/04/wso2-api-manager-y-esb-la-plataforma-perfecta-para-evolucionar-los-servicios/
En nuestra presentación vamos realizar una breve introducción a estas herramientas y abordar temas relacionados con lo mencionado anteriormente, realizando ejemplos y comentando buenas prácticas. Algunos de los tópicos que mostraremos son:
Exponiendo Servicios Complejos del ESB en un API Rest
Veremos un ejemplo y hablaremos del patrón de fachada API
OAuth 2.0, su implementación en API Manager
Veremos su implementación y hablaremos de seguridad API
Los 5 secretos mejor guardados del API Manager y que deberías conocer
Relacionaremos 5 peculiaridades muy interesantes y poco conocidas
Velocidad y escalamiento / alta disponibilidad
Realizaremos alguna prueba en directo de velocidad y mostraremos diferentes patrones de clusterización
En el webinar aprenderemos como exponer servicios del ESB desde el API Manager, cual es seguridad que subyace en esta exposición, varias formas de sacar mejor partido de la herramienta y sus posibilidades de crecimiento.
Implementación de autenticación federada con WSO2 Identity Server 5.1WSO2
Este seminario revisará diferentes modos de federación de identidades standars soportados WSO2 Identity Server. Con una aproximación pragmática, se configurará la autenticación de una aplicacion Web de muestra, y se llevarán a cabo las configuraciones apropiadas para permitir que los usuarios accedan a las aplicaciones con un único inicio de sesión utilizando las credenciales de los almacenes de usuarios WSO2 o de otra fuentes como cuentas de gmail o Facebook.
Este documento presenta las soluciones de GFI basadas en la plataforma WSO2 para movilidad, inteligencia operacional, integración, gobierno y APIs web. Describe brevemente cada área y los servicios que ofrece GFI, incluyendo el desarrollo, diseño e implementación de arquitecturas y soluciones relacionadas con cada tema. El documento también promociona los servicios de soporte local en España para sistemas WSO2.
http://wso2.com/library/partner-webinar/2015/09/desafiando-las-transformaciones-con-wso2-esb/
En este webinar explicaremos las mejores prácticas a la hora de transformar los mensajes de nuestros servicios con WSO2 ESB. Como cambiar el formato del mensaje (por ejemplo de XML a JSON), como crear mensajes desde cero o como modificar mensajes utilizando las diferentes herramientas que nos ofrece WSO2 ESB.
Payload factory mediator
XSLT 1.0/2.0
XPath
XQuery
Smooks
Javascript
Finalmente realizaremos un estudio para determinar como se comportan, en términos de rendimiento, estas transformaciones en situaciones de alto volumen de mensajes.
El documento presenta Oracle Application Framework (ADF) como un framework de desarrollo para aplicaciones web y móviles. ADF permite crear aplicaciones ricas de internet (RIA), simplifica el desarrollo web y la integración entre sistemas, y admite el desarrollo de aplicaciones multiplataforma que se pueden implementar en dispositivos móviles a través de ADF Mobile.
El documento presenta una hoja de ruta SOA. Explica la arquitectura SOA, los niveles de adopción SOA y los componentes del modelo de referencia SOA. Luego, propone realizar un estudio del nivel SOA actual de la empresa mediante indicadores, definir acciones para mejorar cada área del modelo de referencia a través de una hoja de ruta SOA, y establecer un calendario para implementar las acciones entre 2012 y 2013 con el objetivo de alcanzar el nivel 1 sistemático.
En este seminario web, le mostraremos "en vivo" como en Chakray, logramos implementar una plataforma WSO2 completa en cuestión de minutos. - Uso de API Manager, Enterprise Integrator (ESB & BPS) e Identity Server.
- Todo en cluster, con alta disponibilidad y capacidades de escalabilidad horizontal
- En la nube (AWS)
- Totalmente automatizado, con DevOps (Ansible, Terraform, Docker, etc.)
- Con todas las capacidades de CI/CD incluidas
Watch the webinar on-demand here: https://wso2.com/library/webinars/despliegue-de-productos-wso2-la-metodologia-chakray/
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...Roger CARHUATOCTO
Este documento presenta WSO2 Identity Server y su capacidad para gestionar identidades y control de acceso en servicios. Explica los requisitos de seguridad como autenticación, autorización, confidencialidad, integridad, no repudio, anonimato, disponibilidad y auditoría. También describe cómo WSO2 Identity Server y WSO2 ESB pueden aplicar seguridad a través de la autenticación, autorización, firma digital y administración de identidades. Finalmente, incluye demostraciones de aprovisionamiento de usuarios y autenticación
WSO2 API Manager y ESB la plataforma perfecta para evolucionar los serviciosWSO2
To view recording of this webinar please use the below URL:
http://wso2.com/library/webinars/2015/04/wso2-api-manager-y-esb-la-plataforma-perfecta-para-evolucionar-los-servicios/
En nuestra presentación vamos realizar una breve introducción a estas herramientas y abordar temas relacionados con lo mencionado anteriormente, realizando ejemplos y comentando buenas prácticas. Algunos de los tópicos que mostraremos son:
Exponiendo Servicios Complejos del ESB en un API Rest
Veremos un ejemplo y hablaremos del patrón de fachada API
OAuth 2.0, su implementación en API Manager
Veremos su implementación y hablaremos de seguridad API
Los 5 secretos mejor guardados del API Manager y que deberías conocer
Relacionaremos 5 peculiaridades muy interesantes y poco conocidas
Velocidad y escalamiento / alta disponibilidad
Realizaremos alguna prueba en directo de velocidad y mostraremos diferentes patrones de clusterización
En el webinar aprenderemos como exponer servicios del ESB desde el API Manager, cual es seguridad que subyace en esta exposición, varias formas de sacar mejor partido de la herramienta y sus posibilidades de crecimiento.
Implementación de autenticación federada con WSO2 Identity Server 5.1WSO2
Este seminario revisará diferentes modos de federación de identidades standars soportados WSO2 Identity Server. Con una aproximación pragmática, se configurará la autenticación de una aplicacion Web de muestra, y se llevarán a cabo las configuraciones apropiadas para permitir que los usuarios accedan a las aplicaciones con un único inicio de sesión utilizando las credenciales de los almacenes de usuarios WSO2 o de otra fuentes como cuentas de gmail o Facebook.
Este documento presenta las soluciones de GFI basadas en la plataforma WSO2 para movilidad, inteligencia operacional, integración, gobierno y APIs web. Describe brevemente cada área y los servicios que ofrece GFI, incluyendo el desarrollo, diseño e implementación de arquitecturas y soluciones relacionadas con cada tema. El documento también promociona los servicios de soporte local en España para sistemas WSO2.
http://wso2.com/library/partner-webinar/2015/09/desafiando-las-transformaciones-con-wso2-esb/
En este webinar explicaremos las mejores prácticas a la hora de transformar los mensajes de nuestros servicios con WSO2 ESB. Como cambiar el formato del mensaje (por ejemplo de XML a JSON), como crear mensajes desde cero o como modificar mensajes utilizando las diferentes herramientas que nos ofrece WSO2 ESB.
