Parece ser que una de las medidas de ahorro más extendidas es la fusión de entidades. No entraremos en si la medida verdaderamente ahorra o es sólo una apariencia. Lo que si abordaremos es cómo adAS puede ayudar a esa fusión y verdaderamente ahorrar quebraderos de cabeza.
Pongamos como ejemplo dos organizaciones, A y B, que deben fusionarse, creando C. Cada una de ellas con sendos departamentos TIC, por lo que se deberán tener en cuenta esas infraestructuras existentes. La organización A cuenta con sus usuarios (internos y externos) y una lista de aplicaciones determinadas. Ídem para B. Con la fusión aparecerán nuevas aplicaciones, otras podrán ser eliminadas y algunas esperarán la obsolescencia. Y según que tipo de identidad digital tenga cada una de las organizaciones y cual será la meta a conseguir en C, veremos que sucederá con los usuarios.
Por lo tanto, a priori vemos 4 posibilidades a tener en cuenta con la infraestructura:
- A migra hacia la infraestructura B
- B migra hacia la infraestructura A
- Aparece una nueva infraestructura, por lo que se migra A y B o se crea todo de cero
- Subsisten ambos sistemas (los usuarios de A se dan en alta en los sistemas de B y al revés) y tal vez uno nuevo para ir migrando “poco a poco” y que abarcará nuevos usuarios y aplicaciones
Si debido a la fusión es necesario que la organización C tenga identidad por sí sóla, es inviable que siga tiendo fuerza corporativa A y B aunque únicamente sea a nivel interno. El personal y los usuarios externos deben acceder a cualquier aplicación bajo la nueva unidad corporativa.
Sea cual sea la vía elegida, o incluso para vías fuera de esta pequeña lista, adAS ayuda desde el primer minuto a mostrar de forma interna y externa la realización de la fusión. De forma fácil y ágil se contará con una única identidad corporativa que permitirá a usuarios existentes, sea cual sea la entidad origen, y a nuevos usuarios, autenticarse a las aplicaciones que ahora forman parte de la nueva organización.
De esta forma, cualquier cambio TIC no perjudicará a ralentizar la viabilidad y realidad de la fusión: es posible la utilización de los directorios corporativos y/o bases de datos de identidad digital existentes de las entidades origen. En tiempo real, y de forma transparente, el usuario podrá autenticarse con las mismas credenciales de siempre pero será un usuario de la nueva entidad.
La experiencia de PRiSE permitirá una implantación de adAS en el sistema elegido, utilizando la infraestructura existente, analizando toda posible migración y resolviendo posibles usuarios repetidos tras la unión de ambas organizaciones.
Contáctanos para tener más información de los diferentes escenarios posibles y te ayudaremos a plantear la nueva identidad digital corporativa de tus usuarios necesaria para cualquier fusión. Accede a más información de adAS en: http://www.adas-sso.com
En anteriores posts comentábamos como los escenarios de Single Sign-On con autenticación delegada nos originaban la necesidad de decidir la fiabilidad de los métodos de autenticación; no puede ser igual de fiable acceder a una aplicación mediante un login en Facebook a tener que autenticarte mediante un certificado electrónico.
Para poder ordenar y clasificar el tipo de confianza que se le dan a los sistemas de autenticación existen los LoAs (Levels of Assurance) o Niveles de confianza.
Los LoAs son los niveles de confianza de la autenticación en un sistema. Estos pueden ser asignados según distintos perfiles, los cuales serán personalizados para cada organización.
Para poder diseñar su propio perfil es necesario definir tres elementos principales:
- Definir los niveles de fiabilidad que vamos a tener en el sistema. Por ejemplo, Nivel de fiabilidad Alto, Medio y Bajo.
- Asignar a cada método de autenticación de tu organización un nivel de fiabilidad. Por ejemplo, Autenticación por Facebook sería Nivel de fiabilidad Bajo, Autenticación por Usuario y Contraseña Nivel Medio y por DNI electrónico, Nivel Alto.
- Asignar a cada aplicación integrada en tu Single Sign-On un nivel de fiabilidad. Por ejemplo, el blog de la organización sería Nivel de fiabilidad Bajo, la aplicación de docencia virtual, Nivel Medio y la aplicación de nóminas, Nivel Alto.
Una vez definido el modelo, es necesario aplicarlo en tu Single Sign-On. El producto de Single Sign-On de PRiSE, adAS, tiene la característica integrada de poder gestionar los niveles de confianza de tu organización, pudiendo definir tu propio perfil de confianza, asignando a aplicaciones y métodos de autenticación el nivel que la organización haya establecido.
Si necesita ayuda para saber como diseñar un sistema con Niveles de Confianza o quiere saber más acerca de como adAS permite implantar este tipo de sistemas en su organización, contacte con nosotros.
Recientemente nuestros clientes están disfrutando de la integración de Alfresco en su Single Sign-On basado en adAS.
¿Qué es Alfresco?
Alfresco es una plataforma de contenido que permite almacenar y compartir documentos de toda una organización. En su versión 4, la aplicación base se re-bautiza como Alfresco Explorer donde su arquitectura evoluciona de manera que puedan existir además aplicaciones adicionales que aprovechen el motor de este gestor documental.
Como ejemplo encontramos Alfresco Share, cuya función está cercana a la de un gestor de contenidos (CMS), y que aprovecha tanto la API de Alfresco como su arquitectura de identidad digital.
