O documento descreve o Open Identity Stack, uma solução de código aberto para gestão de identidade e acesso para aplicações empresariais modernas. Ele discute identidade, gestão de identidade, gestão de identidade e acesso, aplicações empresariais modernas e como o Open Identity Stack aborda esses tópicos por meio de produtos como OpenAM, OpenDJ e OpenIDM.

1. Open Identity Stack
Gestão de Identidade e Acesso de código aberto
para aplicações empresariais modernas

2. Brainstorming
O que é “Gestão de Identidade e
Acesso” ?
Por que “Aplicações Empresariais
Modernas” ?

3. Identidade
• Informações que unicamente
descrevem um indivíduo
password
sn
cn
Nome
CPF
RG

4. Gestão de Identidade
• IdM - Identity Management
– Controle do ciclo de vida de uma
“Identidade”
– Manutenção dos atributos que
descrevem uma “Identidade”
– Controle dos privilégios de uma
“Identidade”

5. Gestão de Identidade
e Acesso
• IAM - Identity Access Management
(Gartner IT Glossary)
– “is the security discipline that enables the
right individuals to access the right
resources at the right times for the right
reasons”
– “...addresses the mission-critical need to
ensure appropriate access to resources
across increasingly heterogeneous
technology environments...”

6. Apl. Empresariais
Modernas?
• Ambientes e plataformas
heterogêneas
• Crescimento de aplicações em
nuvem
• Mídias sociais
• Internet das coisas

7. Problemas

8. Solução
Open Identity
Stack

9. Open Identity Stack

10. Open Identity Stack
• OpenAM
– Solução para Gerenciamento de acesso
– Permite SSO entre aplicações heterogêneas
– Modelo não-intrusivo baseado em agentes
• OpenDJ
– Serviço de diretório 100% escrito em Java
– Implementa protocolo LDAPv3
• OpenIDM
– Solução de gerenciamento de identidade
– Arquitetura baseada em JSON e REST

11. • Produto líder de mercado open-source para
solução de:
Autenticação de usuário e Single Sign ON;
Autorização de acesso a recursos web;
Direitos de Acesso de usuários a aplicações;
Federação utilizando padrão SAML.
Segurança em WebServices seguindo as
especificações WSSecutiry e WSTrust.
– Oauth 2
– ...
–
–
–
–
–

12. • Funcionalidades em Destaque:
– Solução open source completa para
AAA;
– Arquitetura leve e a maior
compatibilidade com Servidores do
mercado;
– 100% Java, possibilitando instalação em
qualquer plataforma de HW e SO que
suportem Java SE e Java EE.

13. Intranet Domain
LDAP
(OpenDJ)
Federação
(circulo de confiança )
DMz
- API de acesso
- REST Service
- WebService
OpenFM Java
OpenAM
deployment
SAML
Apache Proxy
JEE Agent
Web Agent
OpenFM .NET
OpenIG
Spring Security
Provider
outros
OpenFM PHP

14. • Agentes
– Padrão Authentication Enforcer
• Mecanismo central que executa a
autenticação dos usuários
• Autenticação não intrusiva
– Padrão Authorization Enforcer
• Ponto central de autorização
• Encapsulamento dos detalhes da
autorização

15. • Agente J2EE
– Baseado em JAAS
– Dois componentes principais
• Agent Filter: Servlet Listener,
configurado no web.xml da aplicação
• Agent Realm: Instalado no servidor
de aplicação “cliente”, interage com
Principals armazenados no servidor
OpenAM

16. • Agente J2EE
<filter>
<filter-name>Agent</filter-name>
<filter-class>
com.sun.identity.agents.filter.AmAgentFilter
</filter-class>
</filter>
<filter-mapping>
<filter-name>Agent</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>INCLUDE</dispatcher>
<dispatcher>FORWARD</dispatcher>
<dispatcher>ERROR</dispatcher>
</filter-mapping>

17. • Agente J2EE
<servlet>
<display-name>SecurityAwareServlet</display-name>
<servlet-name>SecurityAwareServlet</servlet-name>
<servlet-class>
com.sun.identity.agents.sample.SecurityAwareServlet
</servlet-class>
<security-role-ref>
<role-name>MANAGER_ROLE</role-name>
<role-link>
id=manager,ou=group,dc=opensso,dc=java,dc=net
</role-link>
</security-role-ref>
</servlet>

18. • Suporte a múltiplos fatores e cadeias
de autenticação
– Token baseado em HOTP (HMAC-based
One Time Password algorithm) baseado
na especificação IETF RFC 4226
– SecureID e SafeWorld
– Certificado Digital
– ...

19. • Federação

20. • Federação
– Fedlet
• Aplicação WAR com algumas bibliotecas
e metadados que encapsula a
implementação do protocolo SAML
• Pode ser utilizado em aplicações dos
provedores de serviços
• Possui implementação para Java, .NET e
PHP
• Console OpenAM gera Fedlet para Java

21. • Implementa solução de diretório LDAP
v3.0
• 100% Java e open source, originou do
projeto OpenDS da Sun Microsystems
–
–
–
–
Desempenho
Escalabilidade
Alta Disponibilidade
Segurança
• Solução Open Source mais completa.

22. • Principais Funcionalidades
– Fácil Instalação e Manutenção
– Pode ser instalado em qualquer
plataforma que suporte Java SE 5.0 ou
superior
– Suporta modelo multi-master replica

23. • Única solução open source de IDM do
Mercado:
– Sincronização
– Reconciliação
– Aprovisionamento
• OpenICF – Identity Connector Framework
– Padrão aberto para implementação de
conectores

26. Onde encontrar ?
• http://forgerock.com
• http://forgerock.org

27. Rogério A. Rondini
Rogerio.rondini@smartsw.com.br
Rarondini@gmail.com