Payload factory mediator
XSLT 1.0/2.0
XPath
XQuery
Smooks
Javascript
Finalmente realizaremos un estudio para determinar como se comportan, en términos de rendimiento, estas transformaciones en situaciones de alto volumen de mensajes.
El documento presenta Oracle Application Framework (ADF) como un framework de desarrollo para aplicaciones web y móviles. ADF permite crear aplicaciones ricas de internet (RIA), simplifica el desarrollo web y la integración entre sistemas, y admite el desarrollo de aplicaciones multiplataforma que se pueden implementar en dispositivos móviles a través de ADF Mobile.
El documento presenta una hoja de ruta SOA. Explica la arquitectura SOA, los niveles de adopción SOA y los componentes del modelo de referencia SOA. Luego, propone realizar un estudio del nivel SOA actual de la empresa mediante indicadores, definir acciones para mejorar cada área del modelo de referencia a través de una hoja de ruta SOA, y establecer un calendario para implementar las acciones entre 2012 y 2013 con el objetivo de alcanzar el nivel 1 sistemático.
En este seminario web, le mostraremos "en vivo" como en Chakray, logramos implementar una plataforma WSO2 completa en cuestión de minutos. - Uso de API Manager, Enterprise Integrator (ESB & BPS) e Identity Server.
- Todo en cluster, con alta disponibilidad y capacidades de escalabilidad horizontal
- En la nube (AWS)
- Totalmente automatizado, con DevOps (Ansible, Terraform, Docker, etc.)
- Con todas las capacidades de CI/CD incluidas
Watch the webinar on-demand here: https://wso2.com/library/webinars/despliegue-de-productos-wso2-la-metodologia-chakray/
En este webinar, “Soluciones de Seguridad de Oracle desde la óptica de la Ingeniería de Software”, podrá descubrir las tecnologías Oracle que le permitirán securizar y controlar el acceso a los datos de las aplicaciones que desarrolle, utilizando enmascaramiento de datos, accesos restringidos, auditoría, protección de web services, etc.
El documento presenta los conceptos clave de la arquitectura de microservicios. Explica las diferencias entre una arquitectura monolítica y una basada en microservicios. Además, describe las principales áreas de una arquitectura de microservicios como configuración, seguridad, logs, gestión de errores e inversión del control, e identifica alternativas para implementar cada una.
Este documento trata sobre la monetización de API's. Explica que la monetización de API's es el proceso mediante el cual las empresas generan ingresos a partir de sus interfaces de programación de aplicaciones. Detalla diferentes modelos de monetización como tarifas por uso, suscripciones y publicidad. También cubre elementos clave para una monetización exitosa como mejorar la calidad y documentación de las API's, y proveer herramientas que faciliten la integración.
Este documento presenta varias soluciones de seguridad de Oracle desde la perspectiva del gobierno de la seguridad. Describe soluciones como Oracle Database Vault para controlar el acceso a datos, Enterprise User Security para autenticación centralizada, Oracle Audit Vault and Database Firewall para monitorear actividad y prevenir accesos no autorizados, Oracle Identity Manager para gestión centralizada de identidades, y Oracle Mobile Security Suite para gestión de dispositivos móviles.
Oracle Service Bus transforma arquitecturas complejas y débiles, en redes de integración ágiles y robustas, mediante la conexión, la mediación, y la gestión de las interacciones entre servicios y aplicaciones. Oracle Service Bus ofrece un bajo coste de integración basada en estándares, rendimiento extremo y escalabilidad.
¿Qué tienen en común compañías como Amazon, eBay, Facebook, Google y Netflix, desde el punto de vista de su arquitectura de software?
Microservicios, un nuevo estilo de arquitectura de software.
Este documento describe varias técnicas de Oracle para proteger la información sensible almacenada en bases de datos, incluyendo Oracle Database Vault para controlar el acceso, Oracle Data Masking para enmascarar datos sensibles en entornos no productivos, y técnicas de cifrado y auditoría.
Alternativas de Autentificación por dos Factores en Portales WebAndres Gallo
Herramientas necesarias para aumentar la seguridad del acceso a sitios Web, Aplicaciones, Home Banking, WebService, Terminal Server, etc.
Las productos más usados del mercado y una alternativa interesante. HARDkey MIO, solución escalable para remplazar el Usuario y Password en pocas horas hasta incorporar un esquema PKI para Firmar documentos.
Cubika es una compañía líder en Argentina en el desarrollo de soluciones de software para el sector corporativo basadas en nuevas tecnologías. Ofrece servicios como desarrollo de software, mantenimiento de aplicaciones, consultoría tecnológica y soluciones para el sector financiero. Cuenta con más de 170 profesionales altamente capacitados y ha trabajado en proyectos internacionales para empresas importantes en varios países.
Oracle Application Express (APEX) es una plataforma de desarrollo low-code que permite construir aplicaciones empresariales escalables y seguras con características de primera clase, ejecutándose en una BBDD Oracle (cloud o on-premise), a través de Oracle REST Data Services (ORDS) y desarrolladas de forma declarativa, aprovechando la potencia del PL/SQL, JavaScript, CSS3 y HTML5.
Entre los múltiples beneficios de APEX, destacan: baja curva de aprendizaje, rica funcionalidad, alta productividad, concentrado en los requerimientos del negocio, nuevas versiones de aplicaciones rápidas y con menor coste, etc.
En este webinar, impartido por Sergio Fernández, Consultor APEX en avanttic, mostraremos las capacidades más interesantes de Oracle Application Express y las diferentes opciones que nos ofrece para crear aplicaciones, así como las consideraciones a tener en cuenta a la hora de abordar este tipo de proyectos.
Los servicios web están comenzando a tener gran acogida como parte de implementaciones tipo BPM, aunque aún no se entienden del todo ya que no son tan "visibles" como las aplicaciones web tradicionales. Aprovechemos eso para atacarlo!
Conoce los retos y beneficios de adoptar una arquitectura SOA y cómo el framework de Itehl SOA Enterprise Immersion simplifica el camino para que las organizaciones incrementen la agilidad organizacional y reduzcan costos operaciones de TI.
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...beckett1
Este documento describe un estudio que evalúa herramientas para generar ataques de inyección SQL ciega contra aplicaciones web y analiza su impacto en el rendimiento de los servidores. Se diseñó un entorno de red virtual para realizar pruebas de forma segura, con máquinas virtuales que alojan un servidor web, base de datos y herramientas de ataque. Las pruebas no lograron vulnerar la base de datos al optimizar la lógica de programación, y midieron la carga en CPU, memoria y red para determinar el impacto de
El documento presenta las soluciones de seguridad de Oracle, incluyendo herramientas para la protección de datos, gestión de identidades, control de accesos, auditoría y gestión de cuentas privilegiadas. Se describen productos como Data Redaction, Transparent Data Encryption, Secure Backup, Access Management, Key Vault y Privileged Account Manager para ayudar a las organizaciones a cumplir con regulaciones en materia de seguridad y privacidad.
Este documento presenta una introducción a los microservicios. Define un microservicio como una arquitectura de aplicación modular donde cada servicio tiene un ámbito específico de diseño, implementación y gestión. Explica cinco patrones clave para microservicios como la conversión de XML a JSON, la orquestación transaccional de servicios, la ubicación de la orquestación, la publicación de APIs y la gestión de APIs. El objetivo es conocer los conceptos y mejores prácticas de los microservicios.
