1. Workshop Segurança JEE

3. Conceitos segurança JEE

4. Desenvolvendo: RAD

5. Implementação, testes

6. Demo

7. Java Authorization Contract for Containers JACC

8. Demo

9. Infraestrutura

12. Performance

14. Os aplicativos são implantados com vulnerabilidades

15. Configurações de baixa segurança expõem as empresas à perdas de negócios

16. Os requisitos regulatórios de PCI exigem a segurança de aplicativo

18. Assessora e monitora conformidade da política de segurança em toda a empresa

19. Melhora a conformidade com as normas do setor e exigências regulatórias (por exemplo PCI)

20. Melhora a capacidade de integrar aplicativos críticos do negócio

22. Impacto no ciclo de desenvolvimento da aplicação

23. Limitação dos componentes desenvolvido internamente

24. Custo e prazo de atualização dos componentes

25. Modelo de autorização relativamente complicado

26. Falta de auditoria

27. Usar solução de mercado

28. Velocidade na colocação de novas aplicações

29. Aumentar controle de acesso – Diminuir falhas

30. Transparente para as aplicações

31. Auditoria de acesso

33. Arquitetura lógica Web Container WebSEAL Autorização Servidor Políticas EJB Container

34. Conceitos de Segurança JEE

39. Obter os roles atribuídos a esse usuário/grupo NÃO Lista de papeis Acesso negado

40. Mapeamento Application Deployment Descriptor Grupo  Mapeamento usuários Usuário Recurso  Mapeamento Role Usuário Usuário Usuário Usuário Role Metodo EJB Role Grupo URI Web Grupo Usuário Role  Mapeamento Principal Definido pelo programador da aplicação Definido pelo instalador da aplicação

41. Mapeamento Processos (antigo-novo) Cadastrar papelRU 2 ETrust Papel RA Permissão Papel RU 4 5 6 Cadastrar usuário Associar Papel RU ao usuário 1 Cadastrar permissão com descritor da aplicação Cadastrar papel RA e associar permissão Associar papel RA e papel RU 3 Usuário GerenciadorLDAP sincronização Colocar usuário no grupo RAD-Security Editor Deploy-script Role JEE Recurso JEE Grupo RU

42. Implementando a Segurança JEE

46. Segurança WEB Editor de segurança do RAD: Restringir o acesso a páginas Web com segurança declarativa

48. O elemento <auth-constraint> define quais são os roles necessários para acessar esse conjunto de recursos Web.

50. Configurar roles do EAR e mapeamento de roles - 1 Próximo slide

51. Configurar roles do EAR e mapeamento de roles - 2

52. Teste da segurança declarativa EJB com JUnit

53. Código para segurança System.setProperty("com.ibm.SSL.ConfigURL", propDir +"ssl.client.props"); System.setProperty("java.security.auth.login.config", propDir +"wsjaas_client.conf"); System.setProperty("com.ibm.CORBA.ConfigURL",propDir +"sas.client.props"); Definir SSL, JAAS e SAS (Secure Authentication Services) Propriedades necessárias para acessar o servidor ctx.lookup(""); Conectar ao Contexto inicial para carregar o Realm default e carregar as informações necessárias ao Security Server LoginContext lc = new LoginContext("WSLogin", new WSCallbackHandlerImpl("DNARMSTRONG", "xxxxxxxx")); lc.login(); final Subject subject = lc.getSubject(); System.out.println("subject=" + subject.toString()); WSSubject.setRunAsSubject(subject); Criar o contexto do login, fazer o login, e colocar o usuário autenticado como o usuário default para este thread de execução

54. Teste de segurançaem EJB

55. Teste a segurança declarativa EJB com Universal Test Client (UTC)

56. Teste da segurança declarativa Web Mapeamento

57. Teste da segurança declarativa Webcom o usuário DGADAMS

58. Testar o acesso com o usuário DNARMSTRONG

59. Implementar segurança programática numa página Web <h:outputTextvalue="ROLES: "/> <h:outputTextvalue="EDITOR"rendered="#{rich:isUserInRole('EDITOR')}"/> <h:outputTextvalue="LEITOR"rendered="#{rich:isUserInRole('LEITOR')}"/> <h:outputTextvalue="DIRETOR"rendered="#{rich:isUserInRole('DIRETOR')}"/> <h:outputTextvalue="GERENTE"rendered="#{rich:isUserInRole('GERENTE')}"/>

