SlideShare una empresa de Scribd logo

Presentación sso con cas

Descargar como PPTX, PDF
E
Enrique Toledo

Presentacion de SSO con CAS

Ingeniería
1 de 36
Universidad Mariano Gálvez de Guatemala Seguridad en Redes Dr. Orestes Febles 7 de julio de 2014 Grupo # 7 Carlos Daniel García Rodríguez 092-03-6352 Genner Orellana 092-07-7726 Néstor Solís 092-08-1186 Jorge Hidalgo 092-07-815 Luis Antonio Orellana Mayorga 092-07-1955 Enrique Toledo Ortiz 092-07-2241 María de los Ángeles Reyes 092-05-14156 Eliú Moreno 092-05-2684 Luis Alfredo Xalin Lorenzana 092-05-91
¿Qué es un sistema Single Sign On (SSO) ? Para los usuarios supone la comodidad de identificarse una sola vez y mantener la sesión válida para el resto de aplicaciones que hacen uso del SSO. Además le permite identificarse usando los siguientes métodos de autenticación:
Para los desarrolladores y administradores de aplicaciones es una manera de simplificar enormemente la lógica de sus aplicaciones, al poder delegar completamente la tarea de autenticar a los usuarios a un sistema independiente de las mismas.
Comprendiendo SSO
Tipos de SSO Integrado de Windows,  De extranet De intranet. Estos tipos se describen a continuación, el tercero de los cuales incluye el inicio de sesión único (SSO) empresarial
Estos servicios permiten conectarse a varias aplicaciones de la red que utilizan un mecanismo de autenticación común, solicitan y comprueban las credenciales tras iniciar sesión en la red, utilizándolas para determinar lo que se puede llevar a cabo en función de los derechos del usuario. Por ejemplo, si las aplicaciones efectúan la integración utilizando Kerberos (protocolo de autenticación de redes), se podrá tener acceso a cualquier recurso de la red integrado con Kerberos después de que el sistema lleve a cabo la autenticación de las credenciales.
Estos servicios permiten el acceso a los recursos a través de Internet utilizando un solo conjunto de credenciales de usuario. El usuario proporciona un conjunto de credenciales para iniciar sesión en diferentes sitios web pertenecientes a distintas organizaciones. Ejemplo: Windows Live ID para aplicaciones basadas en consumidores. Para escenarios federados, los Servicios de federación de Active Directory habilitan SSO web.
Estos servicios le permiten integrar varios sistemas y aplicaciones heterogéneos en el entorno empresarial. Permite a los usuarios de la empresa conectarse a las aplicaciones de servidor y a las aplicaciones para usuarios al utilizar únicamente un conjunto de credenciales.
Los sub servicios del servicio de inicio de sesión único (SSO) empresarial son los siguientes: Asignación: Este componente asigna la cuenta de usuario en el sistema de Windows a cuentas de usuarios de los sistemas de servidor. Búsqueda: Este componente busca las credenciales de usuario en la base de datos de SSO en el sistema de servidor. Éste es el componente en tiempo de ejecución de SSO.
Administración: Este componente administra las aplicaciones afiliadas y las asignaciones para cada aplicación afiliada. Secreto: Este componente genera el secreto principal y lo distribuye a los servidores de SSO del sistema. Solo está activo en el servidor de inicio de sesión único (SSO) que actúa como servidor secreto principal. Sincronización de contraseñas: Este componente simplifica la administración de la base de datos de SSO y sincroniza las contraseñas en todos los directorios de usuario.
SIMPLE ID PW ID PW Recurso Servidor de Autentificación BD de usuarios Primer Sign-On Intercambio de Autentificaci ón ID | PW Token ID | PW Confianza Validación
 Etapas en la Solución Simple: 1. El usuario desea acceder a un recurso. Se le pide un usuario y una contraseña que son enviados al servidor de autentificación. 2. El servidor de autentificación comprueba la validez de los datos introducidos, y genera un token de sesión para el cliente. 3. El cliente envía al servidor del recurso que quiere acceder el token recibido.
 Etapas en la Solución Simple: 4. El servidor del recurso valida este token contra el servidor de autentificación (existe una relación de confianza entre los recursos y el servidor de autentificación). 5. Si el token es valido y se dispone de acceso al recurso, el cliente puede acceder él. En caso contrario, se deniega su acceso. 6. El usuario desea acceder a un nuevo recurso. De forma transparente a él, el cliente envía el token al servidor del recurso, repitiendo las etapas 4 y 5.
Basado en el paso de Token ID PW ID PW Autoridad de Autentificació n Primaria BD Primaria Primer Sign-On Segundo Sign-On transparente usando Token Temporal ID | PW Token ID | PW Confianza BD Secundaria Token Tempora l Autoridad de Autentificació n Secundaria
 Etapas en la Solución basada en Token: 1. El usuario desea acceder a un recurso. Se le pide un usuario y una contraseña que son enviados al servidor de autentificación de ese recurso. 2. El servidor de autentificación comprueba la validez de los datos introducidos, y genera un token de sesión para el cliente, que le permite acceder al recurso. 3. El usuario desea acceder a un nuevo recurso que pertenece a otra Autoridad de Autentificación. El cliente de forma transparente envía el token recibido de la primera autoridad a esta segunda.