This document provides an overview of WSO2 Identity Server 5.0.0. It introduces Johann Dilantha Nallathamby, the presenter, and gives background on WSO2. Key features of earlier Identity Server versions included authentication, authorization, federation, provisioning, and identity management. New features in 5.0.0 include an identity federation bus, home realm discovery, multi-option authentication, and provisioning connectors for user stores, SCIM, and other standards. The presentation concludes with a demo of SAML, OpenID Connect, and social login features.
The SlideShare 101 is a quick start guide if you want to walk through the main features that the platform offers. This will keep getting updated as new features are launched.
The SlideShare 101 replaces the earlier "SlideShare Quick Tour".
Seguridad en las apis desde un punto de vista de developerCloudAppi
Seguridad en las APIs. Se explican cuales son las consideraciones a tener en cuenta en la seguridad de nuestras APIs, cuales son los principales sistemas de autenticación y autorización y se hace una introducción a los API Managers, con un ejemplo de APIgee y de WSO2.
Aplicaciones Web SPA con WebAPI y TypeScriptLuis Guerrero
El documento habla sobre las aplicaciones web de una sola página (SPA) y las tecnologías asociadas como TypeScript, WebAPI y frameworks front-end. Explica que las SPA permiten crear una aplicación web completa en un solo archivo HTML que carga y descarga secciones dinámicamente mediante servicios web RESTful, a diferencia del modelo tradicional de cliente-servidor con intercambio de HTML. También cubre herramientas como Browser Link y TypeScript para facilitar el desarrollo front-end de SPA.
En este webinar, “Soluciones de Seguridad de Oracle desde la óptica de la Ingeniería de Software”, podrá descubrir las tecnologías Oracle que le permitirán securizar y controlar el acceso a los datos de las aplicaciones que desarrolle, utilizando enmascaramiento de datos, accesos restringidos, auditoría, protección de web services, etc.
El documento presenta los conceptos clave de la arquitectura de microservicios. Explica las diferencias entre una arquitectura monolítica y una basada en microservicios. Además, describe las principales áreas de una arquitectura de microservicios como configuración, seguridad, logs, gestión de errores e inversión del control, e identifica alternativas para implementar cada una.
Este documento trata sobre la monetización de API's. Explica que la monetización de API's es el proceso mediante el cual las empresas generan ingresos a partir de sus interfaces de programación de aplicaciones. Detalla diferentes modelos de monetización como tarifas por uso, suscripciones y publicidad. También cubre elementos clave para una monetización exitosa como mejorar la calidad y documentación de las API's, y proveer herramientas que faciliten la integración.
Este documento presenta varias soluciones de seguridad de Oracle desde la perspectiva del gobierno de la seguridad. Describe soluciones como Oracle Database Vault para controlar el acceso a datos, Enterprise User Security para autenticación centralizada, Oracle Audit Vault and Database Firewall para monitorear actividad y prevenir accesos no autorizados, Oracle Identity Manager para gestión centralizada de identidades, y Oracle Mobile Security Suite para gestión de dispositivos móviles.
Oracle Service Bus transforma arquitecturas complejas y débiles, en redes de integración ágiles y robustas, mediante la conexión, la mediación, y la gestión de las interacciones entre servicios y aplicaciones. Oracle Service Bus ofrece un bajo coste de integración basada en estándares, rendimiento extremo y escalabilidad.
¿Qué tienen en común compañías como Amazon, eBay, Facebook, Google y Netflix, desde el punto de vista de su arquitectura de software?
Microservicios, un nuevo estilo de arquitectura de software.
Este documento describe varias técnicas de Oracle para proteger la información sensible almacenada en bases de datos, incluyendo Oracle Database Vault para controlar el acceso, Oracle Data Masking para enmascarar datos sensibles en entornos no productivos, y técnicas de cifrado y auditoría.
Alternativas de Autentificación por dos Factores en Portales WebAndres Gallo
Herramientas necesarias para aumentar la seguridad del acceso a sitios Web, Aplicaciones, Home Banking, WebService, Terminal Server, etc.
Las productos más usados del mercado y una alternativa interesante. HARDkey MIO, solución escalable para remplazar el Usuario y Password en pocas horas hasta incorporar un esquema PKI para Firmar documentos.
Cubika es una compañía líder en Argentina en el desarrollo de soluciones de software para el sector corporativo basadas en nuevas tecnologías. Ofrece servicios como desarrollo de software, mantenimiento de aplicaciones, consultoría tecnológica y soluciones para el sector financiero. Cuenta con más de 170 profesionales altamente capacitados y ha trabajado en proyectos internacionales para empresas importantes en varios países.
Oracle Application Express (APEX) es una plataforma de desarrollo low-code que permite construir aplicaciones empresariales escalables y seguras con características de primera clase, ejecutándose en una BBDD Oracle (cloud o on-premise), a través de Oracle REST Data Services (ORDS) y desarrolladas de forma declarativa, aprovechando la potencia del PL/SQL, JavaScript, CSS3 y HTML5.
Entre los múltiples beneficios de APEX, destacan: baja curva de aprendizaje, rica funcionalidad, alta productividad, concentrado en los requerimientos del negocio, nuevas versiones de aplicaciones rápidas y con menor coste, etc.
En este webinar, impartido por Sergio Fernández, Consultor APEX en avanttic, mostraremos las capacidades más interesantes de Oracle Application Express y las diferentes opciones que nos ofrece para crear aplicaciones, así como las consideraciones a tener en cuenta a la hora de abordar este tipo de proyectos.
Los servicios web están comenzando a tener gran acogida como parte de implementaciones tipo BPM, aunque aún no se entienden del todo ya que no son tan "visibles" como las aplicaciones web tradicionales. Aprovechemos eso para atacarlo!
Conoce los retos y beneficios de adoptar una arquitectura SOA y cómo el framework de Itehl SOA Enterprise Immersion simplifica el camino para que las organizaciones incrementen la agilidad organizacional y reduzcan costos operaciones de TI.
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...beckett1
Este documento describe un estudio que evalúa herramientas para generar ataques de inyección SQL ciega contra aplicaciones web y analiza su impacto en el rendimiento de los servidores. Se diseñó un entorno de red virtual para realizar pruebas de forma segura, con máquinas virtuales que alojan un servidor web, base de datos y herramientas de ataque. Las pruebas no lograron vulnerar la base de datos al optimizar la lógica de programación, y midieron la carga en CPU, memoria y red para determinar el impacto de
El documento presenta las soluciones de seguridad de Oracle, incluyendo herramientas para la protección de datos, gestión de identidades, control de accesos, auditoría y gestión de cuentas privilegiadas. Se describen productos como Data Redaction, Transparent Data Encryption, Secure Backup, Access Management, Key Vault y Privileged Account Manager para ayudar a las organizaciones a cumplir con regulaciones en materia de seguridad y privacidad.
Este documento presenta una introducción a los microservicios. Define un microservicio como una arquitectura de aplicación modular donde cada servicio tiene un ámbito específico de diseño, implementación y gestión. Explica cinco patrones clave para microservicios como la conversión de XML a JSON, la orquestación transaccional de servicios, la ubicación de la orquestación, la publicación de APIs y la gestión de APIs. El objetivo es conocer los conceptos y mejores prácticas de los microservicios.
