gestión de identidad presente y futuro. 2 agenda plataforma de gestión de identidad partners...
TRANSCRIPT
Gestión de Identidad
Presente y Futuro
2
Agenda Plataforma de Gestión de Identidad Partners Productos
Windows Server 2003 R2 MIIS
Evolución Metasistema de Gestión de Identidad
3
Plataforma de Gestión de Identidad
Servicios de Servicios de DirectorioDirectorio
Servicios de Servicios de AprovisionamientoAprovisionamiento
Servicios de FrontendServicios de FrontendServicios de Servicios de AccesoAcceso
Gestión del Ciclo de Vida
Servicios de Directorio
Ges
tió
n d
e A
cces
o
4
Plataforma de Gestión de Identidad
Servicios de Servicios de DirectorioDirectorio
Servicios de Servicios de AprovisionamientoAprovisionamiento
Servicios de FrontendServicios de FrontendServicios de Servicios de AccesoAcceso
Active Directory
ADAM, Kerberos
Quest /
Centrify
AzMan
Microsoft Identity Integration Server
ActiveDirectory
FederationServer
Quest /Centrify
HIS & Biztalk
ISAServer
MOM & ACS
SharepointAzMan
SQL-Server BizTalk
IIS
5
Partners
Servicios de Servicios de DirectorioDirectorio
Microsoft Identity Integration Server
Servicios de AprovisionamientoServicios de Aprovisionamiento
Servicios de FrontEndServicios de FrontEndServicios de Servicios de AccesoAcceso
bHold, BMC
ActiveDirectory
FederationServer
Quest /Centrify
ISAServer
MOM & ACS
HIS/ESSO
MS Alacris
WindowsPKI
RMSServer
Servicios de Directorio ExtendidosServicios de Directorio ExtendidosInfoCard
FastPass AVAC
Quest Ultimus / K2
Mission Control
Quest
RS
A
Active DirectoryADAM, Kerberos
Quest /
Centrify
AzMan
6
Productos
Windows Server 2003 Windows Server 2003 R2R2
Microsoft Identity Integration Server 2003
Directorio Activo
ADAM ADFS
7
•Informacion de cuentasInformacion de cuentas•PrivilegiosPrivilegios•PerfilesPerfiles•PoliticasPoliticas•Single Sign-OnSingle Sign-On
•Informacion de cuentasInformacion de cuentas•PrivilegiosPrivilegios•PerfilesPerfiles•PoliticasPoliticas•Single Sign-OnSingle Sign-On
Usuarios deWindowsUsuarios deWindows
•Recursos de redRecursos de red•Recursos compartidosRecursos compartidos•ImpresorasImpresoras•PoliticasPoliticas
•Recursos de redRecursos de red•Recursos compartidosRecursos compartidos•ImpresorasImpresoras•PoliticasPoliticas
Servidores WindowsServidores Windows
•ConfiguraciónConfiguración•SeguridadSeguridad•QuarentenaQuarentena•PoliticasPoliticas
•ConfiguraciónConfiguración•SeguridadSeguridad•QuarentenaQuarentena•PoliticasPoliticas
Clientes WindowsClientes Windows
•DirectoriosDirectorios•Bases de DatosBases de Datos•MainframesMainframes•UNIXUNIX
•DirectoriosDirectorios•Bases de DatosBases de Datos•MainframesMainframes•UNIXUNIX
Otros SistemasOtros Sistemas
•Información de productoInformación de producto•PrivilegiosPrivilegios•PerfilesPerfiles•PoliticasPoliticas•Implementacion automatizadaImplementacion automatizada
•Información de productoInformación de producto•PrivilegiosPrivilegios•PerfilesPerfiles•PoliticasPoliticas•Implementacion automatizadaImplementacion automatizada
Productos MicrosoftProductos Microsoft•ConfiguraciónConfiguración•QoSQoS•Políticas de SeguridadPolíticas de Seguridad•Single Sign-OnSingle Sign-On
•ConfiguraciónConfiguración•QoSQoS•Políticas de SeguridadPolíticas de Seguridad•Single Sign-OnSingle Sign-On
Dispositivos de RedDispositivos de Red
•ConfiguraciónConfiguración•Política de seguridadPolítica de seguridad•VPN y Acceso RemotoVPN y Acceso Remoto•CuerentenaCuerentena•Single Sign-OnSingle Sign-On
•ConfiguraciónConfiguración•Política de seguridadPolítica de seguridad•VPN y Acceso RemotoVPN y Acceso Remoto•CuerentenaCuerentena•Single Sign-OnSingle Sign-On
Servicios de FirewallServicios de Firewall
•Single Sign-OnSingle Sign-On•Implementación automatizadaImplementación automatizada•ConfiguraciónConfiguración•Data especifica de directorioData especifica de directorio
•Single Sign-OnSingle Sign-On•Implementación automatizadaImplementación automatizada•ConfiguraciónConfiguración•Data especifica de directorioData especifica de directorio
Aplicaciones de tercerosAplicaciones de terceros
•Eficiencia operativaEficiencia operativa•Seguridad mejoradaSeguridad mejorada•Mejoras en ProductividadMejoras en Productividad•InteroperabilidadInteroperabilidad
•Eficiencia operativaEficiencia operativa•Seguridad mejoradaSeguridad mejorada•Mejoras en ProductividadMejoras en Productividad•InteroperabilidadInteroperabilidad
Directorio ActivoDirectorio Activo
• Base para la gestión de usuarios y recursos de redBase para la gestión de usuarios y recursos de red• Autoridad central para la seguridad de redes y aplicacionesAutoridad central para la seguridad de redes y aplicaciones• Punto de integración para la unificación de serviciosPunto de integración para la unificación de servicios
Productos: Directorio ActivoBase para la Gestión de Identidad
8
El Rol de Directorio Activo…