 Etapas en la Solución basada en Token: 4. La segunda Autoridad Autentificadora mantiene una relación de confianza con la primera Autoridad, con la que comprueba la validez del token (o ticket). 5. El usuario tiene acceso a los recursos que pertenecen a la segunda autoridad autentificadora gracias al token y a la confianza establecida con el generador de ese token. 6. Ejemplos: Kerberos, Passport, …
Basado en uso de PKI ID PW ID PW Autoridad de Autentificació n Primaria BD Registro del Usuario Segundo Sign-On transparente usando Llave Pública como Credencial (Certificado y Clave privada) ID | PW Confianza Emisión Certificado Autoridad de Autentificació n Secundaria Certificado CA Certificado CA Certificad o Usuario Certificado CA Clave Privada
 Etapas en la Solución basada en PKI: 1. El usuario se da de alta en un centro de autentificación (autoridad certificadora primaria) y recibe un certificado que consta de una clave privada, otra publica e información sobre la Autoridad certificadora y del usuario. 2. Cuando el usuario desea acceder a un servicio, éste le pide autentificación. El servidor usa el certificado público como credencial para comprobar la autentificación del cliente.
Autentificación Centralizada Basado en Ventajas Desventajas Token  Tiene un único conjunto de credenciales simplifica la vida al administrador y al usuario.  El software normalmente viene incorporado con el Sistema.  Requiere una infraestructura de autentificación homogénea.  Se basa en criptografía simétrica. PKI  Tiene un único conjunto de credenciales simplifica la vida al administrador y al usuario.  El software normalmente viene incorporado con el Sistema.  Se basa en criptografía asimétrica.  Solo puede trabajar con un único conjunto de credenciales.  Algoritmo complejo de validación de certificado. Requiere mucho cálculo en el lado del cliente.  Requiere una infraestructura de autentificación homogénea (todos los servicios deben tener activado el mecanismo PKI)
Autentificación Múltiple y Basado en Caché Cliente: ID PW ID PW Autoridad de Autentificació n Primaria BD Primaria Primer Sign-On Segundo Sign-On transparente usando credenciales almacenadas en cliente ID | PW Token Confianza BD Secundaria Autoridad de Autentificació n Secundaria ID | PW Caché Cliente Segura ID | PW ID | PW Token PW
 Etapas en la Solución Caché en el Cliente: 1. El usuario introduce una contraseña para acceder a su base de datos (almacenada en su ordenador). 2. En la base de datos se encuentran almacenadas las credenciales (usuario y contraseña) de los dominios a los cuales tiene acceso. 3. Cada vez que accedemos a un recurso de un dominio en el que no estamos autentificados, el cliente envía de forma transparente la credencial a la autoridad de autentificación, y esta le devuelve un token de sesión para los recursos del dominio.
 Etapas en la Solución Caché en el Cliente: 4. Cuando el usuario accede aun recurso del cual no tiene la credencial almacenada, el usuario introduce el nombre de usuario y contraseña, y esta credencial queda almacenada en la caché del cliente. 5. Existe una relación de confianza desde las autoridades de autentificación secundarias con la primaria. Ejemplos: Windows XP, Windows .NET, Entrust Entellingence, …
Reducción de costos de administración de la seguridad Disminución de la operatividad asociada con la administración de contraseñas. Incremento en los niveles de seguridad existentes. Control centralizado de autenticación para las aplicaciones corporativas. Mayor comodidad y facilidad de uso de las aplicaciones corporativas para los usuarios finales
Sistema de autenticación creado para proveer una forma segura en que una aplicación pueda autenticar a un usuario. Fue creado por estándares abiertos para poder integrarse a muchas aplicaciones y sistemas.
Provee una solución empresarial para SSO y es un muy bien documentado, protocolo. Provee una solución centralizada de inicio de sesión para múltiples servicios empresariales, por lo que permite proteger la proliferación de credenciales y de contraseñas.
Clientes para: Java .NET PHP Perl Apache Uportal
El protocolo CAS esta compuesto de tres partes las cuales son: 1.) Un navegador Web. 2.) Una aplicación Web que requiere autenticación. 3) El servidor Cas. También puede incluir un servidor de BD para consultas.
El usuario utilizando un Navegador hace la conexión hacia la aplicación o sitio web sin tener un ticket valido. Cuando un cliente visita la aplicación deseada y debe autenticarse, la aplicación lo enviara hacia CAS e incluirá la dirección hacia donde el usuario se dirige luego de su autenticación.
Cas validará al cliente usualmente por su usuario y contraseña a una BD (como kerberos o Active Directory utilizando SSO). Si la autenticación es exitosa CAS retornara el cliente a la aplicación junto a un ticket de seguridad.
La aplicación valida, el ticket comunicándose al servidor CAS, utilizando un canal seguro para que CAS compruebe su identificación y el ticket. CAS retorna a la aplicación, “información segura” sobre que un usuario en particular ha sido correctamente autenticado validando el ticket. Estos tickets son de un solo uso y solo funcionaran una “vez”.
Muchas Gracias