This document provides an overview of WSO2 Identity Server 5.0.0. It introduces Johann Dilantha Nallathamby, the presenter, and gives background on WSO2. Key features of earlier Identity Server versions included authentication, authorization, federation, provisioning, and identity management. New features in 5.0.0 include an identity federation bus, home realm discovery, multi-option authentication, and provisioning connectors for user stores, SCIM, and other standards. The presentation concludes with a demo of SAML, OpenID Connect, and social login features.
The SlideShare 101 is a quick start guide if you want to walk through the main features that the platform offers. This will keep getting updated as new features are launched.
The SlideShare 101 replaces the earlier "SlideShare Quick Tour".
Seguridad en las apis desde un punto de vista de developerCloudAppi
Seguridad en las APIs. Se explican cuales son las consideraciones a tener en cuenta en la seguridad de nuestras APIs, cuales son los principales sistemas de autenticación y autorización y se hace una introducción a los API Managers, con un ejemplo de APIgee y de WSO2.
Aplicaciones Web SPA con WebAPI y TypeScriptLuis Guerrero
El documento habla sobre las aplicaciones web de una sola página (SPA) y las tecnologías asociadas como TypeScript, WebAPI y frameworks front-end. Explica que las SPA permiten crear una aplicación web completa en un solo archivo HTML que carga y descarga secciones dinámicamente mediante servicios web RESTful, a diferencia del modelo tradicional de cliente-servidor con intercambio de HTML. También cubre herramientas como Browser Link y TypeScript para facilitar el desarrollo front-end de SPA.
Sharing Best Practices and Recommendations from the Integration BattlefieldWSO2
APIs are the tip of the iceberg of enterprise integration.
In this workshop Isabelle Mauny vp, product management at WSO2 discussed how WSO2’s customers engaged in successful enterprise deployments. She shared best practices and recommendations from the "integration battlefield" around security, monitoring and performance.
Isabelle hosted this workshop at API Days Paris.
Introducing the WSO2 Governance Registry 4 1.5 WSO2
WSO2 provides an open source cloud platform and governance registry product. The governance registry allows users to store and manage resources through a repository and governance framework. Version 4.5 includes new features like configurable governance artifacts, hot deployment of artifacts, approval processes for lifecycle operations, and auditing of lifecycle changes. It was demonstrated how users can manage artifacts and their lifecycles through a new management UI.
Consumo de APIs usando el WSO2 API ManagerIsildurMaC
En esta presentación se muestra como desarrollar un ejemplo de consumo de APIs usando el WSO2 API Manager a partir de un conjunto de servicios desplegados en una aplicación JAX-RS y expuestos como APIs en el APIM para ser consumidos desde una webapp en JAVA
This document discusses SOA governance strategies using the WSO2 platform. It describes how WSO2 products like Governance Registry, App Factory, API Manager, and Enterprise Server support both design-time and runtime governance through features like lifecycle management, metadata federation, service discovery, and policy enforcement. Governance Registry in particular provides a flexible platform to customize governance solutions and integrate across the WSO2 stack using its extensible architecture and connectors.
Este documento describe cómo crear un servicio proxy que enmascara la complejidad de un web service subyacente transformando las solicitudes y respuestas entre diferentes formatos usando XSLT. El servicio proxy permite solicitar información de un país ocultando la complejidad del servicio de datos real y cambiando su modelo de datos. El documento explica cómo definir un contrato WSDL personalizado y usar XSLT para transformar las solicitudes y respuestas entre el formato del contrato y el servicio de datos subyacente.
WSO2 DSS - Calling stored procedures with cursorsEmmerson Miranda
How we'll see in this slides, calling a stored procedure and returning data from a database cursor is quite simple using WSO2 Developer Studio.
Before read this, you need read "WSO2 DSS Create DataService", because this slides are based on elements created on these slides.
Este documento describe cómo crear una nueva cuota de uso ("Throttling tier") de 150 transacciones por minuto en WSO2 API Manager, crear y publicar un API SOAP que utiliza este nuevo límite, y probar el consumo del API.
Este documento describe cómo las soluciones de movilidad pueden integrar Android y PaaS. Explica los conceptos de IaaS, PaaS y SaaS, y proporciona detalles sobre la plataforma PaaS de Neodoo y la aplicación Farmadroid como ejemplo de cómo conectar una aplicación Android a través de servicios web RESTful a una plataforma en la nube como Google App Engine.
El documento introduce conceptos relacionados con BPEL y OpenESB, incluyendo JBI, ESB, composite applications, y los componentes de OpenESB. Explica las ventajas de usar un ESB y describe elementos clave de BPEL como partner links, variables, y actividades como invoke y assign.
Introducción al framework Angular 2 para el desarrollo de aplicaciones Web. Revisión a sus conceptos principales y su alineación con el estándar Web Components.
Charla impartida el 26 de enero de 2017 para SevillaJS.
Charla impartida por Marco Antonio Sanz Molina Prados, Fundador de CloudAppi, que repasa las tecnologías más habituales del mundo Big Data y su aplicación en el desarrollo de las Apis.
En la ponencia se tratan os siguientes puntos:
• Arquitectura Lambda
• Arquitectura de APIs
• Bases de datos noSQL
• Datawarehouses Big Data
• Ejemplos de arquitecturas
Este documento presenta una introducción a la arquitectura orientada a servicios (SOA). Explica los conceptos básicos de SOA desde las perspectivas tecnológica y empresarial, e identifica los elementos clave como servicios, contratos, endpoints y mensajes. También describe cómo SOA puede ayudar a alinear las estrategias de TI con las necesidades del negocio al exponer funcionalidades como servicios reutilizables.
Secure Soft Corporation es una compañía peruana de ciberseguridad con 12 años de experiencia y certificaciones ISO. Ofrece soluciones de seguridad de red, datos, aplicaciones web y correo electrónico implementando tecnologías de Cisco, Checkpoint, F5 Networks y otras marcas líderes. Su objetivo es brindar protección a los activos de información de sus clientes.
Este documento describe las características y beneficios de los certificados SSL. Proporcionan autenticidad, integridad, confidencialidad y disponibilidad para las comunicaciones en línea de forma segura. Se recomienda su uso para transacciones, correo electrónico, sitios web y más. Los certificados Extended Validation muestran una barra verde y compañía propietaria para mayor confianza. También incluyen escaneos de vulnerabilidades y malware, garantías de hasta $1.75 millones y cifrado más potente de 256 bits.
El documento proporciona información sobre Secure Soft Ecuador S.A., incluyendo su nombre comercial, razón social, direcciones, RUC, teléfonos, correo electrónico, sitio web, fecha de inicio de actividades y gerente general. También describe los servicios y soluciones de seguridad informática que ofrece la compañía, como consultoría, implementación de plataformas de seguridad y servicios posventa. Además, incluye la lista del personal a cargo de las operaciones de la compañía en Ecuador y Perú.
