Mecanismo de control de acceso a las aplicaciones web de SharePoint que queramos sobreproteger porque puedan contener información sensible o procesos delicados.
3. Disponer en nuestras granjas de SharePoint
2013 de un mecanismo de control de acceso
más robusto (basado en two factor
authentication; un estándar publico) a las
aplicaciones web de SharePoint que queramos
sobreproteger porque puedan contener
información sensible o procesos delicados.
Llamamos a este componente ENCSEC
Objetivo de los sitios blindados
5. 1. El usuario trata de acceder a una aplicación web de SharePoint protegida
2. El sistema de autenticación redirige la validación al componente ENCSEC
3. ENCSEC presenta un formulario al usuario solicitando su user, password y “token” temporal
4. En caso de que el usuario ya se ha autenticado en otro sitio de la granja, sólo se solicita el “token”
temporal (Single Sign On)
5. El usuario obtiene de su móvil el “token” temporal y lo introduce (si es necesario, junto a su user y
pwd en el formulario)
6. El componente ENCSEC acude a AD con ese usuario y password y
7. si es correcto accede a la clave para descifrar el “token” que ha llegado en el formulario. Si el
user/pwd no es correcto se devuelve error de autenticación al usuario
8. Si al descifrar el “token” y obtener el “sello de fecha” han pasado más de 1 minuto, se rechaza la
petición. Y si todo es correcto se le da permiso de acceso al usuario cargándole con una cookie
temporal para poder operar por las próximas 24h en el sitio, desde esa sesión y navegador.
Proceso de autenticación
6. Proceso provisión de permisos
(1) Las aplicaciones web
a blindar se configuran
con el sistema de
autenticación ENCSEC
(2) Un script genera los
datos en AD para las
claves privadas de los
usuarios a acceder a
sitios blindados
(3) El usuario accede a la
URL que facilita la
configuración de su App
de generación de tokens
con una clave pública del
usuario
(4) El App de generación
de tokens queda
preparado para generar
tokens válidos
temporalmente (1) Las aplicaciones web
a blindar se configuran
con el sistema de
autorización std de
SharePoint
7. • La gestión de autenticación de usuarios en la aplicación web de SharePoint a blindar se configura a
nivel del componente específico ENCSEC
• La gestión de autorizaciones de un usuario en la aplicación web de SharePoint se gestiona a nivel de
SharePoint de forma estándar
• PROVISIÓN DEL SERVICIO
• Cada usuario que va a acceder a sitios blindados necesitaría una App en su móvil (a su elección entre
las muchas disponibles) para generar tokens temporales a partir de una clave pública configurada
previamente.
– Cada vez que un usuario quiere acceder a un sitio blindado se le presenta un form pidiéndole
usuario, pwd y token temporal.
– Se accede al AD a validar usuario y contraseña, y con la clave privada residente como metadato
en el AD del usuario, se desencripta el token temporal y se valida si es suficientemente reciente.
Si es de hace menos de 1 minuto se le da permiso a acceder a la aplicación web de SharePoint.
• El acelerador “sitios blindados de sharepoint” ofrece una página web con la clave pública a configurar
la APP de generación de tokens temporales de cada usuario
Autenticación y autorización
8. • El App en el móvil funciona como cartera para guardar la clave secreta de los usuarios que genera los
“tokens”. Esta cartera es el “secundo factor” que valida la identidad de usuario.
• Este App no es un desarrollo a medida si no aplicaciones hechas por proveedores como Google y
Microsoft que soportan el estándar publico de “Time-based One-time Password Algorithm” (TOTP).
Ese estándar, RFC6238 , esta publicado en http://tools.ietf.org/html/rfc6238
• Las plataformas soportadas son Android, IOS, Windows Phone, Blackberry, Linux (PAM). No solo
funcionan con clientes móviles. También hay clientes para el escritorio (Desktop), Web y Java
disponibles (multiplataforma).
Cartera de autenticación
10. • SERVICIOS Y ACELERADOR
– Implantación y puesta en marcha del modelo de autenticación basado en ENCSEC para una
granja SharePoint 2013 on-premises
– Configuración como blindado del primer aplicativo web de SharePoint a fortificar
– Validación del modelo de aprovisionamiento del servicio y un primer usuario logrando acceder
– Documentación de explotación del sistema
– …
– NO INCLUIDO:
• App móvil para generación de tokens temporales específica para la empresa.
• Despliegue en más de un entorno
• Personalizaciones del sistema, fuera del acelerador basado en ENCSEC
• …
• COSTE
– 14.900,00€+IVA x granja de SharePoint
• TIEMPO DE DESPLIEGUE
– 2 semanas
Paquete de servicios
12. • Los sitios blindados son mucho más robustos en el control de su acceso, porque hay un doble sistema
basado en lo que el cliente sabe y(su usuario y contraseña) y lo que tiene (su móvil).
• Este modelo de control de autenticación, más el modelo de autorización de SharePoint más un
correcto nivel de auditoría en los sitios a proteger ofrece un nivel de blindaje y seguridad muy robusto
para sitios de SharePoint con información o procesos delicados.
• Además, la percepción que tiene el usuario respecto al blindaje es en si mismo disuasorio.
• Todos los protocolos y operativas de trabajo del acelerador de sitios blindados de SharePoint siguen
estándares web reconocidos e interoperables.
• Nota: Un Administrador de Sistemas de máximo nivel de su red, que se configurara su acceso basado en los 2
factores saltándose la normativa de gestión del AD, y que se auto-otorgara autorización de acceso para los sitios
blindados, quedaría registrado y auditado en esta operación, pero no podría impedírsele su acceso a la inspección
del sitio blindado.
Beneficios y condiciones
13. Para localizar o contactar con ENCAMINA puedes:
Contacto
Enviar un mail a:
encamina@encamina.com
info@encamina.com
Llamar al 902 196 893
962 698 064 o 917 90 67 72
Enviar un fax al 962 698 063
O hablar personalmente con:
• Hugo de Juan, CEO
• Jaime Camarasa, Técnico Desarrollo
de Negocio
Visitarnos en:
Jerónimo Roure 49
46520 Puerto de Sagunto, Valencia.
Paseo Castellana, 135 - 7º
28046 , Madrid, Madrid
Hinweis der Redaktion
Versión de portada para Documentos Técnicos. Si utilizas esta, elimina las otras tres.
Cierra con la página de de Contacto del mismo color del último bloque que has creado. Borra las otras dos.