Recomendados

Centralizando la autenticación y autorización en la UNLP. Nuestra experiencia...
Centralizando la autenticación y autorización en la UNLP. Nuestra experiencia...Centralizando la autenticación y autorización en la UNLP. Nuestra experiencia...
Centralizando la autenticación y autorización en la UNLP. Nuestra experiencia...
Christian Rodriguez
 
Nuestros clientes en proyectos software
Nuestros clientes en proyectos softwareNuestros clientes en proyectos software
Nuestros clientes en proyectos software
Ingeniería e Integración Avanzadas (Ingenia)
 
Presentacion OTRS
Presentacion OTRSPresentacion OTRS
Presentacion OTRS
Johan Alexander Cardona Calderon
 
Taller de cámara
Taller de cámaraTaller de cámara
Taller de cámara
aktivfinger
 
Ccna explorationTEMA III
Ccna explorationTEMA IIICcna explorationTEMA III
Ccna explorationTEMA III
aktivfinger
 
Web service
Web serviceWeb service
Web service
aktivfinger
 
i-lovelearning 2016 | Interoperabilidad: la nueva tendencia en formación corp...
i-lovelearning 2016 | Interoperabilidad: la nueva tendencia en formación corp...i-lovelearning 2016 | Interoperabilidad: la nueva tendencia en formación corp...
i-lovelearning 2016 | Interoperabilidad: la nueva tendencia en formación corp...
Netex Learning
 
TFM - Memoria - Implantación de un sistema SSO
TFM - Memoria - Implantación de un sistema SSOTFM - Memoria - Implantación de un sistema SSO
TFM - Memoria - Implantación de un sistema SSO
Nacho Martin
 

Recomendados

Centralizando la autenticación y autorización en la UNLP. Nuestra experiencia...
Centralizando la autenticación y autorización en la UNLP. Nuestra experiencia...Centralizando la autenticación y autorización en la UNLP. Nuestra experiencia...
Centralizando la autenticación y autorización en la UNLP. Nuestra experiencia...
Christian Rodriguez
 
Nuestros clientes en proyectos software
Nuestros clientes en proyectos softwareNuestros clientes en proyectos software
Nuestros clientes en proyectos software
Ingeniería e Integración Avanzadas (Ingenia)
 