Este documento describe varias medidas para mejorar la ciberseguridad de las pequeñas y medianas empresas. Explica la importancia de proteger la web y tienda online de una empresa, ya que de ello depende su supervivencia en el entorno digital. Además, recomienda contratar desarrolladores y proveedores de alojamiento web comprometidos con la seguridad, cumplir con la legislación de protección de datos, utilizar comunicaciones y métodos de pago seguros, y adoptar medidas para asegurar el servidor y sistema de gestión de contenidos.
Este documento describe los pasos que las pequeñas y medianas empresas deben seguir para proteger su sitio web y tienda en línea. Primero, explica por qué es importante la ciberseguridad y los diferentes vectores de ataque que existen. Luego, detalla cómo seleccionar proveedores seguros para el desarrollo y alojamiento web, y los requisitos de seguridad que se deben exigir. Finalmente, cubre temas como cumplir con la legislación de privacidad, usar comunicaciones y métodos de pago seguros, y gestionar la
El documento resume las tendencias actuales en seguridad de la información y la identidad, e introduce los servicios de Information Security Services S.A. para proteger datos a través de encriptación, autenticación y prevención de pérdida de datos. Luego describe promociones vigentes para soluciones de autenticación de usuarios, encriptación y prevención de pérdida de datos.
Voip2day video conferencia grado militar usando software libreFernando Villares
En esta conferencia demostramos como podemos hacer un sistema viable de videoconferencia de seguridad de grado militar usando solo software y hardware libres con infraestructura de autenticacion y autorizacion PKI
Que esperar de un informe de Ethical Hacking, esta charla habla sobre que es lo que sucede con muchos trabajos de ethical hacking y como puede pasar que no se atienden a las expectativas de quien recibe el informe.
Seguridad de información para criptoactivosEudy Zerpa
El documento habla sobre la seguridad de la información para una startup fintech. Recomienda implementar verificación de dos pasos en todas las cuentas, almacenar el 98% de los fondos del cliente sin conexión a Internet usando cifrado AES-256, y realizar comprobaciones de antecedentes de clientes y empleados. También sugiere aplicar las mejores prácticas de programación para asegurar la integridad y disponibilidad de los criptoactivos.
El documento presenta una guía de estudio para la certificación CEH v7.1, la cual se enfoca en el hacking ético y ayuda a mejorar los conocimientos de seguridad. La guía introduce conceptos como malware, ingeniería social, ataques DoS, criptografía y redes WiFi, entre otros. También incluye 20 exámenes de práctica y recursos adicionales para prepararse para la certificación.
Descripción de servicios en Cloud Computing y principales factores referidos a la seguridad a tener en cuenta cuando se considera la migración de servicios hacia la nube
Este documento presenta una introducción al concepto de computación en la nube y discute sus modelos de servicio, seguridad, desafíos y conclusiones. Explica que la computación en la nube ofrece servicios escalables sobre demanda a través de infraestructura compartida y entrega inmediata, con precios basados en el consumo. Los principales modelos de servicio son IaaS, PaaS y SaaS. La seguridad en la nube presenta nuevos desafíos como la falta de visibilidad sobre los activos, y se requieren nuevos
- Tecnología de seguridad TIC aplicables al CE.
- Políticas de seguridad
- Tecnología de seguridad utilizada en el CE.
- Protocolos de seguridad aplicables al CE.
- Criptografía aplicable al CE.
- Certificados digitales y firma digital
- Aspectos jurídicos aplicables al CE.
- Un ejemplo aplicado en el Ecuador
- Conclusiones y recomendaciones. Aquí se requiere que el estudiante presente sus propias conclusiones y realice sus propias recomendaciones.
Ciberseguridad: Modelo Zero Trust, Definición e ImplementaciónCristian Garcia G.
El documento describe la evolución del modelo de seguridad Zero Trust y su implementación. El modelo Zero Trust fue concebido en 2010 y se basa en la verificación de todo intento de conexión antes de brindar acceso, sin confiar automáticamente en nada interno o externo. El documento explica las razones para implementar Zero Trust, sus componentes tecnológicos como la microsegmentación y autenticación multifactor, y cómo iniciar su despliegue de forma gradual reemplazando sistemas heredados.
Ahora gracias a Windows Defender tus sistemas estarán funcionando sin interrupción de ningún ciberataque. CADE Te Acompañamos a que esto pase en tu empresa.
Este documento presenta a Secure Soft, una compañía de ciberseguridad con más de 13 años de experiencia y presencia en Perú, Ecuador y Bolivia. Secure Soft ofrece soluciones de seguridad de la información como monitoreo de seguridad las 24 horas, análisis de vulnerabilidades, pruebas de penetración, y cuenta con ingenieros certificados y centros de operaciones de seguridad con certificaciones ISO. Entre sus clientes se encuentran bancos, operadoras de telecomunicaciones y otras grandes empresas en Perú y Ecuador.
Seguridad y Entornos Críticos en Cloud - Cloud Leadership 2013Arsys
Presentación de Juanjo García Cabrera, Director Comercial de Arsys Cloud Solutions, en la jornada Cloud Leadership 2013, organizada por IDC España y celebrada en Madrid y Barcelona.
Más información en http://www.arsys.es y http://ow.ly/krP2s
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
Este documento describe los servicios de ingeniería y tecnología de alto valor que ofrece Harriague+ Asociados, incluyendo el desarrollo web usando Microsoft .NET y SharePoint, capacitación en tecnología, certificaciones arquitectónicas, y procesos acreditados en gestión de proyectos. La compañía también provee servicios de subcontratación, tercerización, búsqueda y selección de personal de TI.
Similar a Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Identity Server (20)
Accelerate Enterprise Software Engineering with PlatformlessWSO2
Key takeaways:
Challenges of building platforms and the benefits of platformless.
Key principles of platformless, including API-first, cloud-native middleware, platform engineering, and developer experience.
How Choreo enables the platformless experience.
How key concepts like application architecture, domain-driven design, zero trust, and cell-based architecture are inherently a part of Choreo.
Demo of an end-to-end app built and deployed on Choreo.
Less Is More: Utilizing Ballerina to Architect a Cloud Data PlatformWSO2
At its core, the challenge of managing Human Resources data is an integration challenge: estimates range from 2-3 HR systems in use at a typical SMB, up to a few dozen systems implemented amongst enterprise HR departments, and these systems seldom integrate seamlessly between themselves. Providing a multi-tenant, cloud-native solution to integrate these hundreds of HR-related systems, normalize their disparate data models and then render that consolidated information for stakeholder decision making has been a substantial undertaking, but one significantly eased by leveraging Ballerina. In this session, we’ll cover:
The overall software architecture for VHR’s Cloud Data Platform
Critical decision points leading to adoption of Ballerina for the CDP
Ballerina’s role in multiple evolutionary steps to the current architecture
Roadmap for the CDP architecture and plans for Ballerina
WSO2’s partnership in bringing continual success for the CD
The integration landscape is changing rapidly with the introduction of technologies like GraphQL, gRPC, stream processing, iPaaS, and platformless. However, not all existing applications and industries can keep up with these new technologies. Certain industries, like manufacturing, logistics, and finance, still rely on well-established EDI-based message formats. Some applications use XML or CSV with file-based communications, while others have strict on premises deployment requirements. This talk focuses on how Ballerina's built-in integration capabilities can bridge the gap between "old" and "new" technologies, modernizing enterprise applications without disrupting business operations.
