Charla impartida por César Moro de la empresa Quest Software, en el evento "Asegura IT Camp2" que tuvo lugar los días 22, 23 y 24 de Octubre de 2010 en El Escorial.

1. © 2009 Quest Software, Inc. ALL RIGHTS RESERVED
Asegur@IT: ¿Tú identidad está a salvo?
Simplificando la Gestión de Identidades

2. 2
¿Tienes múltiples identidades?
• La mayoría de la gente tiene varias identidades
• No es fácil poder gestionarlas todas sin que alguna se
ponga en riesgo

3. 3
El Complicado Mundo de las Identidades
BlackBird
Laptops
Sala X

4. 4
Vulnerabilidades en la Gestión de Identidades
• Un exceso de identidades, puede suponer el olvido de usuarios y
contraseñas, o que estén expuestos a descuidos (apuntar la contraseña,
etc…)
• Distintos entornos pueden suponer distintas políticas de contraseñas
• La suplantación de la identidad es una tarea más sencilla

5. 5
¿Qué es la gestión de accesos e identidades?
• ¿Se trata de autenticación?
• ¿Se trata de autorización?
• ¿Es un aprovisionamiento?
• ¿Es una gestión de contraseñas?
• ¿Es un single sign-on?
• ¿Es algo relacionado con auditoria y
normativas?
• ¿Es una sincronización de contraseñas?
• ¿Es posible lograrlo verdaderamente?
¡Es todo lo anterior!

6. 6
Definición de Gestión de Identidades
• define la gestión de identidades como algo que “te
permite integrar, gestionar y controlar la información distribuida de
las identidades, para poder otorgar los permisos apropiados a la
gente adecuada, en cualquier momento y en cualquier lugar”.
• define la gestión de identidades como:
combinación de “procesos, tecnologías y políticas para gestionar
las identidades digitales y especificar cómo son usadas para
acceder a los recursos.”

7. 7
Definición de Gestión de Identidades
• Administrador: “Además, la
organización es capaz de trabajar de
forma efectiva como una solución, por
lo que la monitorización, la auditoría y
la realización de informes es
fácilmente realizable.”
• Usuario Final: “La organización sabe
quien soy y cual es mi rol, y basándose
en esa información, automatiza mi
acceso a los recursos. Esto me permite
acceder a todo lo que necesito y así
realizar mi trabajo en muy poco
tiempo.”

8. 8
El estado de la Empresa

9. 9
¿Qué podemos hacer para simplificar el entorno?
• ¿De dónde surge esta complejidad?
– Muchos sistemas heterogéneos
– Muchas aplicaciones
– Muchas y diversas:
• Infraestructuras de autenticación
• Infraestructuras de autorización
• Políticas e interfaces de administración
• ¿Cuantos Directorios diferentes existen?
• ¿Cuantos login de inicio de sesión tiene?
• ¿Cuál es el esfuerzo de administrar este escenario?
• ¿Se puede certificar que el entorno es seguro y cumple
con todas las normativas?

10. 10
Solución… Get to One!
• Consolidar todo lo posible en el Directorio Activo
– Eliminando otros directorios
– Unificando la identidad
• Extender lo máximo el Directorio Activo
– Autenticación Kerberos contra Windows
– Enterprise Single Sign-On
– Administración centralizada en un único punto
• Utilizar el Directorio Activo como un repositorio autoritativo
para
– Todos los sistemas
– Todas las aplicaciones
– Roles, reglas y políticas
– Aunque no es posible integrar todo en el Directorio Activo…

11. 11
QUEREMOSUNIFICAR LAS IDENTIDADES!!!
RESUMIENDO…
=

12. 12
 Los usuarios necesitan tener
acceso a los recursos
 Deben poseer los minimos
privilegios posibles
 Se debe minimizar la utilización de
cuentas como Admin y Root
 Provisión, reprovisión y deprovisión
de usuarios
 Creación de reglas y workflows
 Definición y aplicación de politicas de
acceso
 Control de la actividad
 Control de cambios
 Notificación en tiempo real de
eventos críticos
 Análisis del nivel de cumplimiento
 Separación de las funciones de
auditoría
¿Qué problemas podemos solventar?
 Cada Sistema y Aplicación requiere un User
ID y una password
 Cada acceso debe ser controlado
 En algunos entornos puede ser
necesaria una autenticación más
segura