Automatiza el bloqueo de sistemas WindowsAutomatiza el bloqueo de sistemas WindowsRefuerza el uso de contraseñas y credenciales Refuerza el uso de contraseñas y credenciales
fuertesfuertesPunto central y homogéneo de administración Punto central y homogéneo de administración
Repositorio central de usuarios, servidores y puestosRepositorio central de usuarios, servidores y puestosPermite identificar de forma unívoca a cualquier Permite identificar de forma unívoca a cualquier
persona de la organizaciónpersona de la organizaciónEstablece políticas de seguridad, validación y Establece políticas de seguridad, validación y
autorizaciónautorización
Permite gestión uno a muchos de usuarios y máquinasPermite gestión uno a muchos de usuarios y máquinas Automatiza el forzado de políticasAutomatiza el forzado de políticas
Implementación eficiente de configuraciones estándar Implementación eficiente de configuraciones estándar para grupos de usuarios y máquinaspara grupos de usuarios y máquinas
Seguridad
Gestión de Configuración
Gestión de Identidad
9
Gestión del Ciclo de Vida- Altas y bajas de usuarios- Cambios en las cuentas: promociones,
transferencias, etc- Establecimiento de valores iniciales
Facilidad de Despliegue- Sistema sin Agentes- Modo de Vista Previa
Gestión de Contraseñas- Establecimiento inicial de contraseñas- Sincronización de contraseñas- Aplicaciones para gestión centralizada
Integración y Sincronización de Directorios
- Vista unificada del usuario - Sincronización a nivel de propiedades
Productos: MIISGestión del Ciclo de Vida
10
Componentes
iPlanet
Oracle
SQL
Exchange5.5
DirectoriosDirectoriosConectadosConectados
MetaverseMetaverse
UsuarioUsuario
ConnectorConnectorSpaceSpace
MAMA
MAMA
MAMA
MAMA
11
MIIS: Repositorios Soportados
Computer Associates ACF2, Top Secret LDAP Genérico
www.miisexperts.orwww.miisexperts.orgg MySQL OpenLDAP Genérico BBDD
En desarrolloEn desarrollo
Directorio Activo y ADAM Microsoft SQL 2000, SQL 7 Oracle 8i/9i Lotus Domino 5.x/6.x Novell eDirectory Microsoft Exchange 5.5, 2000, 2003 Microsoft NT 4.x Sun/iPlanet/Netscape Directory Ficheros: DSML, LDIF, CSV, atributo – valor…
IBM DB2, IBM Directory Server Extensible conectivity, MA SDK y MA Packaging Tool
MIIS 2003 SP1MIIS 2003 SP1 RACF SAP / Peoplesoft
www.microsoft.com/miiswww.microsoft.com/miis
MIIS 2003MIIS 2003
12
MIIS: Configuración
13
MIIS: Configuración
14
Productos: ADAMFlexibilidad para aplicaciones y administradores
Misma tecnología que Directorio Activo, limitada al modo LDAP
Esquema y topología independiente, aunque puede sincronizarse con Directorio Activo
Escenarios de uso: Directorio de aplicación Directorio de extranet
15
Federación de Identidades
Procesos y Tecnología basada en Estándares
Proyección de la Identidad del usuario desde un logon único
Autenticación Distribuida y autorización basada en notificaciones
Más allá de los límites (de seguridad, departamentales, organizacionales o de plataforma)
16
A. DatumA. DatumAccount ForestAccount Forest
Trey ResearchTrey ResearchResource ForestResource Forest
Productos: ADFSExtender el Acceso
`
Internal Client
ResourceFederation Server
AccountFederation Server
Web Server
Active Directory
Federation TrustFederation Trust
17
EvoluciónUnificar los servicios
AuthorizationManager
Servicios de Directorio
RMSCertificateServices IIFPADFS
Arquitectura, política y gestión unificada
18
Metasistema de Gestión de Identidad
Aceptamos
GRAN BAZAR
19
Las Leyes de Identidad
1. User control and consent
2. Minimal disclosure for a defined use
3. Justifiable parties
4. Directional identity
5. Pluralism of operators and technologies
6. Human integration
7. Consistent experience across contexts
www.identityblog.com
20
Nomenclatura
Aceptamos
GRAN BAZAR
Subject
Security Policy
Relying Party
Validated Token
Identity Selector
Identity Provider
“Managed” Card
21
WS-Trust, WS-MetadataExchange
Arquitectura del Metasistema WS-*
SecurityTokenServer
Kerberos
WS-SecurityPolicy
SAML
SecurityTokenServer
WS-SecurityPolicy
…
ID ProviderID Provider
X.509
ID ProviderID Provider
SubjectSubject
Relying PartyRelying Party Relying PartyRelying Party
Identity Selector
22
InfoCard
Abstracción de la identidad digital Para gestión de colecciones de notificaciones Para gestión de claves
Basado en la representación de tarjetas físicas Self-issued cards: firmadas por el usuario “Managed cards” firmadas por una autoridad externa
Implementado como subsistema de seguridad Interfaz protegido Técnicas Anti-spoofing Almacenamiento encriptado
23
Infocard
Contacto: Mónica Fernández [email protected] 913919442
Más Información…
Referencias: Gestión de identidad: http://www.microsoft.com/windowsserversystem/overview/benefits/access/default.mspx Windows Server 2003 R2: http://www.microsoft.com/windowsserver2003/default.mspx Microsoft Identity Integration Server: http://www.microsoft.com/windowsserversystem/miis2003/default.mspx