Flujo potencial, conceptos básicos y ejemplos resueltos.
Presentación sso con cas
1. Universidad Mariano Gálvez de Guatemala
Seguridad en Redes
Dr. Orestes Febles
7 de julio de 2014
Grupo # 7
Carlos Daniel García Rodríguez 092-03-6352
Genner Orellana 092-07-7726
Néstor Solís 092-08-1186
Jorge Hidalgo 092-07-815
Luis Antonio Orellana Mayorga 092-07-1955
Enrique Toledo Ortiz 092-07-2241
María de los Ángeles Reyes 092-05-14156
Eliú Moreno 092-05-2684
Luis Alfredo Xalin Lorenzana 092-05-91
2. ¿Qué es un sistema Single Sign On
(SSO) ?
Para los usuarios supone la comodidad de
identificarse una sola vez y mantener la sesión
válida para el resto de aplicaciones que hacen
uso del SSO. Además le permite identificarse
usando los siguientes métodos de autenticación:
3. Para los desarrolladores y administradores de
aplicaciones es una manera de simplificar
enormemente la lógica de sus aplicaciones, al
poder delegar completamente la tarea de
autenticar a los usuarios a un sistema
independiente de las mismas.
5. Tipos de SSO
Integrado de Windows,
De extranet
De intranet.
Estos tipos se describen a continuación, el
tercero de los cuales incluye el inicio de
sesión único (SSO) empresarial
6. Estos servicios permiten conectarse a varias aplicaciones
de la red que utilizan un mecanismo de autenticación
común, solicitan y comprueban las credenciales tras
iniciar sesión en la red, utilizándolas para determinar lo
que se puede llevar a cabo en función de los derechos del
usuario.
Por ejemplo, si las aplicaciones efectúan la
integración utilizando Kerberos (protocolo de
autenticación de redes), se podrá tener acceso a cualquier
recurso de la red integrado con Kerberos después de que
el sistema lleve a cabo la autenticación de las credenciales.
7. Estos servicios permiten el acceso a los recursos a través de
Internet utilizando un solo conjunto de credenciales de
usuario. El usuario proporciona un conjunto de credenciales
para iniciar sesión en diferentes sitios web pertenecientes a
distintas organizaciones.
Ejemplo: Windows Live ID para aplicaciones
basadas en consumidores. Para escenarios federados, los
Servicios de federación de Active Directory habilitan SSO
web.
8. Estos servicios le permiten integrar varios
sistemas y aplicaciones heterogéneos en el
entorno empresarial. Permite a los usuarios de la
empresa conectarse a las aplicaciones de servidor
y a las aplicaciones para usuarios al utilizar
únicamente un conjunto de credenciales.
9. Los sub servicios del servicio de inicio de sesión único (SSO)
empresarial son los siguientes:
Asignación:
Este componente asigna la cuenta de usuario en el
sistema de Windows a cuentas de usuarios de los sistemas de
servidor.
Búsqueda:
Este componente busca las credenciales de usuario en la
base de datos de SSO en el sistema de servidor. Éste es el componente
en tiempo de ejecución de SSO.
10. Administración: Este componente administra las
aplicaciones afiliadas y las asignaciones para cada aplicación
afiliada.
Secreto: Este componente genera el secreto principal y lo
distribuye a los servidores de SSO del sistema. Solo está
activo en el servidor de inicio de sesión único (SSO) que
actúa como servidor secreto principal.
Sincronización de contraseñas: Este componente
simplifica la administración de la base de datos de SSO y
sincroniza las contraseñas en todos los directorios de
usuario.
11.
12. SIMPLE
ID PW
ID PW
Recurso
Servidor de
Autentificación
BD de usuarios
Primer
Sign-On
Intercambio
de
Autentificaci
ón
ID | PW
Token
ID | PW Confianza Validación
13. Etapas en la Solución Simple:
1. El usuario desea acceder a un recurso. Se le pide un
usuario y una contraseña que son enviados al servidor
de autentificación.
2. El servidor de autentificación comprueba la validez
de los datos introducidos, y genera un token de sesión
para el cliente.
3. El cliente envía al servidor del recurso que quiere
acceder el token recibido.
14. Etapas en la Solución Simple:
4. El servidor del recurso valida este token contra el
servidor de autentificación (existe una relación de
confianza entre los recursos y el servidor de
autentificación).
5. Si el token es valido y se dispone de acceso al recurso, el
cliente puede acceder él. En caso contrario, se deniega su
acceso.
6. El usuario desea acceder a un nuevo recurso. De forma
transparente a él, el cliente envía el token al servidor del
recurso, repitiendo las etapas 4 y 5.
15. Basado en el paso de Token
ID PW
ID PW
Autoridad de
Autentificació
n Primaria
BD Primaria
Primer
Sign-On
Segundo Sign-On
transparente
usando Token
Temporal
ID | PW
Token
ID | PW
Confianza
BD
Secundaria
Token
Tempora
l
Autoridad de
Autentificació
n Secundaria
16. Etapas en la Solución basada en Token:
1. El usuario desea acceder a un recurso. Se le pide un
usuario y una contraseña que son enviados al servidor de
autentificación de ese recurso.
2. El servidor de autentificación comprueba la validez de los
datos introducidos, y genera un token de sesión para el
cliente, que le permite acceder al recurso.
3. El usuario desea acceder a un nuevo recurso que
pertenece a otra Autoridad de Autentificación. El cliente
de forma transparente envía el token recibido de la
primera autoridad a esta segunda.