Platformless Horizons for Digital AdaptabilityWSO2
In this keynote, Asanka Abeysinghe, CTO,WSO2 will explore the shift towards platformless technology ecosystems and their importance in driving digital adaptability and innovation. We will discuss strategies for leveraging decentralized architectures and integrating diverse technologies, with a focus on building resilient, flexible, and future-ready IT infrastructures. We will also highlight WSO2's roadmap, emphasizing our commitment to supporting this transformative journey with our evolving product suite.
Quantum computers are rapidly evolving and are promising significant advantages in domains like machine learning or optimization, to name but a few areas. In this keynote we sketch the underpinnings of quantum computing, show some of the inherent advantages, highlight some application areas, and show how quantum applications are built.
SOPRA STERIA presenta una aplicació destinada a persones amb discapacitat intel·lectual que busca millorar la seva integració laboral i digital. Permet crear currículums de manera senzilla i intuitiva, facilitant així la seva participació en el mercat laboral i la seva independència econòmica. Aquesta iniciativa no només aborda la bretxa digital, sinó que també contribueix a reduir la desigualtat proporcionant eines accessibles i inclusives. A més, "inCV" està alineat amb els Objectius de Desenvolupament Sostenible de l'Agenda 2030, especialment els relacionats amb el treball decent i la reducció de desigualtats.
para programadores y desarrolladores de inteligencia artificial y machine learning, como se automatiza una cadena de valor o cadena de valor gracias a la teoría por Manuel Diaz @manuelmakemoney
HPE presenta una competició destinada a estudiants, que busca fomentar habilitats tecnològiques i promoure la innovació en un entorn STEAM (Ciència, Tecnologia, Enginyeria, Arts i Matemàtiques). A través de diverses fases, els equips han de resoldre reptes mensuals basats en àrees com algorísmica, desenvolupament de programari, infraestructures tecnològiques, intel·ligència artificial i altres tecnologies. Els millors equips tenen l'oportunitat de desenvolupar un projecte més gran en una fase presencial final, on han de crear una solució concreta per a un conflicte real relacionat amb la sostenibilitat. Aquesta competició promou la inclusió, la sostenibilitat i l'accessibilitat tecnològica, alineant-se amb els Objectius de Desenvolupament Sostenible de l'ONU.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)codesiret
Los protocolos son conjuntos de
normas para formatos de mensaje y
procedimientos que permiten a las
máquinas y los programas de aplicación
intercambiar información.
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Identity Server
1. Last Updated: June 2015
Ges$ón
de
Iden$dades
y
Control
de
Acceso
en
los
Servicios
usando
WSO2
Iden$ty
Server
2. Agenda
2
• Presentación
de
WSO2
y
Chakray
Consul$ng
• Requerimientos
de
Seguridad
en
los
Servicios
• Seguridad
Holís$ca
no
diferencia
entre
los
Servicios,
Aplicaciones
e
Información.
• Casos
de
uso
o
ejemplos
de
Seguridad
• WSO2
Iden$ty
Server
y
WSO2
ESB
• Aplicando
Seguridad:
Estrategias
• Demostración
• Ges$ón
de
Iden$dades.
• Auten$cación
y
Autorización.
• Firma
Digital.
• Preguntas
y
respuestas.
7. Publica,on
Category
WSO2
Year
Gartner
Magic
Quadrant
for
Enterprise
Applica6on
Pla8orm
as
a
Service
Visionary
2014
Gartner
Magic
Quadrant
for
Applica6on
Services
Governance
Visionary
2013
Gartner
Magic
Quadrant
for
On-‐Premises
Applica6on
Integra6on
Suites
Visionary
2013
Gartner
Magic
Quadrant
for
On-‐Premises
Applica6on
Pla8orms
Visionary
2013
The
Forrester
Wave
API
Management
Pla8orms,
Q1
Leader
2013
Gartner
Magic
Quadrant
for
Systema6c
SOA
Applica6on
Projects
Visionary
2012
Gartner
Magic
Quadrant
for
Systema6c
Applica6on
Integra6on
Projects
Visionary
2012
Gartner
Magic
Quadrant
for
SOA
Infrastructure
Projects
Visionary
2012
The
Forrester
Wave
Integrated
SOA
Governance,
Q1
Strong
Performer
2012
The
Forrester
Wave
SOA
Service
Life-‐Cycle
Management,
Q1
Strong
Performer
2012
The
Forrester
Wave
Standalone
SOA
Management
Solu6ons,
Q4
Strong
Performer
2011
Gartner
Magic
Quadrant
for
SOA
Governance
Technologies
Visionary
2011
The
Forrester
Wave
Enterprise
Service
Bus,
Q2
Leader
2011
Presencia
en
estudios
de
Mercado
7
10.
• "Enfoque
brillante,
amor
a
la
modularidad,
lo
que
permite
una
gran
flexibilidad.
Estamos
muy
contentos
de
estar
trabajando
con
WSO2
"
-‐
Jim
Crabbe,
Senior
Product
Manager,
Boeing
• "La
extrema
capacidad
de
soporte,
es
lo
que
nos
cauGvó
con
WSO2"
-‐
Prakash
Iyer,
Vicepresidente
del
SoNware
Arquitectura
y
Estrategia,
CIO,
Trimble.
• “Con
el
uso
de
WSO2
ESB,
habíamos
sido
capaces
de
proporcionar
a
los
clientes
y
nuestors
socios
la
calidad
y
experiencia
que
esperan
de
eBay"
-‐
Abhinav
Kumar,
Gerente
senior
de
Ingeniería
de
Sistemas
en
eBay.
¿Y
los
clientes,
qué
dicen?
10
11. 11
Roger
CARHUATOCTO
Principal Architect
SOA, BigData and Security.
www.linkedin.com/in/rcarhuatocto
@Chilcano
holisticsecurity.wordpress.com
roger [at] chakray.com
Puedes ponerte en contacto conmigo vía:
12. • Grupo
de
Consultores
sénior
muy
especializados
en
WSO2.
• Preferred
Partner
con
presencia
en
Europa
y
Sudamérica.
• Especializado
en
proveer
servicios
de
Consultoría
a
Integradoras.
• Suministra
formación
oficial
on-‐line
y
presencial.
12
13. 1.
Requerimientos
de
Seguridad
en
los
Servicios
13
• Seguridad
Holís$ca
(end-‐to-‐end):
1.-
2.-
3.-
4.-
5.-
6.-
7.-
8.-
9.-
Autenticación e Identificación
Autorización
Confidencialidad
Integridad
No Repudio
Anonimato
Disponibilidad y Fiabilidad
Auditoría
Gestión de Identidades
¿Quién eres tu?
¿Qué puedes hacer tu?
Transmisión secreta o privada del
mensaje
Nadie haya alterado el mensaje
Nadie pueda rechazar/cuestionar la
transacción ni el/los mensajes
No trazabilidad de ciertas
transacciones o mensajes
Servicio siempre operativo o con
garantía de que funcione
Trazabilidad y recolección de
evidencia
Gestión del ciclo de vida de las
credenciales y atributos… y
14. 1.
