SlideShare una empresa de Scribd logo

Presentación sso con cas

Descargar como PPTX, PDF
E
Enrique Toledo

Este documento presenta información sobre sistemas de inicio de sesión único (SSO). Describe los tipos de SSO como integrado de Windows, de extranet e intranet. Explica las ventajas de SSO como reducir costos de administración y aumentar la seguridad. También resume el protocolo CAS que provee autenticación centralizada para aplicaciones web a través de un servidor CAS.

Ingeniería
1 de 36
Descargado 18 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
Universidad Mariano Gálvez de Guatemala Seguridad en Redes Dr. Orestes Febles 7 de julio de 2014 Grupo # 7 Carlos Daniel García Rodríguez 092-03-6352 Genner Orellana 092-07-7726 Néstor Solís 092-08-1186 Jorge Hidalgo 092-07-815 Luis Antonio Orellana Mayorga 092-07-1955 Enrique Toledo Ortiz 092-07-2241 María de los Ángeles Reyes 092-05-14156 Eliú Moreno 092-05-2684 Luis Alfredo Xalin Lorenzana 092-05-91
¿Qué es un sistema Single Sign On (SSO) ? Para los usuarios supone la comodidad de identificarse una sola vez y mantener la sesión válida para el resto de aplicaciones que hacen uso del SSO. Además le permite identificarse usando los siguientes métodos de autenticación:
Para los desarrolladores y administradores de aplicaciones es una manera de simplificar enormemente la lógica de sus aplicaciones, al poder delegar completamente la tarea de autenticar a los usuarios a un sistema independiente de las mismas.
Comprendiendo SSO
Tipos de SSO Integrado de Windows,  De extranet De intranet. Estos tipos se describen a continuación, el tercero de los cuales incluye el inicio de sesión único (SSO) empresarial
Estos servicios permiten conectarse a varias aplicaciones de la red que utilizan un mecanismo de autenticación común, solicitan y comprueban las credenciales tras iniciar sesión en la red, utilizándolas para determinar lo que se puede llevar a cabo en función de los derechos del usuario. Por ejemplo, si las aplicaciones efectúan la integración utilizando Kerberos (protocolo de autenticación de redes), se podrá tener acceso a cualquier recurso de la red integrado con Kerberos después de que el sistema lleve a cabo la autenticación de las credenciales.
Estos servicios permiten el acceso a los recursos a través de Internet utilizando un solo conjunto de credenciales de usuario. El usuario proporciona un conjunto de credenciales para iniciar sesión en diferentes sitios web pertenecientes a distintas organizaciones. Ejemplo: Windows Live ID para aplicaciones basadas en consumidores. Para escenarios federados, los Servicios de federación de Active Directory habilitan SSO web.
Estos servicios le permiten integrar varios sistemas y aplicaciones heterogéneos en el entorno empresarial. Permite a los usuarios de la empresa conectarse a las aplicaciones de servidor y a las aplicaciones para usuarios al utilizar únicamente un conjunto de credenciales.
Los sub servicios del servicio de inicio de sesión único (SSO) empresarial son los siguientes: Asignación: Este componente asigna la cuenta de usuario en el sistema de Windows a cuentas de usuarios de los sistemas de servidor. Búsqueda: Este componente busca las credenciales de usuario en la base de datos de SSO en el sistema de servidor. Éste es el componente en tiempo de ejecución de SSO.
Administración: Este componente administra las aplicaciones afiliadas y las asignaciones para cada aplicación afiliada. Secreto: Este componente genera el secreto principal y lo distribuye a los servidores de SSO del sistema. Solo está activo en el servidor de inicio de sesión único (SSO) que actúa como servidor secreto principal. Sincronización de contraseñas: Este componente simplifica la administración de la base de datos de SSO y sincroniza las contraseñas en todos los directorios de usuario.
Presentación sso con cas
SIMPLE ID PW ID PW Recurso Servidor de Autentificación BD de usuarios Primer Sign-On Intercambio de Autentificaci ón ID | PW Token ID | PW Confianza Validación
 Etapas en la Solución Simple: 1. El usuario desea acceder a un recurso. Se le pide un usuario y una contraseña que son enviados al servidor de autentificación. 2. El servidor de autentificación comprueba la validez de los datos introducidos, y genera un token de sesión para el cliente. 3. El cliente envía al servidor del recurso que quiere acceder el token recibido.
 Etapas en la Solución Simple: 4. El servidor del recurso valida este token contra el servidor de autentificación (existe una relación de confianza entre los recursos y el servidor de autentificación). 5. Si el token es valido y se dispone de acceso al recurso, el cliente puede acceder él. En caso contrario, se deniega su acceso. 6. El usuario desea acceder a un nuevo recurso. De forma transparente a él, el cliente envía el token al servidor del recurso, repitiendo las etapas 4 y 5.
Basado en el paso de Token ID PW ID PW Autoridad de Autentificació n Primaria BD Primaria Primer Sign-On Segundo Sign-On transparente usando Token Temporal ID | PW Token ID | PW Confianza BD Secundaria Token Tempora l Autoridad de Autentificació n Secundaria
 Etapas en la Solución basada en Token: 1. El usuario desea acceder a un recurso. Se le pide un usuario y una contraseña que son enviados al servidor de autentificación de ese recurso. 2. El servidor de autentificación comprueba la validez de los datos introducidos, y genera un token de sesión para el cliente, que le permite acceder al recurso. 3. El usuario desea acceder a un nuevo recurso que pertenece a otra Autoridad de Autentificación. El cliente de forma transparente envía el token recibido de la primera autoridad a esta segunda.
