WSO2 Identity Server

Roger Carhuatoctov 1.0

2015.06

1. WSO2 Identity Server (WSO2 IS)

El ecosistema de productos WSO2 está soportado sobre unasuite que permite el manejo de diversos escenarios para lagestión de identidades y procesos de autorización yautenticación.

Dentro del ecosistema WSO2 existe un producto denominadoIdentity Server que cumple con todos los requerimientos deseguridad existente en la gran mayoría de los Sistemas deInformación.

2. WSO2 IS - Características

• WSO2 Identity Server proporciona gestión de identidades paraaplicaciones web, servicios y Apis.

• Identity Server actúa como un Bus Empresarial de Identidad(BEI), una red troncal centralizada para conectar y gestionarmúltiples identidades.

• Soporta múltiples User Store.

• Soporta los estándares XACML 2.0/3.0 y SAML.

• Soporta control de acceso basado en roles (RBAC).

• Permite el control de políticas de acceso y derechos medianteinterfaces de usuario.

• Proporciona un Api de servicios para la gestión de identidadesque puede ser utilizado por aplicaciones.

• Soporta Single Sign-On (SSO) via OpenID, SAML2, y KerberosKDC.

• Provee servicios de delegación vía OAuth 1.0a, OAuth 2.0, yWS-Trust

3. WSO2 IS - Características

• Soporta Federación vía OpenID, SAML2, y WS-Trust STS.

• Soporta políticas de control de acceso fino via XACML.

• Implementa seguridad sobre servicios REST con OAuth 2.0 yXACML.

• Permite despliegues en HA y Dockerizados.

• Integrado con WSO2 Enterprise Service Bus paraautorización y todos los productos WSO2 Carbon.

• Políticas de validación/expiración de passwords.

• Recuperación de cuentas vía email.

• Preguntas secretas.

4. WSO2 IS – Conjunto de componentes Open Source

• WSO2 Carbon

• Apache Axis2 (SOAP)

• Apache Axiom (High performance XML Object Model)

• Apache Rampart/Apache WSS4J (WS-Security, WS-SecureConversation)

• Apache Rahas (WS-Trust)

• WS-Addressing implementation in Axis2

• Apache Neethi (WS-Policy)

• WS-SecurityPolicy implementation in Axis2

• Apache XML Schema

• OpenID4Java

• SunXACML

• OpenSAML2

• Apache Directory Server

• Apache Oltu

5. WSO2 IS – Arquitectura interna

6. WSO2 IS – Ejemplo de arquitectura donde es usado

7. WSO2 IS – Ejemplo de cómo es usado

*

*

*

Federated UserManagement

APP 2

APP 1Identity Management

(Virtual Directory)

SE

CU

RIT

Y

(WSO2 IS)

AP

I (p

rovis

ionin

g)

UserA

dm

inS

OA

P

*

APP 3

#1 Gestión de Identidades (Aprovisionamiento)

7. WSO2 IS – Ejemplo de cómo es usado

#2 Bring Your Own ID (BYOID): Social Login

**

*

*

Federated UserManagement

APP 2

(ERP, CRM, …)

APP 1

(Mobile App)

Identity Management

(Virtual Directory)

SE

CU

RIT

Y

(WSO2 IS)

Facebook

Travelocity.COM

(Adhoc WebApp)

LinkedIn

SAML

OAuth

7. WSO2 IS – Ejemplo de cómo es usado

#3 Autenticación y Autorización en APIs

Existing Business Applications

ESB

*

*

Federated UserManagement

API

Identity Management

(Virtual Directory)

SE

CU

RIT

Y

1

(WSO2 IS)

3

2

WS-SECURITY

JWT (JSon Web Token)

OAUTH

USER TOKEN

ERP CRM MS Oracle IBM SAP

4

8. WSO2 IS – Beneficios

• Permite la conformación de un proveedor único de identidad para laautenticación y autorización.

• Se fomenta la utilización de un sistema basado en el reconocimiento,eliminando por completo el modelo de nombre de usuario / contraseña.

• Elimina el riesgo creado a partir de múltiples nombres de usuario ycontraseñas.

• Soporta los estándares para el inicio de sesión único como (SSO):OpenID, OAuth, SAML2 y Kerberos.

• Se fomenta el uso de autenticación basada en tokens y certificados.