Requerimientos
de
Seguridad
en
los
Servicios
14
• Seguridad
en
los
Servicios:
1.-
2.-
3.-
4.-
5.-
6.-
7.-
8.-
9.-
Autenticación e Identificación
Autorización
Confidencialidad
Integridad
No Repudio
Anonimato
Disponibilidad y Fiabilidad
Auditoría
Gestión de Identidades
¿Quién eres tu?
¿Qué puedes hacer tu?
Transmisión secreta o privada del
mensaje
Nadie haya alterado el mensaje
Nadie pueda rechazar/cuestionar la
transacción ni el/los mensajes
No trazabilidad de ciertas
transacciones o mensajes
Servicio siempre operativo o con
garantía de que funcione
Trazabilidad y recolección de
evidencia
Gestión del ciclo de vida de las
credenciales y atributos… y
(*)
(*)
(*)
A
nivel
de
transporte
Principal
preocupación
en
los
Servicios.
No
es
la
principal
preocupación.
15. 2.
Casos
de
uso
o
ejemplos
de
Seguridad
(1/4)
15
• Auten$cación
e
Iden$ficación
(¿Quién
eres
tu?)
• Donde
haya
una
validación
de
cualquier
$po
de
credenciales
hay
una
“auten$cación”.
• Autorización
(¿Qué
puedes
hacer
tu?)
• Después
de
una
“auten$cación”
sa$sfactoria
se
procede
a
asignar
unos
“atributos”
(rol,
permisos,
etc).
• Confidencialidad
(Transmisión
secreta
o
privada
del
mensaje)
• Mensaje
de
correo
electrónico
cifrado
(cer$ficados
X.509,
PGP,
clave
simétrica).
• Integridad
(Nadie
haya
alterado
el
mensaje)
• Mensaje
de
correo
electrónico
con
“precintos
digitales”
como
firma
digital,
hashing,
$me-‐stamping,
etc.
16. 2.
Casos
de
uso
o
ejemplos
de
Seguridad
(2/4)
16
• No
repudio
(Nadie
pueda
rechazar/cues$onar
la
transacción
ni
el
mensaje)
• Es
la
suma
de
todos
los
elementos
de
seguridad
aplicados
que
“minimiza”
el
riesgo
que
la
transacción
o
el
mensaje
sea
rechazado
o
sea
cues$onado.
• Burofax
• Notaría
• Trámites
Administra$vos
realizados
con
el
DNI,
e-‐DNI,
Pasaporte
o
e-‐Pasaporte.
• Anonimato
(No
trazabilidad
de
ciertas
transacciones
o
mensajes)
• Muy
relacionado
con
la
Confidencialidad/Privacidad.
La
RAE
ha
introducido
el
termino
“In$midad”.
• El
“uso”
del
teléfono
móvil
debe
ser
anónimo,
de
igual
forma
que
las
Compras
por
Internet,
e-‐Gambling,
Voto,
e-‐
Voto,
etc.
17. 2.
Casos
de
uso
o
ejemplos
de
Seguridad
(3/4)
17
• Disponibilidad
y
Fiabilidad
(Servicio
siempre
opera$vo
o
con
garansa
de
que
funcione)
• Cómo
evitamos
los
ataques
de
Ataques
Distribuidos
de
Denegación
de
Servicio
(“DDoS”
-‐Denial
Distributed
of
Service-‐)
en
nuestras
cada
vez
más
expuestas
APIs
(servicios)
?.
• Throtling
• Firewall
de
Aplicaciones
• Media$on
• Auditoría
(Trazabilidad
y
recolección
de
evidencia)
• De
aquellas
operaciones
o
transacciones
iden$ficadas
como
crí$cas
deben
ser
auditables,
para
ello
se
recolecta
evidencia
o
información
producida
en
los
eventos.
• Muchos
de
los
servicios
expuestos
como
APIs
son
mone$zables
y
por
ello
son
traceables.
Es
decir,
se
sabe
quién,
qué,
cuándo
y
de
dónde
fueron
usados.
18. 2.
Casos
de
uso
o
ejemplos
de
Seguridad
(4/4)
18
• …
y
Ges$ón
de
Iden$dades
(Ges$ón
de
ciclo
de
vida
de
credenciales
y
atributos)
• Ninguno
de
los
puntos
anteriores
(auten$cación,
autorización,
confidencialidad,
etc.)
puede
ser
implantado
sin
antes
hacer
“Ges$ón
de
Credenciales”,
y
esto
significa:
• Crear
un
modelo
único
de
usuarios,
grupos
y
roles
(modelo
canónico
de
usuarios).
• Integración
y
consolidación
de
las
fuentes
de
credenciales
(integración
de
datos).
• Aprovisionamiento
(propagar
las
credenciales
a
los
sistemas
que
los
necesitan).
• Ges$ón
del
Ciclo
de
Vida
de
las
Iden$dades
(baja,
alta,
actualizaciones,
suspensión,
permisos,
etc.).
• Polí$cas
y
estándares
(polí$cas
de
seguridad).
19. 3.
WSO2
IS
y
WSO2
ESB
(1/5)
19
1.-
2.-
3.-
4.-
5.-
6.-
7.-
8.-
9.-
Autenticación e Identificación
Autorización
Confidencialidad
Integridad
No Repudio
Anonimato
Disponibilidad y Fiabilidad
Auditoría
Gestión de Identidades
¿Quién eres tu?
¿Qué puedes hacer tu?
Transmisión secreta o privada del
mensaje
Nadie haya alterado el mensaje
Nadie pueda rechazar/cuestionar la
transacción ni el/los mensajes
No trazabilidad de ciertas
transacciones o mensajes
Servicio siempre operativo o con
garantía de que funcione
Trazabilidad y recolección de
evidencia
Gestión del ciclo de vida de las
credenciales y atributos
El “Negocio Conectado” de hoy
REQUISITOSDESEGURIDAD
20. 3.
WSO2
IS
y
WSO2
ESB
(2/5)
20
“Identity Silos” “Spaghetti Identity”
21. 3.
WSO2
IS
y
WSO2
ESB
(3/5)
21
Hay que ser “políglotas”
hVp://www.slideshare.net/rcarhuatocto/wso2-‐con2013-‐
soacryptorcarhuatoctorev2
22. 3.
WSO2
IS
y
WSO2
ESB
(4/5)
22
Implementada
completamente.
Integrada
pero
no
rica
en
funcionalidades.
23. 3.
WSO2
IS
y
WSO2
ESB
(5/5)
23
Identity Mediation Language
hVp://blog.facilelogin.com/2015/05/idenGty-‐mediaGon-‐
language-‐iml.html
El “Identity Bus”
hVp://www.slideshare.net/prabathsiriwardena/connected-‐
idenGty-‐the-‐role-‐of-‐the-‐idenGty-‐bus
24. 4.
Aplicando
Seguridad
(1/5)
24
• El
proceso
seguido
Ges,ón
de
Accesos
e
Iden,dades
(IAM).
• User
creden$al
lifecycle
Management
• Modelo
de
usuarios
Ges,ón
de
Accesos
e
Iden,dades
(IAM).
• Servicio
de
Auten$cación
y
Autorización
• Servicio
de
SSO
Seguridad
de
la
Información.
• PKI
y
Firma
Digital
• Time
Stamp
• Seguridad
de
Documentos.