 Etapas en la Solución basada en Token: 4. La segunda Autoridad Autentificadora mantiene una relación de confianza con la primera Autoridad, con la que comprueba la validez del token (o ticket). 5. El usuario tiene acceso a los recursos que pertenecen a la segunda autoridad autentificadora gracias al token y a la confianza establecida con el generador de ese token. 6. Ejemplos: Kerberos, Passport, …
Basado en uso de PKI ID PW ID PW Autoridad de Autentificació n Primaria BD Registro del Usuario Segundo Sign-On transparente usando Llave Pública como Credencial (Certificado y Clave privada) ID | PW Confianza Emisión Certificado Autoridad de Autentificació n Secundaria Certificado CA Certificado CA Certificad o Usuario Certificado CA Clave Privada
 Etapas en la Solución basada en PKI: 1. El usuario se da de alta en un centro de autentificación (autoridad certificadora primaria) y recibe un certificado que consta de una clave privada, otra publica e información sobre la Autoridad certificadora y del usuario. 2. Cuando el usuario desea acceder a un servicio, éste le pide autentificación. El servidor usa el certificado público como credencial para comprobar la autentificación del cliente.
Autentificación Centralizada Basado en Ventajas Desventajas Token  Tiene un único conjunto de credenciales simplifica la vida al administrador y al usuario.  El software normalmente viene incorporado con el Sistema.  Requiere una infraestructura de autentificación homogénea.  Se basa en criptografía simétrica. PKI  Tiene un único conjunto de credenciales simplifica la vida al administrador y al usuario.  El software normalmente viene incorporado con el Sistema.  Se basa en criptografía asimétrica.  Solo puede trabajar con un único conjunto de credenciales.  Algoritmo complejo de validación de certificado. Requiere mucho cálculo en el lado del cliente.  Requiere una infraestructura de autentificación homogénea (todos los servicios deben tener activado el mecanismo PKI)
Autentificación Múltiple y Basado en Caché Cliente: ID PW ID PW Autoridad de Autentificació n Primaria BD Primaria Primer Sign-On Segundo Sign-On transparente usando credenciales almacenadas en cliente ID | PW Token Confianza BD Secundaria Autoridad de Autentificació n Secundaria ID | PW Caché Cliente Segura ID | PW ID | PW Token PW
 Etapas en la Solución Caché en el Cliente: 1. El usuario introduce una contraseña para acceder a su base de datos (almacenada en su ordenador). 2. En la base de datos se encuentran almacenadas las credenciales (usuario y contraseña) de los dominios a los cuales tiene acceso. 3. Cada vez que accedemos a un recurso de un dominio en el que no estamos autentificados, el cliente envía de forma transparente la credencial a la autoridad de autentificación, y esta le devuelve un token de sesión para los recursos del dominio.
 Etapas en la Solución Caché en el Cliente: 4. Cuando el usuario accede aun recurso del cual no tiene la credencial almacenada, el usuario introduce el nombre de usuario y contraseña, y esta credencial queda almacenada en la caché del cliente. 5. Existe una relación de confianza desde las autoridades de autentificación secundarias con la primaria. Ejemplos: Windows XP, Windows .NET, Entrust Entellingence, …
Reducción de costos de administración de la seguridad Disminución de la operatividad asociada con la administración de contraseñas. Incremento en los niveles de seguridad existentes. Control centralizado de autenticación para las aplicaciones corporativas. Mayor comodidad y facilidad de uso de las aplicaciones corporativas para los usuarios finales
Presentación sso con cas
Sistema de autenticación creado para proveer una forma segura en que una aplicación pueda autenticar a un usuario. Fue creado por estándares abiertos para poder integrarse a muchas aplicaciones y sistemas.
Provee una solución empresarial para SSO y es un muy bien documentado, protocolo. Provee una solución centralizada de inicio de sesión para múltiples servicios empresariales, por lo que permite proteger la proliferación de credenciales y de contraseñas.
Presentación sso con cas
Clientes para: Java .NET PHP Perl Apache Uportal
El protocolo CAS esta compuesto de tres partes las cuales son: 1.) Un navegador Web. 2.) Una aplicación Web que requiere autenticación. 3) El servidor Cas. También puede incluir un servidor de BD para consultas.
El usuario utilizando un Navegador hace la conexión hacia la aplicación o sitio web sin tener un ticket valido. Cuando un cliente visita la aplicación deseada y debe autenticarse, la aplicación lo enviara hacia CAS e incluirá la dirección hacia donde el usuario se dirige luego de su autenticación.
Cas validará al cliente usualmente por su usuario y contraseña a una BD (como kerberos o Active Directory utilizando SSO). Si la autenticación es exitosa CAS retornara el cliente a la aplicación junto a un ticket de seguridad.
La aplicación valida, el ticket comunicándose al servidor CAS, utilizando un canal seguro para que CAS compruebe su identificación y el ticket. CAS retorna a la aplicación, “información segura” sobre que un usuario en particular ha sido correctamente autenticado validando el ticket. Estos tickets son de un solo uso y solo funcionaran una “vez”.
Presentación sso con cas
Presentación sso con cas
Muchas Gracias