Presentacion OTRS
Presentacion OTRSPresentacion OTRS
Presentacion OTRS
Johan Alexander Cardona Calderon
 
Taller de cámara
Taller de cámaraTaller de cámara
Taller de cámara
aktivfinger
 
Ccna explorationTEMA III
Ccna explorationTEMA IIICcna explorationTEMA III
Ccna explorationTEMA III
aktivfinger
 
Web service
Web serviceWeb service
Web service
aktivfinger
 
i-lovelearning 2016 | Interoperabilidad: la nueva tendencia en formación corp...
i-lovelearning 2016 | Interoperabilidad: la nueva tendencia en formación corp...i-lovelearning 2016 | Interoperabilidad: la nueva tendencia en formación corp...
i-lovelearning 2016 | Interoperabilidad: la nueva tendencia en formación corp...
Netex Learning
 
TFM - Memoria - Implantación de un sistema SSO
TFM - Memoria - Implantación de un sistema SSOTFM - Memoria - Implantación de un sistema SSO
TFM - Memoria - Implantación de un sistema SSO
Nacho Martin
 
Meetup TCMS OAuth2
Meetup TCMS OAuth2Meetup TCMS OAuth2
Meetup TCMS OAuth2
Brenda Costa Bojanich
 
GFI - Seguridad en tus APIs
GFI - Seguridad en tus APIsGFI - Seguridad en tus APIs
GFI - Seguridad en tus APIs
GFI Informática
 
Open ID
Open IDOpen ID
Open ID
Mauricio España
 
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
Rames Sarwat
 
SINGLE SINGN ON
SINGLE SINGN ONSINGLE SINGN ON
SINGLE SINGN ON
fernandolopez601
 
Control de acceso al sistema operativo
Control de acceso al sistema operativoControl de acceso al sistema operativo
Control de acceso al sistema operativo
Galindo Urzagaste
 
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Miguel Ángel Sánchez Chordi
 
Sitios blindados de SharePoint
Sitios blindados de SharePointSitios blindados de SharePoint
Sitios blindados de SharePoint
www.encamina.com
 
Seguridad para aplicaciones web java con json web tokens (jwt) 2020
Seguridad para aplicaciones web java con json web tokens (jwt) 2020Seguridad para aplicaciones web java con json web tokens (jwt) 2020
Seguridad para aplicaciones web java con json web tokens (jwt) 2020
Eudris Cabrera
 
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013
Cinthia Soca
 
TrustID
TrustIDTrustID
TrustID
VaniOs
 
0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus
GeneXus
 
Ingeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaIngeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpeta
Pablo Martínez
 
El Almacen Central de Certificados Digitales
El Almacen Central de Certificados DigitalesEl Almacen Central de Certificados Digitales
El Almacen Central de Certificados Digitales
Rames Sarwat
 
Confianza cero
Confianza ceroConfianza cero
Confianza cero
Cade Soluciones
 
05 certificaado digital
05 certificaado digital05 certificaado digital
05 certificaado digital
MariluzBlacidoGabrie
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
1 2d
 
APEX Office Hours - Two Factor Authentication
APEX Office Hours - Two Factor AuthenticationAPEX Office Hours - Two Factor Authentication
APEX Office Hours - Two Factor Authentication
joelorta2
 
Entel SSO
Entel SSOEntel SSO
Entel SSO
Ramsés Gallego
 
SSO mobile 3 opciones
SSO mobile 3 opcionesSSO mobile 3 opciones
SSO mobile 3 opciones
Mariano German Egui
 
ARMADURAS METODO NODOS.pptx......................
ARMADURAS METODO NODOS.pptx......................ARMADURAS METODO NODOS.pptx......................
ARMADURAS METODO NODOS.pptx......................
Juan293605
 
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdfNTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
ELIZABETHCRUZVALENCI
 

Más contenido relacionado

Similar a Presentación sso con cas

Control de acceso al sistema operativo
Control de acceso al sistema operativoControl de acceso al sistema operativo
Control de acceso al sistema operativo
Galindo Urzagaste
 