¿Cómo se integra en adAS?
El equipo técnico de PRiSE ha desarrollado un módulo de autenticación externa para Alfresco que permite realizar la autenticación del usuario en adAS. Para la interoperabilidad entre Alfresco y adAS se ha utilizado el protocolo CAS, ya que era el que mejor se adaptaba a la arquitectura de autenticación de Alfresco.
Como comentábamos antes, la autenticación del usuario la realiza siempre el motor de Alfresco, mientras que las aplicaciones adicionales, como Alfresco Share, aunque se encargan de obtener las credenciales del usuario (nombre de usuario y contraseña) delegan en Explorer validar si son correctas o no.
Este modelo encaja perfectamente con la versión 2 del protocolo CAS, puesto que éste permite que las aplicaciones pidan tickets de proxy para terceras, por lo que en un modelo basado en CAS, Alfresco Share pedirá un ticket de Proxy para Alfresco Explorer y éste, con la información que recibe de adAS, autenticará al usuario tanto en Explorer como en Share.
El módulo que ofrecemos a nuestros clientes permite además crear cuentas automáticamente en Alfresco en el caso de que no existiera previamente. Esto es posible gracias a que adAS enviaría atributos con la siguiente información:
- Correo electrónico
- Nombre
- Apellidos
¿Y si no tengo un Single Sign-On?
La integración de Alfresco con adAS ofrece muchas ventajas incluso aunque no se disponga (o no necesitemos) un Single Sign-On. Al delegar en adAS el proceso de autenticar al usuario, automáticamente se pueden ofrecer las siguientes características adicionales a Alfresco:
- Autenticación con DNI-e o cualquier otro certificado digital, como la FNMT o CATCert.
- Autorización basada en atributos (ABAC), decidiendo quién puede acceder a Alfresco en función de la información que disponemos del usuario.
- Auditoría de la autenticación y autorización, gracias a que adAS permite generar informes de quién se ha autenticado en el sistema y a qué aplicaciones ha accedido.
- Estadísticas de acceso a Alfresco.
Contacta con nosotros si quieres recibir más información de cómo integrar Alfresco en adAS.
En otras entradas hemos comentado como adAS permite la adaptación al Esquema Nacional de Seguridad (ENS). En este artículo vamos a comentar en qué aspectos adAS facilita la adopción de esta normativa.
El ENS tiene como objetivo establecer los principios básicos que permitan proteger de forma adecuada la información y los servicios en los sistemas que tratan información de las Administraciones Públicas
adAS facilita la adopción de estos principios básicos mediante la implementación de medidas de seguridad específicas.
Artículo 7. Prevención, reacción y recuperación: La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre el mismo no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan.
Artículo 24. Incidentes de seguridad: 1. Se establecerá un sistema de detección y reacción frente a código dañino. 2. Se registrarán los incidentes de seguridad que se produzcan y las acciones de tratamiento que se sigan. Estos registros se emplearán para la mejora continua de la seguridad del sistema.
Para la adopción de estos dos artículos, adAS ofrece un sistema de eventos que identifican ataques o comportamientos anómalos en el proceso de autenticación, dando la posibilidad de bloquear al usuario y/o dirección IP. Este sistema registra los eventos anómalos y los bloqueos automáticos realizados, así como avisa al administrador del Single Sign-On cuando se produce alguna situación crítica. Además de este sistema de eventos, se ofrece un interfaz de visualización de actividad del SSO que permite obtener una imagen fiel en todo momento de lo que está ocurriendo en el sistema.
Artículo 8. Líneas de defensa: El sistema ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuesta de forma que, cuando una de las capas falle, permita: a) Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse. b) Reducir la probabilidad de que el sistema sea comprometido en su conjunto. c) Minimizar el impacto final sobre el mismo.
adAS forma parte de una de estas líneas de defensa, la cual debidamente protegida y asegurada mediante sistemas de alta disponibilidad, utilización de certificados y otros sistemas de seguridad, permiten una defensa activa de la puerta de entrada a la organización.
Artículo 16. Autorización y control de los accesos: El acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas.
adAS, al ser un Single Sign-On permite el control de acceso a las aplicaciones de una organización. Gracias a características extras implementadas en adAS como los Niveles de Confianza (LoAs) o la inclusión de Políticas de Autorización es posible incluir en las ventajas de un SSO otros elementos que lo complementan y permiten un control de grado más fino en la autenticación y autorización de los usuarios para acceder a los recursos protegidos. De esta forma, solo los usuarios con permisos adecuados podrán acceder a las aplicaciones que les corresponden.
Artículo 21. Protección de información almacenada y en tránsito: la estructura y organización de la seguridad del sistema, se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros.
La información en tránsito que es tratada por adAS se transfiere mediante protocolos de seguridad. Estos protocolos permiten el cifrado y firmado de la información de los usuarios, estableciendo una comunicación segura y fiable entre el Single Sign-On y las aplicaciones que solicitan la autenticación de los usuarios.
Artículo 23. Registro de actividad Con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real decreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
Esta capacidad se produce gracias a la sección de Auditoría implementada en adAS, la cual permite al administrador del sistema poder monitorizar y analizar los accesos y autenticaciones realizados por los usuarios en cualquier periodo de tiempo.