javale - open-identitystack

Open Identity StackGestão de Identidade e Acesso de código aberto

para aplicações empresariais modernas

Brainstorming

O que é “Gestão de Identidade e Acesso” ?

Por que “Aplicações Empresariais Modernas” ?

Identidade

• Informações que unicamente descrevem um indivíduo

Nome

CPF

RG

password

sn

cn

Gestão de Identidade

• IdM - Identity Management– Controle do ciclo de vida de uma

“Identidade”–Manutenção dos atributos que

descrevem uma “Identidade”– Controle dos privilégios de uma

“Identidade”

Gestão de Identidade e Acesso

• IAM - Identity Access Management(Gartner IT Glossary)– “is the security discipline that enables the

right individuals to access the right resources at the right times for the right reasons”

– “...addresses the mission-critical need to ensure appropriate access to resources across increasingly heterogeneous technology environments...”

Apl. Empresariais Modernas?

• Ambientes e plataformas heterogêneas

• Crescimento de aplicações em nuvem

• Mídias sociais • Internet das coisas

Problemas

Solução

Open IdentityStack

Open Identity Stack

Open Identity Stack

• OpenAM– Solução para Gerenciamento de acesso– Permite SSO entre aplicações heterogêneas– Modelo não-intrusivo baseado em agentes

• OpenDJ– Serviço de diretório 100% escrito em Java– Implementa protocolo LDAPv3

• OpenIDM– Solução de gerenciamento de identidade– Arquitetura baseada em JSON e REST

• Produto líder de mercado open-source para solução de:– Autenticação de usuário e Single Sign ON;– Autorização de acesso a recursos web;– Direitos de Acesso de usuários a aplicações;– Federação utilizando padrão SAML.– Segurança em WebServices seguindo as

especificações WSSecutiry e WSTrust.– Oauth 2– ...

• Funcionalidades em Destaque:– Solução open source completa para

AAA;– Arquitetura leve e a maior

compatibilidade com Servidores do mercado;

– 100% Java, possibilitando instalação em qualquer plataforma de HW e SO que suportem Java SE e Java EE.

LDAP(OpenDJ)Intranet Domain

OpenAMdeployment

JEE Agent

Web AgentSpring Security

Provider

- API de acesso - REST Service - WebService

Apache Proxy

DMz

Federação(circulo de confiança )

SAML

OpenFM Java

OpenFM .NET

OpenFM PHPoutros

OpenIG

• Agentes–Padrão Authentication Enforcer• Mecanismo central que executa a autenticação dos usuários• Autenticação não intrusiva

– Padrão Authorization Enforcer• Ponto central de autorização• Encapsulamento dos detalhes da autorização

• Agente J2EE–Baseado em JAAS–Dois componentes principais• Agent Filter: Servlet Listener, configurado no web.xml da aplicação• Agent Realm: Instalado no servidor de aplicação “cliente”, interage com Principals armazenados no servidor OpenAM

• Agente J2EE<filter> <filter-name>Agent</filter-name> <filter-class> com.sun.identity.agents.filter.AmAgentFilter </filter-class></filter><filter-mapping> <filter-name>Agent</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> <dispatcher>INCLUDE</dispatcher> <dispatcher>FORWARD</dispatcher> <dispatcher>ERROR</dispatcher></filter-mapping>

• Agente J2EE

<servlet> <display-name>SecurityAwareServlet</display-name> <servlet-name>SecurityAwareServlet</servlet-name> <servlet-class> com.sun.identity.agents.sample.SecurityAwareServlet </servlet-class> <security-role-ref> <role-name>MANAGER_ROLE</role-name> <role-link> id=manager,ou=group,dc=opensso,dc=java,dc=net </role-link> </security-role-ref></servlet>

• Suporte a múltiplos fatores e cadeias de autenticação– Token baseado em HOTP (HMAC-based

One Time Password algorithm) baseado na especificação IETF RFC 4226

– SecureID e SafeWorld– Certificado Digital– ...

• Federação

• Federação– Fedlet • Aplicação WAR com algumas bibliotecas e metadados que encapsula a implementação do protocolo SAML• Pode ser utilizado em aplicações dos provedores de serviços• Possui implementação para Java, .NET e PHP• Console OpenAM gera Fedlet para Java

• Implementa solução de diretório LDAP v3.0

• 100% Java e open source, originou do projeto OpenDS da Sun Microsystems– Desempenho– Escalabilidade– Alta Disponibilidade– Segurança

• Solução Open Source mais completa.

• Principais Funcionalidades– Fácil Instalação e Manutenção– Pode ser instalado em qualquer

plataforma que suporte Java SE 5.0 ou superior

– Suporta modelo multi-master replica

• Única solução open source de IDM do Mercado:– Sincronização– Reconciliação– Aprovisionamento

• OpenICF – Identity Connector Framework– Padrão aberto para implementação de

conectores

Onde encontrar ?

• http://forgerock.com• http://forgerock.org

Rogério A. RondiniRogerio.rondini@smartsw.com.br

Rarondini@gmail.com