0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus
GeneXus
 
Ingeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaIngeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpeta
Pablo Martínez
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
1 2d
 

Similar a Presentación sso con cas (20)

Meetup TCMS OAuth2
Meetup TCMS OAuth2Meetup TCMS OAuth2
Meetup TCMS OAuth2
 
GFI - Seguridad en tus APIs
GFI - Seguridad en tus APIsGFI - Seguridad en tus APIs
GFI - Seguridad en tus APIs
 
Open ID
Open IDOpen ID
Open ID
 
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
 
SINGLE SINGN ON
SINGLE SINGN ONSINGLE SINGN ON
SINGLE SINGN ON
 
Control de acceso al sistema operativo
Control de acceso al sistema operativoControl de acceso al sistema operativo
Control de acceso al sistema operativo
 
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
 
Sitios blindados de SharePoint
Sitios blindados de SharePointSitios blindados de SharePoint
Sitios blindados de SharePoint
 
Seguridad para aplicaciones web java con json web tokens (jwt) 2020
Seguridad para aplicaciones web java con json web tokens (jwt) 2020Seguridad para aplicaciones web java con json web tokens (jwt) 2020
Seguridad para aplicaciones web java con json web tokens (jwt) 2020
 
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013
 
TrustID
TrustIDTrustID
TrustID
 
0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus
 
Ingeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaIngeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpeta
 
El Almacen Central de Certificados Digitales
El Almacen Central de Certificados DigitalesEl Almacen Central de Certificados Digitales
El Almacen Central de Certificados Digitales
 
Confianza cero
Confianza ceroConfianza cero
Confianza cero
 
05 certificaado digital
05 certificaado digital05 certificaado digital
05 certificaado digital
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
 
APEX Office Hours - Two Factor Authentication
APEX Office Hours - Two Factor AuthenticationAPEX Office Hours - Two Factor Authentication
APEX Office Hours - Two Factor Authentication
 
Entel SSO
Entel SSOEntel SSO
Entel SSO
 
SSO mobile 3 opciones
SSO mobile 3 opcionesSSO mobile 3 opciones
SSO mobile 3 opciones
 

Último

sistema de CLORACIÓN DE AGUA POTABLE gst
sistema de CLORACIÓN DE AGUA POTABLE gstsistema de CLORACIÓN DE AGUA POTABLE gst
sistema de CLORACIÓN DE AGUA POTABLE gst
DavidRojas870673
 
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONALSESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
EdwinC23
 

Último (20)

ARMADURAS METODO NODOS.pptx......................
ARMADURAS METODO NODOS.pptx......................ARMADURAS METODO NODOS.pptx......................
ARMADURAS METODO NODOS.pptx......................
 
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdfNTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
 
ATS-FORMATO cara.pdf PARA TRABAJO SEGURO
ATS-FORMATO cara.pdf PARA TRABAJO SEGUROATS-FORMATO cara.pdf PARA TRABAJO SEGURO
ATS-FORMATO cara.pdf PARA TRABAJO SEGURO
 
Six Sigma Process and the dmaic metodo process
Six Sigma Process and the dmaic metodo processSix Sigma Process and the dmaic metodo process
Six Sigma Process and the dmaic metodo process
 
sistema de CLORACIÓN DE AGUA POTABLE gst
sistema de CLORACIÓN DE AGUA POTABLE gstsistema de CLORACIÓN DE AGUA POTABLE gst
sistema de CLORACIÓN DE AGUA POTABLE gst
 
GUIA DE SEGURIDAD PARA VENTILACION DE MINAS-POSITIVA.pdf
GUIA DE SEGURIDAD PARA VENTILACION DE MINAS-POSITIVA.pdfGUIA DE SEGURIDAD PARA VENTILACION DE MINAS-POSITIVA.pdf
GUIA DE SEGURIDAD PARA VENTILACION DE MINAS-POSITIVA.pdf
 
Auditoría de Sistemas de Gestión
Auditoría de Sistemas de GestiónAuditoría de Sistemas de Gestión
Auditoría de Sistemas de Gestión
 
entropia y neguentropia en la teoria general de sistemas
entropia y neguentropia en la teoria general de sistemasentropia y neguentropia en la teoria general de sistemas
entropia y neguentropia en la teoria general de sistemas
 