17. Etapas en la Solución basada en Token:
4. La segunda Autoridad Autentificadora mantiene una
relación de confianza con la primera Autoridad, con
la que comprueba la validez del token (o ticket).
5. El usuario tiene acceso a los recursos que pertenecen
a la segunda autoridad autentificadora gracias al
token y a la confianza establecida con el generador de
ese token.
6. Ejemplos: Kerberos, Passport, …
18. Basado en uso de PKI
ID PW
ID PW
Autoridad de
Autentificació
n Primaria
BD
Registro
del
Usuario
Segundo Sign-On
transparente usando
Llave Pública como
Credencial (Certificado
y Clave privada)
ID | PW
Confianza
Emisión
Certificado
Autoridad de
Autentificació
n Secundaria
Certificado
CA
Certificado
CA
Certificad
o Usuario
Certificado
CA
Clave
Privada
19. Etapas en la Solución basada en PKI:
1. El usuario se da de alta en un centro de
autentificación (autoridad certificadora primaria) y
recibe un certificado que consta de una clave privada,
otra publica e información sobre la Autoridad
certificadora y del usuario.
2. Cuando el usuario desea acceder a un servicio, éste le
pide autentificación. El servidor usa el certificado
público como credencial para comprobar la
autentificación del cliente.
20. Autentificación Centralizada
Basado en Ventajas Desventajas
Token Tiene un único conjunto de
credenciales simplifica la vida al
administrador y al usuario.
El software normalmente viene
incorporado con el Sistema.
Requiere una infraestructura de
autentificación homogénea.
Se basa en criptografía simétrica.
PKI Tiene un único conjunto de
credenciales simplifica la vida al
administrador y al usuario.
El software normalmente viene
incorporado con el Sistema.
Se basa en criptografía
asimétrica.
Solo puede trabajar con un único
conjunto de credenciales.
Algoritmo complejo de validación
de certificado. Requiere mucho
cálculo en el lado del cliente.
Requiere una infraestructura de
autentificación homogénea (todos
los servicios deben tener activado el
mecanismo PKI)
21. Autentificación Múltiple y Basado en
Caché Cliente:
ID PW
ID PW
Autoridad de
Autentificació
n Primaria
BD Primaria
Primer
Sign-On
Segundo Sign-On
transparente
usando
credenciales
almacenadas en
cliente
ID | PW
Token
Confianza
BD
Secundaria
Autoridad de
Autentificació
n Secundaria
ID | PW
Caché Cliente
Segura
ID | PW
ID | PW
Token
PW
22. Etapas en la Solución Caché en el Cliente:
1. El usuario introduce una contraseña para acceder a su
base de datos (almacenada en su ordenador).
2. En la base de datos se encuentran almacenadas las
credenciales (usuario y contraseña) de los dominios a los
cuales tiene acceso.
3. Cada vez que accedemos a un recurso de un dominio en el
que no estamos autentificados, el cliente envía de forma
transparente la credencial a la autoridad de
autentificación, y esta le devuelve un token de sesión para
los recursos del dominio.
23. Etapas en la Solución Caché en el Cliente:
4. Cuando el usuario accede aun recurso del cual no tiene la
credencial almacenada, el usuario introduce el nombre de
usuario y contraseña, y esta credencial queda almacenada
en la caché del cliente.
5. Existe una relación de confianza desde las autoridades de
autentificación secundarias con la primaria.
Ejemplos:
Windows XP, Windows .NET, Entrust Entellingence, …
24. Reducción de costos de administración de la seguridad
Disminución de la operatividad asociada con la
administración de contraseñas.
Incremento en los niveles de seguridad existentes.
Control centralizado de autenticación para las aplicaciones
corporativas.
Mayor comodidad y facilidad de uso de las aplicaciones
corporativas para los usuarios finales
25.
26. Sistema de autenticación creado para
proveer una forma segura en que una
aplicación pueda autenticar a un usuario.
Fue creado por estándares abiertos para
poder integrarse a muchas aplicaciones y
sistemas.
27. Provee una solución empresarial para SSO
y es un muy bien documentado, protocolo.
Provee una solución centralizada de inicio
de sesión para múltiples servicios
empresariales, por lo que permite proteger
la proliferación de credenciales y de
contraseñas.
30. El protocolo CAS esta compuesto de tres partes
las cuales son:
1.) Un navegador Web.
2.) Una aplicación Web que requiere
autenticación.
3) El servidor Cas.
También puede incluir un servidor de BD para
consultas.
31. El usuario utilizando un Navegador hace
la conexión hacia la aplicación o sitio web
sin tener un ticket valido.
Cuando un cliente visita la aplicación
deseada y debe autenticarse, la aplicación lo
enviara hacia CAS e incluirá la dirección
hacia donde el usuario se dirige luego de su
autenticación.
32. Cas validará al cliente usualmente por su
usuario y contraseña a una BD (como
kerberos o Active Directory utilizando
SSO).
Si la autenticación es exitosa CAS
retornara el cliente a la aplicación junto a un
ticket de seguridad.
33. La aplicación valida, el ticket comunicándose al
servidor CAS, utilizando un canal seguro para
que CAS compruebe su identificación y el ticket.
CAS retorna a la aplicación, “información
segura” sobre que un usuario en particular ha sido
correctamente autenticado validando el ticket.
Estos tickets son de un solo uso y solo
funcionaran una “vez”.