13. 13
Secure. Efficient. Compliant.
Quest One utiliza el Directorio Activo
para consolidar la identidad, garantizar
la seguridad y simplificar la gestión de
normativas y regulaciones

14. 14
Gestión de Contraseñas
Provisionamiento
Gestión de Accesos UNIX/Linux
Integración con Microsoft ILM 2007/FIM 2010
Consolidar la identidad
Tareas de Autogestión Lotus
UNIX/Linux en Active Directory
Group Policy y Microsoft SCCM
Java/J2EE Single Sign-On
Sync con Directorios & Mainframe
Gestión del Lifecycle y
Administración de la actividad operative
Gestión automatizada de accesos y delegación
Provisioning/de-provisioning para AD, AD LDS
Sync bi-direccional con Data Sources
Gestión de la password para AD/AD LDS
Autenticación basada en Q&A
Estensión de la GINA opcional
Autonomía para modificar la propia cuenta
y la password
Auditoría de las operaciones sobre UNIX/Linux
Log de la sesión del usuario
Control de la actividad anómala
Definición de politicas operativas (QuéCosa/Dónde/Cuando)
Meta Directory Services
para Directorios, Applicaciones y Bases
de datos

15. 15
IAM FRAMEWORK / METADIRECTORY
La solución: Quest One

16. 16
El Objetivo
 Reforzar la autenticación con Kerberos
 Reforzar las políticas de password
 Definir los accesos basados en roles
 Combinar SSO con autenticación fuerte
basada en el standard OATH
 Control de accesos eficiente
 Definir políticas de gestión de Password y autenticación fuerte
 Implementare la “separación de funciones”
 Confirmar el cumplimiento de normativas a través de auditorías,
informes y alertas en tiempo real
 Eliminar la necesidad de los
usuarios de recordar múltiples
contraseñas
 Consolidar directorios e
identidades
 Simplificar la administración de
identidades

17. 17
& Privilege Management
Los 7 proyectos en los que Quest puede ayudarte…
ID Provisioning1
User Self Service2
Single Sign-On3
Strong Authentication4/5
Automated Change6
Robust Auditing7
Secure. Efficient. Compliant.

18. 18
Membership
Security
Access Groups
Authoritative
Data Source
(HR/ERP System, Meta-Directory)
Creación cuenta Exchange
Creación Mailbox
Adjuntar Listas de Distribución
AD LDS/
ADAM
Midrange
AS/400 (iSeries)
Mainframe
z/OS (zSeries)
DB2
Linux
IAM Framework
Creación de la cuenta de AD
Nombre único
Password única
Pertenencia a Grupos
Workflow de
aprobación

19. 19
CreateConfigureInform
65 minutes
Add user to groups
Security and Distribution Groups
10 minutes
Assign administrative permissions 10 minutes
Create user accounts connected systems
Send to metadirectory, Unix/Linux, etc. 10 minutes
Inform the Business
E-mail to IT, Service Desk, Management Facilities, etc.
10 minutes
Automatic
Automatic
Automatic
5 minutes
Automatic
Automatic
Automatic
Automatic
Effort:
Elapse Time:
5 minutes
Hours / Days 5 minutes
Add employee to HR system 5 minutesHR
Create user account in Active Directory
Location, Unique Name, Strong Password Generation
10 minutes
Create Exchange mailbox
Controlled Store Selection, Alias Generation
5 minutes
Create home directory
Location, NTFS permissions, Share permissions
5 minutes
Step Without Rules With Rules

20. 20
Provisiong, re-provisiong y de-provisioning

21. 21
HR System

22. 22

23. 23

24. 24

25. 25

26. 26

27. 27

28. 28

29. 29

30. 30

31. 31

32. 32

33. 33

34. 34
Los 7 proyectos…. paso a paso…
ID Provisioning1
User Self Service2
Secure. Efficient. Compliant.

35. 35
?

36. 36

37. 37

38. 38

39. 39

40. 40

41. 41

42. 42

43. 43

44. 44

45. 45

46. 46

47. 47

48. 48

49. 49

50. 50

51. 51

52. 52

53. 53

54. 54

55. 55

56. 56

57. 57

58. 58

59. 59
ID Provisioning1
User Self Service2
Single Sign-On3
Los 7 proyectos…. paso a paso…
Secure. Efficient. Compliant.