Más contenido relacionado

PDF
Angular 4 Data Binding | Two Way Data Binding in Angular 4 | Angular 4 Tutori...
Edureka!
 
PDF
OpenGL ES 2.0 Programming and Cocos2d-x v3.3 Rendering System
oasiskim
 
PDF
Gastronorm Küvet
Cafemarkt
 
PDF
Securing a Web App with Passwordless Web Authentication
FIDO Alliance
 
PDF
Centralizando la autenticación y autorización en la UNLP. Nuestra experiencia...
Christian Rodriguez
 
PDF
Taller de cámara
aktivfinger
 
PPT
Ccna explorationTEMA III
aktivfinger
 
DOC
Web service
aktivfinger
 
Angular 4 Data Binding | Two Way Data Binding in Angular 4 | Angular 4 Tutori...
Edureka!
 
OpenGL ES 2.0 Programming and Cocos2d-x v3.3 Rendering System
oasiskim
 
Gastronorm Küvet
Cafemarkt
 
Securing a Web App with Passwordless Web Authentication
FIDO Alliance
 
Centralizando la autenticación y autorización en la UNLP. Nuestra experiencia...
Christian Rodriguez
 
Taller de cámara
aktivfinger
 
Ccna explorationTEMA III
aktivfinger
 
Web service
aktivfinger
 

Similar a Presentación sso con cas (20)

PPT
Entel SSO
Ramsés Gallego
 
PPTX
Configuración de sistemas de control de acceso y aut entificación de personas...
eduvilesc
 
PDF
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
Rames Sarwat
 
DOC
Autenticacion
hmitre17
 
PDF
Autenticacion usuarios
G Hoyos A
 
PPT
14. Seguridad En Aplicaciones Web Asp.Net
guest3cf6ff
 
PPTX
Single Sign On e IdPs: Active Directory Federation Services (ADFS)
Plain Concepts
 