60. DEMO

61. Java Authorization Contract for Containers JACC

63. JACC define as classes de permissão para os ContainersEJB e Web

66. All Authenticated – role mapeado para All Authenticatedé atribuido a qualquer usuário autenticado

68. TAM é o provedor default JACC para WebSphere

69. O cliente TAM pode ser configurado usando scripts ou a console de administração

71. Provedor TAM JACCConfiguração - 2 Aceitartodos osDefaults Próximo slide

72. Provedor TAM JACCConfiguração - 3 Servidor Politicas Servidor Autorização Porta usado para escutar as atualizações da base de Politicas Criado durante a configuração da Segurança WAS

73. Provedor TAM JACCMapeamento Role para Principal

74. Habilitar a segurança das aplicações Java EE

75. DEMO

76. Infraestrutura

77. Integração com Portal LDAP Portal Legado App-Legado WebSEAL Vignette App-Arq3.0 TAM

78. Modelo antigo-novo Usuário PapelRA F0104158 RARHUFuncionario prhucontroleponto prhuconsultahol RUPSGFuncionario RUPSGColaborador PapelRU Permissão RUPSGFuncionario prhucontroleponto RARHUFuncionario RASYSFuncionario prhuregistrarponto prhuiniciarweb RUPSGFuncionario ROLE_RHUPontoApp Mesma URL F0104158 F3400321 /rhuapp/registrarponto.do /rhuapp/consultalista.do Grupo RUPSGColaborador ROLE_RHUPontoApp RoleJEE F0104158 F3400321 RUPSGFuncionario RUPSGColaborador

79. Configuração TAM: grupo Referência para grupo LDAP

80. Configuração TAM: user Referência para usuário LDAP

82. Configuração servidores li450 li413 li412 TAM TAM Web SEAL Web SEAL Dmgr Authorization Server Authorization Server Catalog Server Catalog Server WAS-Cluster Session Manager Session Manager WAS-Cluster Policy Server Policy Server RHEL-luci TSPM TSPM Dmgr TSPM TSPM WAS-Cluster DB2 DB2 DB2-Cluster TIP TIP

83. Introdução a Segurança Web Services

85. XML é onipresente – Em alguns anos, XML estará em qualquer aplicação, equipamento e documento presente nas redes das empresas.

86. Desafios do XML

87. XML é muito ‘falante’

88. XML precisa de muito banda.

89. Tem um impacto direito sobre a performance do servidor de aplicação.

90. O processamento XML precisa de um número significativos de ciclos de processador e de recursos de memória.

91. XML é um texto efetivamente legível por humano

92. Não tem mecanismo nativo de segurança.

93. Fácil de entender e vulnerável a intercepção.

94. A segurança pode ser implementada no servidor de aplicação, mas é um processamento adicional e aumenta o problema de performance.

95. SOA não é somente Web Services e XML

96. Empresas precisam integrar sistemas legados, formatos de mensagens e protocolos numa arquitetura SOA.

98. Como? – transferindo o processamento do XML do servidor de aplicação para o hardware otimizado do DataPower.

99. Por conseqüência, reduzindo o número necessário de servidores de aplicação

100. Segurança XML

101. Como? – transferindo a segurança XML para o DataPower

102. Fornece a segurança padronizada – WS Security

103. Integração XML e sistemas legados

104. Como ? – usando DataPower para transformar XML em formato e protocolo legados de mensagem:

105. XML -> HMTL (renderiza conteúdo HTML para Portal)

106. XML <-> Mensagem MQ

108. Integração

109. Roteamento

110. Ameaças XML

111. Controle Acesso

112. SLACliente

113. Exposição seletiva

114. XSLT Processor XG3 or XG4 WebSphere DataPower XI50 Crypto Processor 2 x 160 GB HDD 4GB RAM 512MB Flash Memory 512MB Flash Memory Serial Port 4 x 10/100/1000 Ethernet Ports

115. Referência Portonet: Home > Departamentos > Informática - Arquitetura de TI > Arquitetura de Software > DocumentosPadrão de Arquitetura de Segurança Java.pdf Contatos: jose.cardoso@escalainfo.com.br philippe.guillaume@portoseguro.com.br

116. Obrigado