• Soporte de federación, en la cual las instituciones del Ecuador puedenabrir sus servicios de autenticación y autorización de forma segurautilizando protocolos como SAML2, OpenID, OAuth, Seguridad TokenService (STS) e InfoCards.

• Soporta la delegación de Identidad mediante OAuth.

• Soporta políticas de autorización mediante los tipos de control de accesobasado en roles y atributos.

• Soporte del estándar de facto para la autorización XACML mediante dosasistentes de políticas.

10. WSO2 IS – Recomendaciones (1/2)

• Utilizar una estrategia de implementación soportada por Role-BasedAccess Control (RBAC) en conjunto con el estándar XACML. Ambossistemas son gestionados por el WSO2 Identity Server.

• Utilizar el estándar XACML para proporcionar políticas de autorización degrano fino, la cual incluye servicios de administración de políticas deautorización, de intercepción, evaluación e información de solicitudes.

• Utilizar el estándar XACML sobre los protocolos OpenID, SAML2 oKerberos.

• Conformar un API transversal de servicios que estandarice laadministración de servicios de autenticación y autorización en el estadodel Ecuador mediante un middleware de soluciones WSO2 Open Sourcesólido, ágil y pragmático.

• Utilizar un modelo de políticas de acceso a recursos dinámico, flexible ybasado en la web para autenticación y autorización basado en WSO2 IS.

• Interoperar con el Bus de Servicios de la Organización.

• Utilizar las interfases ya disponibles en WSO2 IS para soportar losrequerimientos de control de políticas y roles.

10. WSO2 IS – Recomendaciones (2/2)

• De cara a abordar el Proyecto desde una visión global, considerarsiempre que los Proyectos de Gestión de Identidades son Proyectos de“INTEGRACIÓN” donde las funcionalidades relacionadas a la IdM debenser expuestas como “APIs” para distintos “CANALES”, donde el uso y lasalud de la plataforma debe ser “MONITORIZADO” para tomar lasmejores decisiones basado en “MÉTRICAS”. Esto se traduce en:

• INTEGRACIÓN

• Uso como un Hub de Integración de diferentes fuentes de datos de identidades (Credencialesprovenientes de las redes sociales, Certificados digitales (X.509), DNI Eletrónico, BDs deUsuarios, Servidores LDAP existentes, etc.

• SCIM como Interfase estándar para gestionar el ciclo de vida de las identidades “consolidadas”.

• CANALES

• Servicios de Gestión de Identidades para WebApps

• Servicios de Gestión de Identidades para dispositivos móviles

• Servicios de Gestión de Identidades para comunicación entre Organismos Públicos (B2B)

• MONITORIZADO

• Conocimiento en tiempo real de lo que está pasando en la plataforma.

• MÉTRICAS

• Cuadro de Mandos (Dashboard) con los indicadores (KPI) más relevamente para el soporte atoma de decisiones.

11. WSO2 IS – Casos de Éxito y Referencias

• http://wso2.com/casestudies/elm-manages-identities-of-4-million-government-program-users-with-wso2-identity-server/

• http://wso2.com/about/news/wso2-awarded-kuppingercole-european-identity-award-2011-in-cloud-provider-offerings-category/

• http://wso2.com/library/webinars/2012/01/the-wso2-identity-server-an-answer-to-your-common-dilemmas-xacml-delimmas/

• Caso de éxito (PDVSA):

• http://chakray.com/gestion-de-identidades-en-aplicaciones-web

• Prueba de concepto Chakray (Consolidación de Identidades con Virtual Directory):

• http://www.slideshare.net/rcarhuatocto/chakraycom-enterprise-security-and-iam-with-wso2is-and-penrose

• Prueba de concepto Chakray (Portuno IdM)

• http://www.slideshare.net/Chakray/chakray-enterprisesecuritysoiportunoidm

• Prueba de concepto Chakray (WSO2 como API de Servicios de Certificados Digitales X.509 y Firma Digital)

• http://www.slideshare.net/rcarhuatocto/wso2-con2013-soacryptorcarhuatoctorev2

• Webinars:

• WSO2 API Management, Mayo del 2015, por Jack Rider

• WSO2 Identity Server, Junio del 2015, por Roger Carhuatocto

www.linkedin.com/company/chakray-consulting

@Chakray_com

www.chakray.com

“Haciendo bien las cosas, con la Tecnología adecuadapara el Soporte al Negocio”