PPTX
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
Roger CARHUATOCTO
 
PPT
Seminario MS IDA
Marcela Berri
 
PDF
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
WSO2
 
PPTX
Presentacion de Seguridad Informatica
Anthoni Cedeno
 
PPTX
Tendencia
kari2222
 
PPTX
Tendencia
kari2222
 
PDF
Seguridad para aplicaciones web java con json web tokens (jwt) 2020
Eudris Cabrera
 
PDF
PKI Aplicada V1.3
Roger CARHUATOCTO
 
PDF
TFM - Memoria - Implantación de un sistema SSO
Nacho Martin
 
PDF
Conceptos basicos
Harold Morales
 
PDF
Soluciones BI con delegación Kerberos | SolidQ Summit 2012
SolidQ
 
PDF
DNIe en tu Active Directory
Chema Alonso
 
PPT
Microsoft Windows Server 2003 Y Windows 2000 I
teddy666
 
Entel SSO
Ramsés Gallego
 
Configuración de sistemas de control de acceso y aut entificación de personas...
eduvilesc
 
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
Rames Sarwat
 
Autenticacion
hmitre17
 
Autenticacion usuarios
G Hoyos A
 
14. Seguridad En Aplicaciones Web Asp.Net
guest3cf6ff
 
Single Sign On e IdPs: Active Directory Federation Services (ADFS)
Plain Concepts
 
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
Roger CARHUATOCTO
 
Seminario MS IDA
Marcela Berri
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
WSO2
 
Presentacion de Seguridad Informatica
Anthoni Cedeno
 
Tendencia
kari2222
 
Tendencia
kari2222
 
Seguridad para aplicaciones web java con json web tokens (jwt) 2020
Eudris Cabrera
 
PKI Aplicada V1.3
Roger CARHUATOCTO
 
TFM - Memoria - Implantación de un sistema SSO
Nacho Martin
 
Conceptos basicos
Harold Morales
 
Soluciones BI con delegación Kerberos | SolidQ Summit 2012
SolidQ
 
DNIe en tu Active Directory
Chema Alonso
 
Microsoft Windows Server 2003 Y Windows 2000 I
teddy666
 
Publicidad

Último (20)