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico EcuatorianoEstadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
 
Determinación de espacios en la instalación
Determinación de espacios en la instalaciónDeterminación de espacios en la instalación
Determinación de espacios en la instalación
 
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONALSESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
 
27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt
 
Matrices Matemáticos universitario pptx
Matrices Matemáticos universitario pptxMatrices Matemáticos universitario pptx
Matrices Matemáticos universitario pptx
 
Manual deresolucion de ecuaciones por fracciones parciales.pdf
Manual deresolucion de ecuaciones por fracciones parciales.pdfManual deresolucion de ecuaciones por fracciones parciales.pdf
Manual deresolucion de ecuaciones por fracciones parciales.pdf
 
Aportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der RoheAportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
 
422382393-Curso-de-Tableros-Electricos.pptx
422382393-Curso-de-Tableros-Electricos.pptx422382393-Curso-de-Tableros-Electricos.pptx
422382393-Curso-de-Tableros-Electricos.pptx
 
docsity-manzaneo-y-lotizacion para habilitacopm urbana
docsity-manzaneo-y-lotizacion para habilitacopm urbanadocsity-manzaneo-y-lotizacion para habilitacopm urbana
docsity-manzaneo-y-lotizacion para habilitacopm urbana
 
ELASTICIDAD PRECIO DE LA DEMaaanANDA.ppt
ELASTICIDAD PRECIO DE LA DEMaaanANDA.pptELASTICIDAD PRECIO DE LA DEMaaanANDA.ppt
ELASTICIDAD PRECIO DE LA DEMaaanANDA.ppt
 
Presentación de Redes de alcantarillado y agua potable
Presentación de Redes de alcantarillado y agua potablePresentación de Redes de alcantarillado y agua potable
Presentación de Redes de alcantarillado y agua potable
 
Cereales tecnología de los alimentos. Cereales
Cereales tecnología de los alimentos. CerealesCereales tecnología de los alimentos. Cereales
Cereales tecnología de los alimentos. Cereales
 