Disponibilidad
de
los
Servicios
y
API.
• Throtling
• QaS
• Firewalling
Auditabilidad.
• No
Repudio
• Evidencias
Monitoring
25. 4.
Aplicando
Seguridad
(2/5)
25
*
*
*
*
*
*
*
*
*
*
Federated
User
Management
Portal
B2B,
B2C,
E2E
(API)
BAM,
BI
&
BigData
(WSO2
SS,
BAM,
CEP)
BPM
Applica$ons
(Bonita
BPM)
(WSO2
ESB)
Portal
/
Front-‐end
Iden$ty
Management
Web,
Collab,
Mobile,
Portlets
B2B,
B2C,
API
(Penrose
Virtual
Directory)
Exis$ng
Business
Applica$ons
New
Business
Applica$on
Systems
Bonita
Studio
Bonita
Workflow
Engine
Presenta$on
Layer
Orchestra$on
Layer
Business
Service
Layer
CONTROLLER
MODEL
VIEW
SECURITY
Bonita
UX
Portal
SERVICES
PHP,
Ruby,
Python,
Java
2
3
4
5
6
7
9
10
8
(WSO2
IS)
1
GOVERNED
SERVICES
9
• Un
Negocio
Conectado
26. 4.
Aplicando
Seguridad
(3/5)
26
• Flujos
implementados
1. Start
login
process
2. Pass
login
process
to
Bonita
3. Bonita
passes
login
process
4. OB
passes
login
process
5. WSO2IS
sends
response
6. OB
redirects
response
7. Bonita
redirects
response
8. Liferay
receive
response
Authen$ca$on
in
Openbravo
1. Start
login
process
2. Pass
login
process
to
Bonita
3. Validate
creden$als
4. WSO2IS
sends
response
5. Bonita
redirects
response
6. Liferay
receives
response
Authen$ca$on
in
Bonita
1. Start
login
process
2. Validate
creden$als
3. WSO2IS
sends
response
4. Liferay
receives
response
Authen$ca$on
in
Liferay
LIFERAY
WSO2IS
BONITA
OPENBRAVO
LIFERAY
WSO2IS
BONITA
OPENBRAVO
Desplegar
WSO2
Iden$ty
Server
(WSO2
IS),
crear
usuarios,
roles,
grupos,
…
1.
Configurar
Auten$cación
LDAP
en
Liferay
apuntando
al
LDAP
embebido
de
WSO2
IS.
Habilitar
la
sincronización
usuarios,
roles,
grupos,
…
2.
Configurar
Auten$cación
LDAP
y
sincronización
en
Bonita
BPM
apuntando
al
LDAP
embebido
de
WSO2
IS.
3.
Configurar
Auten$cación
LDAP
y
sincronización
de
usuarios
en
Openbravo
apuntando
al
LDAP
embebido
de
WSO2
IS.
4.
Verifique
el
proceso
de
auten$cación
y
de
sincronización
de
usuarios
en
todo
el
ecosistema.
5.
Después
de
consolidar
repositorios
de
Usuarios
y
validar
el
proceso
de
Auten$cación,
estamos
listos
para
implementar
servicio
de
Autorización,
SSO,
Federación
de
Iden$dades,
Social
Login,
etc.
6.
27. 4.
Aplicando
Seguridad
(4/5)
27
• Firma
Digital
hVp://www.slideshare.net/
rcarhuatocto/wso2-‐
con2013-‐
soacryptorcarhuatoctorev2
28. 4.
Aplicando
Seguridad
(5/5)
28
• Firma
Digital
hVp://www.slideshare.net/rcarhuatocto/wso2-‐con2013-‐
soacryptorcarhuatoctorev2
30. *
5.
Demostración
#1
(2/3)
30
• Bring
Your
Own
ID
(BYOID):
Social
Login
*
*
*
Federated
User
Management
APP
2
(ERP,
CRM,
…)
APP
1
(Mobile
App)
Iden$ty
Management
(Virtual
Directory)
SECURITY
(WSO2
IS)
9
Facebook
Travelocity.COM
(Adhoc
WebApp)
LinkedIn
SAML
WSO2
IS
5.0:
• Suppor$ng
BYOID
with
Chained
Collabora$ve
Federa$on
(CCF)
patern.
• Can
“mediate”
between
OpenID,
OAuth
1.0,
OAuth
2.0,
SAML
2.0
and
OpenID
Connect.
•
Built
integra$on
with
Google
(with
openID),
Facebook
(Graph
API
1.0),
Yahoo
and
Microso{
Live.
hVps://developer.linkedin.com/docs/oauth2
hVps://developers.facebook.com
OAuth
31. 5.
Demostración
#1
(3/3)
31
• Auten$cación
y
Autorización
en
API
(1/2)
hVp://wso2.com/library/arGcles/2015/03/bring-‐your-‐social-‐
idenGty-‐to-‐perform-‐organizaGonal-‐authorizaGon-‐acGons-‐with-‐
wso2-‐idenGty-‐server/
32. Exis$ng
Business
Applica$ons
ESB
5.
Demostración
#1
(3/3)
32
• Auten$cación
y
Autorización
en
API
(2/2)
hVps://holisGcsecurity.wordpress.com/2015/04/19/applying-‐ws-‐
security-‐policy-‐framework-‐to-‐wso2esb-‐wso2dss/
*
*
Federated
User
Management
API
Iden$ty
Management
(Virtual
Directory)
SECURITY
1
(WSO2
IS)
3
9
2
WS-‐SECURITY
JWT
(JSon
Web
Token)
OAUTH
USER
TOKEN
ERP
CRM
MS
Oracle
IBM
SAP
4
WSO2
ESB:
• Axis2
Server
• Rampart
(WS-‐Security)
• PasswordCallback
(Axis2
Handler)
WSO2
AM:
• Habilitar
JWT
(Java
Web
Token)
• htps://docs.wso2.com/display/AM180/Passing+Enduser
+Atributes+to+the+Backend+Using+JWT
• %APIM_HOME%/repository/conf/api-‐manager.xml
{
"typ":"JWT",
"alg":"NONE"
}{
"iss":"wso2.org/products/am",
"exp":1345183492181,
"http://wso2.org/claims/subscriber":"admin",
"http://wso2.org/claims/applicationname":"app2",
"http://wso2.org/claims/apicontext":"/placeFinder",
"http://wso2.org/claims/version":"1.0.0",
"http://wso2.org/claims/tier":"Silver",
"http://wso2.org/claims/enduser":"sumedha"
}
33. 5.
Demostración
#2
33
• Firma
Digital
hVp://www.slideshare.net/
rcarhuatocto/wso2-‐
con2013-‐
soacryptorcarhuatoctorev2
34. 6.
Conclusiones
34
• Defina
la
Arquitectura
• Haga
un
Plan:
• Iden$fique
una
o
varias
estrategias
de
integración
de
“seguridad”
• Inicie
una
“Prueba
de
Concepto”
• Todo
es
API,
es
fácil.
• No
se
olvide
de
lo
primero:
• Ges$ón
de
Iden$dades
antes
de
desplegar
las
estrategias
de
integración
de
“seguridad”
• Monitorización
y
Auditabilidad