PPTX
GEOLOGIA, principios , fundamentos y conceptos
inricortes93
 
DOCX
Cumplimiento normativo y realidad laboral
espinocristhian
 
PDF
HISTORIA DE LA GRÚAA LO LARGO DE LOS TIEMPOSpdf
LuceroDlc1
 
PPT
PRIMEROS AUXILIOS EN EL SECTOR EMPRESARIAL
carmensph15
 
PPTX
clase MICROCONTROLADORES ago-dic 2019.pptx
ssuser3e05631
 
PPTX
Curso Corto de PLANTA CONCENTRADORA FREEPORT
brendalarenaspersona
 
PPTX
ARQUITECTURA INTEGRAL EN OBRA, PRINCIPIOS BASICOS Y TERMINOS
ventasm1
 
PDF
S15 Protección de redes electricas 2025-1_removed.pdf
ALEXJERSONFLORESQUIS
 
PPTX
LEVANTAMIENTOS TOPOGRAFICOS - DIAPOSITIVAS
Helen276379
 
PDF
Pensamiento Politico Siglo XXI Peru y Mundo.pdf
LuceroDlc1
 
PDF
Durabilidad del concreto en zonas costeras
lorenasantos726612
 
PDF
TESTAMENTO DE DESCRIPTIVA ..............
guerrerotvdying
 
PDF
LIBRO UNIVERSITARIO SISTEMAS PRODUCTIVOS BN.pdf
PREMIUMEDITORIAL
 
PPTX
1 CONTAMINACION AMBIENTAL EN EL PLANETA.pptx
ROMELHUAA
 
PPTX
OPERACION DE MONTACARGAS maneji seguro de
moisescruzrangel
 
PDF
LIBRO UNIVERSITARIO DESARROLLO ORGANIZACIONAL BN.pdf
PREMIUMEDITORIAL
 
PDF
1132-2018 espectrofotometro uv visible.pdf
keyerlin1
 
PDF
Diseño y Utiliación del HVAC Aire Acondicionado
ssuser48980d
 
PPTX
Introduccion quimica del fuego.ffffffffffpptx
dorantealberth
 
PPTX
MODULO 1.SEGURIDAD Y SALUD CONCEPTOS GENERALES.pptx
HectorCabezas15
 
GEOLOGIA, principios , fundamentos y conceptos
inricortes93
 
Cumplimiento normativo y realidad laboral
espinocristhian
 
HISTORIA DE LA GRÚAA LO LARGO DE LOS TIEMPOSpdf
LuceroDlc1
 
PRIMEROS AUXILIOS EN EL SECTOR EMPRESARIAL
carmensph15
 
clase MICROCONTROLADORES ago-dic 2019.pptx
ssuser3e05631
 
Curso Corto de PLANTA CONCENTRADORA FREEPORT
brendalarenaspersona
 
ARQUITECTURA INTEGRAL EN OBRA, PRINCIPIOS BASICOS Y TERMINOS
ventasm1
 
S15 Protección de redes electricas 2025-1_removed.pdf
ALEXJERSONFLORESQUIS
 
LEVANTAMIENTOS TOPOGRAFICOS - DIAPOSITIVAS
Helen276379
 
Pensamiento Politico Siglo XXI Peru y Mundo.pdf
LuceroDlc1
 
Durabilidad del concreto en zonas costeras
lorenasantos726612
 
TESTAMENTO DE DESCRIPTIVA ..............
guerrerotvdying
 
LIBRO UNIVERSITARIO SISTEMAS PRODUCTIVOS BN.pdf
PREMIUMEDITORIAL
 
1 CONTAMINACION AMBIENTAL EN EL PLANETA.pptx
ROMELHUAA
 
OPERACION DE MONTACARGAS maneji seguro de
moisescruzrangel
 
LIBRO UNIVERSITARIO DESARROLLO ORGANIZACIONAL BN.pdf
PREMIUMEDITORIAL
 
1132-2018 espectrofotometro uv visible.pdf
keyerlin1
 
Diseño y Utiliación del HVAC Aire Acondicionado
ssuser48980d
 
Introduccion quimica del fuego.ffffffffffpptx
dorantealberth
 
MODULO 1.SEGURIDAD Y SALUD CONCEPTOS GENERALES.pptx
HectorCabezas15
 
Publicidad

Presentación sso con cas

  • 1. Universidad Mariano Gálvez de Guatemala Seguridad en Redes Dr. Orestes Febles 7 de julio de 2014 Grupo # 7 Carlos Daniel García Rodríguez 092-03-6352 Genner Orellana 092-07-7726 Néstor Solís 092-08-1186 Jorge Hidalgo 092-07-815 Luis Antonio Orellana Mayorga 092-07-1955 Enrique Toledo Ortiz 092-07-2241 María de los Ángeles Reyes 092-05-14156 Eliú Moreno 092-05-2684 Luis Alfredo Xalin Lorenzana 092-05-91
  • 2. ¿Qué es un sistema Single Sign On (SSO) ? Para los usuarios supone la comodidad de identificarse una sola vez y mantener la sesión válida para el resto de aplicaciones que hacen uso del SSO. Además le permite identificarse usando los siguientes métodos de autenticación:
  • 3. Para los desarrolladores y administradores de aplicaciones es una manera de simplificar enormemente la lógica de sus aplicaciones, al poder delegar completamente la tarea de autenticar a los usuarios a un sistema independiente de las mismas.
  • 5. Tipos de SSO Integrado de Windows,  De extranet De intranet. Estos tipos se describen a continuación, el tercero de los cuales incluye el inicio de sesión único (SSO) empresarial
  • 6. Estos servicios permiten conectarse a varias aplicaciones de la red que utilizan un mecanismo de autenticación común, solicitan y comprueban las credenciales tras iniciar sesión en la red, utilizándolas para determinar lo que se puede llevar a cabo en función de los derechos del usuario. Por ejemplo, si las aplicaciones efectúan la integración utilizando Kerberos (protocolo de autenticación de redes), se podrá tener acceso a cualquier recurso de la red integrado con Kerberos después de que el sistema lleve a cabo la autenticación de las credenciales.