Presentación sso con cas

  • 1. Universidad Mariano Gálvez de Guatemala Seguridad en Redes Dr. Orestes Febles 7 de julio de 2014 Grupo # 7 Carlos Daniel García Rodríguez 092-03-6352 Genner Orellana 092-07-7726 Néstor Solís 092-08-1186 Jorge Hidalgo 092-07-815 Luis Antonio Orellana Mayorga 092-07-1955 Enrique Toledo Ortiz 092-07-2241 María de los Ángeles Reyes 092-05-14156 Eliú Moreno 092-05-2684 Luis Alfredo Xalin Lorenzana 092-05-91
  • 2. ¿Qué es un sistema Single Sign On (SSO) ? Para los usuarios supone la comodidad de identificarse una sola vez y mantener la sesión válida para el resto de aplicaciones que hacen uso del SSO. Además le permite identificarse usando los siguientes métodos de autenticación:
  • 3. Para los desarrolladores y administradores de aplicaciones es una manera de simplificar enormemente la lógica de sus aplicaciones, al poder delegar completamente la tarea de autenticar a los usuarios a un sistema independiente de las mismas.
  • 5. Tipos de SSO Integrado de Windows,  De extranet De intranet. Estos tipos se describen a continuación, el tercero de los cuales incluye el inicio de sesión único (SSO) empresarial
  • 6. Estos servicios permiten conectarse a varias aplicaciones de la red que utilizan un mecanismo de autenticación común, solicitan y comprueban las credenciales tras iniciar sesión en la red, utilizándolas para determinar lo que se puede llevar a cabo en función de los derechos del usuario. Por ejemplo, si las aplicaciones efectúan la integración utilizando Kerberos (protocolo de autenticación de redes), se podrá tener acceso a cualquier recurso de la red integrado con Kerberos después de que el sistema lleve a cabo la autenticación de las credenciales.
  • 7. Estos servicios permiten el acceso a los recursos a través de Internet utilizando un solo conjunto de credenciales de usuario. El usuario proporciona un conjunto de credenciales para iniciar sesión en diferentes sitios web pertenecientes a distintas organizaciones. Ejemplo: Windows Live ID para aplicaciones basadas en consumidores. Para escenarios federados, los Servicios de federación de Active Directory habilitan SSO web.
  • 8. Estos servicios le permiten integrar varios sistemas y aplicaciones heterogéneos en el entorno empresarial. Permite a los usuarios de la empresa conectarse a las aplicaciones de servidor y a las aplicaciones para usuarios al utilizar únicamente un conjunto de credenciales.
  • 9. Los sub servicios del servicio de inicio de sesión único (SSO) empresarial son los siguientes: Asignación: Este componente asigna la cuenta de usuario en el sistema de Windows a cuentas de usuarios de los sistemas de servidor. Búsqueda: Este componente busca las credenciales de usuario en la base de datos de SSO en el sistema de servidor. Éste es el componente en tiempo de ejecución de SSO.
  • 10. Administración: Este componente administra las aplicaciones afiliadas y las asignaciones para cada aplicación afiliada. Secreto: Este componente genera el secreto principal y lo distribuye a los servidores de SSO del sistema. Solo está activo en el servidor de inicio de sesión único (SSO) que actúa como servidor secreto principal. Sincronización de contraseñas: Este componente simplifica la administración de la base de datos de SSO y sincroniza las contraseñas en todos los directorios de usuario.
  • 11.
  • 12. SIMPLE ID PW ID PW Recurso Servidor de Autentificación BD de usuarios Primer Sign-On Intercambio de Autentificaci ón ID | PW Token ID | PW Confianza Validación
  • 13.  Etapas en la Solución Simple: 1. El usuario desea acceder a un recurso. Se le pide un usuario y una contraseña que son enviados al servidor de autentificación. 2. El servidor de autentificación comprueba la validez de los datos introducidos, y genera un token de sesión para el cliente. 3. El cliente envía al servidor del recurso que quiere acceder el token recibido.
  • 14.  Etapas en la Solución Simple: 4. El servidor del recurso valida este token contra el servidor de autentificación (existe una relación de confianza entre los recursos y el servidor de autentificación). 5. Si el token es valido y se dispone de acceso al recurso, el cliente puede acceder él. En caso contrario, se deniega su acceso. 6. El usuario desea acceder a un nuevo recurso. De forma transparente a él, el cliente envía el token al servidor del recurso, repitiendo las etapas 4 y 5.
  • 15. Basado en el paso de Token ID PW ID PW Autoridad de Autentificació n Primaria BD Primaria Primer Sign-On Segundo Sign-On transparente usando Token Temporal ID | PW Token ID | PW Confianza BD Secundaria Token Tempora l Autoridad de Autentificació n Secundaria
  • 16.  Etapas en la Solución basada en Token: 1. El usuario desea acceder a un recurso. Se le pide un usuario y una contraseña que son enviados al servidor de autentificación de ese recurso. 2. El servidor de autentificación comprueba la validez de los datos introducidos, y genera un token de sesión para el cliente, que le permite acceder al recurso. 3. El usuario desea acceder a un nuevo recurso que pertenece a otra Autoridad de Autentificación. El cliente de forma transparente envía el token recibido de la primera autoridad a esta segunda.