60. 60
• Consolidar y utilizar el Directorio Activo para:
– Windows
– UNIX
– Linux
– Mac OS
– Java
– Aplicacones Kerberos-aware (ex. SAP, Oracle paraUNIX)
– Aplicaciones LDAP-enabled (ex. Siebel)
– Aplicaciones API-enabled (ex. GSSAPI)
– sistemasPAM-aware (ex. DB2)
Single Sign-On en Directorio Activo

61. 61
Esfuerzo para Administradores y Usuarios
• Single Sign-On
– Un ID
– Un Directory
– Un Login
– Una Password
– Gestión simplificada
• Centralizada
• Escalable
• Controlada
• Reportable

62. 62
• Enterprise Single Sign-On para
– Otras aplicaciones (ex. Oracle para Windows)
– Aplicaciones con sistema de autenticación propietario
– Sistemas Legacy (ex. AS/400, RACF)
– Logon de sistemas de terceros (ex. web-based login)
– Client Based
– …
¿y que hacemos con el resto?

63. 63
• Single Sign-On
– Un ID
– Un Directory
– Un Login
– Una Password
– Gestión simplificada
• Centralizada
• Escalable
• Controlada
• Reportable
• ESSO (Logon Automation)
– Múltiples ID´s
– Múltiples Directorios
– Un Login
– Una password
– Gestión compleja
Esfuerzo para Administradores y Usuarios

64. 64

65. 65

66. 66

67. 67

68. 68
GENERAR ZOOM

69. 69

70. 70

71. 71

72. 72

73. 73

74. 74

75. 75

76. 76

77. 77

78. 78

79. 79

80. 80

81. 81

82. 82

83. 83
& Privilege Management
ID Provisioning1
User Self Service2
Single Sign-On3
Strong Authentication4/5
Los 7 proyectos…. paso a paso…
Secure. Efficient. Compliant.

84. 84
HR System

85. 85

86. 86

87. 87

88. 88

89. 89

90. 90

91. 91

92. 92

93. 93

94. 94

95. 95

96. 96

97. 97

98. 98

99. 99

100. 100

101. 101

102. 102

103. 103

104. 104

105. 105

106. 106
HR System

107. 107

108. 108

109. 109

110. 110

111. 111

112. 112

113. 113

114. 114

115. 115

116. 116

117. 117

118. 118

119. 119

120. 120

121. 121
& Privilege Management
ID Provisioning1
User Self Service2
Single Sign-On3
Strong Authentication4/5
Automated Change6
Los 7 proyectos…. paso a paso…
Secure. Efficient. Compliant.

122. 122
HR System

123. 123

124. 124

125. 125

126. 126

127. 127

128. 128

129. 129
& Privilege Management
ID Provisioning1
User Self Service2
Single Sign-On3
Strong Authentication4/5
Automated Change6
Robust Auditing7
Los 7 proyectos…. paso a paso…
Secure. Efficient. Compliant.

130. 130
130
HR System
?

131. 131

132. 132

133. 133

134. 134

135. 135

136. 136

137. 137

138. 138

139. 139

140. 140

141. 141

142. 142

143. 143

144. 144

145. 145

146. 146

147. 147

148. 148

149. 149
& Privilege Management
ID Provisioning1
User Self Service2
Single Sign-On3
Strong Authentication4/5
Automated Change6
Robust Auditing7
Los 7 proyectos…. paso a paso…
Secure. Efficient. Compliant.

150. 150
Quest One Identity Solution permite a las compañías simplificar
la gestión del acceso y las identidades por medio de
• Mejorar la Eficiencia a través de una
administración automatizada de identidades y la
consolidación de una infraestructura de identidades
basada en un despliegue existente de Active
Directory
• Aumentar la Seguridad implementando una
autenticación más fuerte para múltiples sistemas,
incluyendo smart cards y tokens así como
habilitando el control de cuentas con privilegios
• Cumplimiento de Normativas con una auditoría
más fuerte e integrada, informes, herramientas para
forzar el cumplimiento, consolidación de identidades
y dominios para el control de acceso y segregación
de obligaciones

151. 151
Más información sobre Quest One Identity Solution y Quest
Software en las siguientes direcciones:
• Quest One Identity Solution: http://www.quest.com/identity-
management/
• Blog Quest Spain: https://questsoftware.wordpress.com/

152. 152
Muchas Gracias!!
Dudas o consultas a:
cesar.moro@quest.com