  • 7. Estos servicios permiten el acceso a los recursos a través de Internet utilizando un solo conjunto de credenciales de usuario. El usuario proporciona un conjunto de credenciales para iniciar sesión en diferentes sitios web pertenecientes a distintas organizaciones. Ejemplo: Windows Live ID para aplicaciones basadas en consumidores. Para escenarios federados, los Servicios de federación de Active Directory habilitan SSO web.
  • 8. Estos servicios le permiten integrar varios sistemas y aplicaciones heterogéneos en el entorno empresarial. Permite a los usuarios de la empresa conectarse a las aplicaciones de servidor y a las aplicaciones para usuarios al utilizar únicamente un conjunto de credenciales.
  • 9. Los sub servicios del servicio de inicio de sesión único (SSO) empresarial son los siguientes: Asignación: Este componente asigna la cuenta de usuario en el sistema de Windows a cuentas de usuarios de los sistemas de servidor. Búsqueda: Este componente busca las credenciales de usuario en la base de datos de SSO en el sistema de servidor. Éste es el componente en tiempo de ejecución de SSO.
  • 10. Administración: Este componente administra las aplicaciones afiliadas y las asignaciones para cada aplicación afiliada. Secreto: Este componente genera el secreto principal y lo distribuye a los servidores de SSO del sistema. Solo está activo en el servidor de inicio de sesión único (SSO) que actúa como servidor secreto principal. Sincronización de contraseñas: Este componente simplifica la administración de la base de datos de SSO y sincroniza las contraseñas en todos los directorios de usuario.
  • 12. SIMPLE ID PW ID PW Recurso Servidor de Autentificación BD de usuarios Primer Sign-On Intercambio de Autentificaci ón ID | PW Token ID | PW Confianza Validación
  • 13.  Etapas en la Solución Simple: 1. El usuario desea acceder a un recurso. Se le pide un usuario y una contraseña que son enviados al servidor de autentificación. 2. El servidor de autentificación comprueba la validez de los datos introducidos, y genera un token de sesión para el cliente. 3. El cliente envía al servidor del recurso que quiere acceder el token recibido.
  • 14.  Etapas en la Solución Simple: 4. El servidor del recurso valida este token contra el servidor de autentificación (existe una relación de confianza entre los recursos y el servidor de autentificación). 5. Si el token es valido y se dispone de acceso al recurso, el cliente puede acceder él. En caso contrario, se deniega su acceso. 6. El usuario desea acceder a un nuevo recurso. De forma transparente a él, el cliente envía el token al servidor del recurso, repitiendo las etapas 4 y 5.
  • 15. Basado en el paso de Token ID PW ID PW Autoridad de Autentificació n Primaria BD Primaria Primer Sign-On Segundo Sign-On transparente usando Token Temporal ID | PW Token ID | PW Confianza BD Secundaria Token Tempora l Autoridad de Autentificació n Secundaria
  • 16.  Etapas en la Solución basada en Token: 1. El usuario desea acceder a un recurso. Se le pide un usuario y una contraseña que son enviados al servidor de autentificación de ese recurso. 2. El servidor de autentificación comprueba la validez de los datos introducidos, y genera un token de sesión para el cliente, que le permite acceder al recurso. 3. El usuario desea acceder a un nuevo recurso que pertenece a otra Autoridad de Autentificación. El cliente de forma transparente envía el token recibido de la primera autoridad a esta segunda.
  • 17.  Etapas en la Solución basada en Token: 4. La segunda Autoridad Autentificadora mantiene una relación de confianza con la primera Autoridad, con la que comprueba la validez del token (o ticket). 5. El usuario tiene acceso a los recursos que pertenecen a la segunda autoridad autentificadora gracias al token y a la confianza establecida con el generador de ese token. 6. Ejemplos: Kerberos, Passport, …
  • 18. Basado en uso de PKI ID PW ID PW Autoridad de Autentificació n Primaria BD Registro del Usuario Segundo Sign-On transparente usando Llave Pública como Credencial (Certificado y Clave privada) ID | PW Confianza Emisión Certificado Autoridad de Autentificació n Secundaria Certificado CA Certificado CA Certificad o Usuario Certificado CA Clave Privada