  • 17.  Etapas en la Solución basada en Token: 4. La segunda Autoridad Autentificadora mantiene una relación de confianza con la primera Autoridad, con la que comprueba la validez del token (o ticket). 5. El usuario tiene acceso a los recursos que pertenecen a la segunda autoridad autentificadora gracias al token y a la confianza establecida con el generador de ese token. 6. Ejemplos: Kerberos, Passport, …
  • 18. Basado en uso de PKI ID PW ID PW Autoridad de Autentificació n Primaria BD Registro del Usuario Segundo Sign-On transparente usando Llave Pública como Credencial (Certificado y Clave privada) ID | PW Confianza Emisión Certificado Autoridad de Autentificació n Secundaria Certificado CA Certificado CA Certificad o Usuario Certificado CA Clave Privada
  • 19.  Etapas en la Solución basada en PKI: 1. El usuario se da de alta en un centro de autentificación (autoridad certificadora primaria) y recibe un certificado que consta de una clave privada, otra publica e información sobre la Autoridad certificadora y del usuario. 2. Cuando el usuario desea acceder a un servicio, éste le pide autentificación. El servidor usa el certificado público como credencial para comprobar la autentificación del cliente.
  • 20. Autentificación Centralizada Basado en Ventajas Desventajas Token  Tiene un único conjunto de credenciales simplifica la vida al administrador y al usuario.  El software normalmente viene incorporado con el Sistema.  Requiere una infraestructura de autentificación homogénea.  Se basa en criptografía simétrica. PKI  Tiene un único conjunto de credenciales simplifica la vida al administrador y al usuario.  El software normalmente viene incorporado con el Sistema.  Se basa en criptografía asimétrica.  Solo puede trabajar con un único conjunto de credenciales.  Algoritmo complejo de validación de certificado. Requiere mucho cálculo en el lado del cliente.  Requiere una infraestructura de autentificación homogénea (todos los servicios deben tener activado el mecanismo PKI)
  • 21. Autentificación Múltiple y Basado en Caché Cliente: ID PW ID PW Autoridad de Autentificació n Primaria BD Primaria Primer Sign-On Segundo Sign-On transparente usando credenciales almacenadas en cliente ID | PW Token Confianza BD Secundaria Autoridad de Autentificació n Secundaria ID | PW Caché Cliente Segura ID | PW ID | PW Token PW
  • 22.  Etapas en la Solución Caché en el Cliente: 1. El usuario introduce una contraseña para acceder a su base de datos (almacenada en su ordenador). 2. En la base de datos se encuentran almacenadas las credenciales (usuario y contraseña) de los dominios a los cuales tiene acceso. 3. Cada vez que accedemos a un recurso de un dominio en el que no estamos autentificados, el cliente envía de forma transparente la credencial a la autoridad de autentificación, y esta le devuelve un token de sesión para los recursos del dominio.
  • 23.  Etapas en la Solución Caché en el Cliente: 4. Cuando el usuario accede aun recurso del cual no tiene la credencial almacenada, el usuario introduce el nombre de usuario y contraseña, y esta credencial queda almacenada en la caché del cliente. 5. Existe una relación de confianza desde las autoridades de autentificación secundarias con la primaria. Ejemplos: Windows XP, Windows .NET, Entrust Entellingence, …
  • 24. Reducción de costos de administración de la seguridad Disminución de la operatividad asociada con la administración de contraseñas. Incremento en los niveles de seguridad existentes. Control centralizado de autenticación para las aplicaciones corporativas. Mayor comodidad y facilidad de uso de las aplicaciones corporativas para los usuarios finales
  • 25.
  • 26. Sistema de autenticación creado para proveer una forma segura en que una aplicación pueda autenticar a un usuario. Fue creado por estándares abiertos para poder integrarse a muchas aplicaciones y sistemas.
  • 27. Provee una solución empresarial para SSO y es un muy bien documentado, protocolo. Provee una solución centralizada de inicio de sesión para múltiples servicios empresariales, por lo que permite proteger la proliferación de credenciales y de contraseñas.
  • 28.
  • 30. El protocolo CAS esta compuesto de tres partes las cuales son: 1.) Un navegador Web. 2.) Una aplicación Web que requiere autenticación. 3) El servidor Cas. También puede incluir un servidor de BD para consultas.
  • 31. El usuario utilizando un Navegador hace la conexión hacia la aplicación o sitio web sin tener un ticket valido. Cuando un cliente visita la aplicación deseada y debe autenticarse, la aplicación lo enviara hacia CAS e incluirá la dirección hacia donde el usuario se dirige luego de su autenticación.
  • 32. Cas validará al cliente usualmente por su usuario y contraseña a una BD (como kerberos o Active Directory utilizando SSO). Si la autenticación es exitosa CAS retornara el cliente a la aplicación junto a un ticket de seguridad.
  • 33. La aplicación valida, el ticket comunicándose al servidor CAS, utilizando un canal seguro para que CAS compruebe su identificación y el ticket. CAS retorna a la aplicación, “información segura” sobre que un usuario en particular ha sido correctamente autenticado validando el ticket. Estos tickets son de un solo uso y solo funcionaran una “vez”.
  • 34.
  • 35.