  • 19.  Etapas en la Solución basada en PKI: 1. El usuario se da de alta en un centro de autentificación (autoridad certificadora primaria) y recibe un certificado que consta de una clave privada, otra publica e información sobre la Autoridad certificadora y del usuario. 2. Cuando el usuario desea acceder a un servicio, éste le pide autentificación. El servidor usa el certificado público como credencial para comprobar la autentificación del cliente.
  • 20. Autentificación Centralizada Basado en Ventajas Desventajas Token  Tiene un único conjunto de credenciales simplifica la vida al administrador y al usuario.  El software normalmente viene incorporado con el Sistema.  Requiere una infraestructura de autentificación homogénea.  Se basa en criptografía simétrica. PKI  Tiene un único conjunto de credenciales simplifica la vida al administrador y al usuario.  El software normalmente viene incorporado con el Sistema.  Se basa en criptografía asimétrica.  Solo puede trabajar con un único conjunto de credenciales.  Algoritmo complejo de validación de certificado. Requiere mucho cálculo en el lado del cliente.  Requiere una infraestructura de autentificación homogénea (todos los servicios deben tener activado el mecanismo PKI)
  • 21. Autentificación Múltiple y Basado en Caché Cliente: ID PW ID PW Autoridad de Autentificació n Primaria BD Primaria Primer Sign-On Segundo Sign-On transparente usando credenciales almacenadas en cliente ID | PW Token Confianza BD Secundaria Autoridad de Autentificació n Secundaria ID | PW Caché Cliente Segura ID | PW ID | PW Token PW
  • 22.  Etapas en la Solución Caché en el Cliente: 1. El usuario introduce una contraseña para acceder a su base de datos (almacenada en su ordenador). 2. En la base de datos se encuentran almacenadas las credenciales (usuario y contraseña) de los dominios a los cuales tiene acceso. 3. Cada vez que accedemos a un recurso de un dominio en el que no estamos autentificados, el cliente envía de forma transparente la credencial a la autoridad de autentificación, y esta le devuelve un token de sesión para los recursos del dominio.
  • 23.  Etapas en la Solución Caché en el Cliente: 4. Cuando el usuario accede aun recurso del cual no tiene la credencial almacenada, el usuario introduce el nombre de usuario y contraseña, y esta credencial queda almacenada en la caché del cliente. 5. Existe una relación de confianza desde las autoridades de autentificación secundarias con la primaria. Ejemplos: Windows XP, Windows .NET, Entrust Entellingence, …
  • 24. Reducción de costos de administración de la seguridad Disminución de la operatividad asociada con la administración de contraseñas. Incremento en los niveles de seguridad existentes. Control centralizado de autenticación para las aplicaciones corporativas. Mayor comodidad y facilidad de uso de las aplicaciones corporativas para los usuarios finales
  • 26. Sistema de autenticación creado para proveer una forma segura en que una aplicación pueda autenticar a un usuario. Fue creado por estándares abiertos para poder integrarse a muchas aplicaciones y sistemas.
  • 27. Provee una solución empresarial para SSO y es un muy bien documentado, protocolo. Provee una solución centralizada de inicio de sesión para múltiples servicios empresariales, por lo que permite proteger la proliferación de credenciales y de contraseñas.
  • 30. El protocolo CAS esta compuesto de tres partes las cuales son: 1.) Un navegador Web. 2.) Una aplicación Web que requiere autenticación. 3) El servidor Cas. También puede incluir un servidor de BD para consultas.
  • 31. El usuario utilizando un Navegador hace la conexión hacia la aplicación o sitio web sin tener un ticket valido. Cuando un cliente visita la aplicación deseada y debe autenticarse, la aplicación lo enviara hacia CAS e incluirá la dirección hacia donde el usuario se dirige luego de su autenticación.
  • 32. Cas validará al cliente usualmente por su usuario y contraseña a una BD (como kerberos o Active Directory utilizando SSO). Si la autenticación es exitosa CAS retornara el cliente a la aplicación junto a un ticket de seguridad.
  • 33. La aplicación valida, el ticket comunicándose al servidor CAS, utilizando un canal seguro para que CAS compruebe su identificación y el ticket. CAS retorna a la aplicación, “información segura” sobre que un usuario en particular ha sido correctamente autenticado validando el ticket. Estos tickets son de un solo uso y solo funcionaran una “vez”.