Single Sign-On: Miquel Trilla

FACULTAT DINFORMTICA DE BARCELONA
Miquel Trilla
Single Sign-On
Contenido de la presentacin
Qu es Single Sign-On (SSO)?
Arquitecturas para un sistema SSO
Situacin actual en la Facultat dInformtica de Barcelona
Conclusiones
Qu es Single Sign-On?
Definicin Single Sign-on (SSO):
Concepto que consiste en la autentificacin nica por parte del

usuario para acceder a sus recursos
La idea es introducir una nica vez el nombre de usuario y

contrasea, sin necesidad de volver introducirlo a la hora de acceder a
nuevos recursos en los que an no se haba autentificado.
Caractersticas:
Multiplataforma: facilita las tareas de inicio de sesin y de

acceso a recursos de red desde distintas plataformas
Transparencia: el acceso a los recursos de sistemas se

efecta de forma transparente al usuario debido a la
automatizacin del inicio de sesin
Facilidad de uso: el usuario se autentifica una nica vez y el

sistema le permite acceder a los recursos para los cuales esta
autorizado. As se evita las interrupciones producidas por la
solicitud de usuario y contrasea para el acceso a diferentes
recursos
Caractersticas:
Gestin sencilla: el uso de SSO aconseja la sincronizacin de

contraseas e informacin de los usuarios. Esto implica la
simplificacin de la gestin de los recursos por parte de los
administradores.
Control de acceso: no se ve afectado por el uso de este

sistema, SSO implica cambiar los mecanismos de
autentificacin del cliente y/o servidor, pero no modifica los
permisos de los recursos.
Seguridad: depende de la arquitectura usada, pero en todos los

casos la informacin viaja cifrada por la red
(SSL, certificados...)
Conclusiones
Arquitecturas SSO Clasificacin
Clasificacin de las arquitecturas SSO:

Simple Basada en Tokens

Autentificacin
Centralizada
Basada en PKIs
SSO
Sincronizacin
de contraseas
Compleja
Cach en
Autentificacin el cliente
Mltiple
Cach en
el servidor
Arquitecturas SSO Solucin simple
Single Sign-On con un nico Servidor de Autentificacin

Primer
Sign-On
Servidor de BD de usuarios
Token
Autentificacin
ID PW
ID PW
ID | PW Confianza Validacin
Intercambio de
Autentificacin Recurso
ID | PW
Etapas en la Solucin Simple:
1. El usuario desea acceder a un recurso. Se le pide un usuario y

una contrasea que son enviados al servidor de
autentificacin.
2. El servidor de autentificacin comprueba la validez de los

datos introducidos, y genera un token de sesin para el cliente.
3. El cliente enva al servidor del recurso que quiere acceder el

token recibido.
Etapas en la Solucin Simple:
4. El servidor del recurso valida este token contra el servidor de

autentificacin (existe una relacin de confianza entre los
recursos y el servidor de autentificacin).
5. Si el token es valido y se dispone de acceso al recurso, el

cliente puede acceder l. En caso contrario, se deniega su
acceso.
6. El usuario desea acceder a un nuevo recurso. De forma

transparente a l, el cliente enva el token al servidor del
recurso, repitiendo las etapas 4 y 5.
Arquitecturas SSO Credencial unica
Single Sign-On basado en el paso de Token

Primer
Sign-On
Autoridad de BD Primaria
Autentificacin
Token Primaria ID PW
Token
ID PW
Temporal
ID | PW
Confianza
Segundo Sign-On
transparente usando Autoridad de
Token Temporal BD Secundaria
Autentificacin
Secundaria
ID | PW
Arquitecturas SSO Basado en token
Etapas en la Solucin basada en Token:
1. El usuario desea acceder a un recurso. Se le pide un usuario y

una contrasea que son enviados al servidor de autentificacin
de ese recurso.
2. El servidor de autentificacin comprueba la validez de los

datos introducidos, y genera un token de sesin para el cliente,
que le permite acceder al recurso.
3. El usuario desea acceder a un nuevo recurso que pertenece a

otra Autoridad de Autentificacin. El cliente de forma
transparente enva el token recibido de la primera autoridad a
esta segunda.
Arquitecturas SSO Basado en token
Etapas en la Solucin basada en Token:
4. La segunda Autoridad Autentificadora mantiene una relacion

de confianza con la primera Autoridad, con la que comprueba
la validez del token (o ticket).
5. El usuario tiene acceso a los recursos que pertenecen a la

segunda autoridad autentificadora gracias al token y a la
confianza establecida con el generador de ese token.
6. Ejemplos: Kerberos, Passport,

Arquitecturas SSO Credencial unica
Single Sign-On basado en el uso de PKI:

Registro
ID | PW del Usuario
Autoridad de BD
Autentificacin
Primaria ID PW
Emisin
Clave Certificado
ID PW
Privada
Certificado Confianza
Usuario Certificado CA
Certificado CA
Segundo Sign-On
transparente usando Llave Autoridad de
Pblica como Credencial Autentificacin
(Certificado y Clave Secundaria
privada)
Certificado CA
Arquitecturas SSO Basado en PKI
Etapas en la Solucin basada en PKI:
1. El usuario se da de alta en un centro de autentificacin

(autoridad certificadora primaria) y recibe un certificado que
consta de una clave privada, otra publica e informacin sobre
la Autoridad certificadora y del usuario.
2. Cuando el usuario desea acceder a un servicio, ste le pide

autentificacin. El servidor usa el certificado pblico como
credencial para comprobar la autentificacin del cliente.
Arquitecturas SSO Pros y Contras
Autentificacin Centralizada
Basado en Ventajas Desventajas

Token Tiene un nico conjunto de Requiere una infraestructura de
credenciales simplifica la vida al autentificacin homognea.
administrador y al usuario. Se basa en criptografa simtrica.
El software normalmente viene
incorporado con el Sistema.
PKI Tiene un nico conjunto de Solo puede trabajar con un nico

credenciales simplifica la vida al conjunto de credenciales.
administrador y al usuario. Algoritmo complejo de validacin
El software normalmente viene de certificado. Requiere mucho
incorporado con el Sistema. clculo en el lado del cliente.
Se basa en criptografa Requiere una infraestructura de
asimtrica. autentificacin homognea (todos
los servicios deben tener activado
el mecanismo PKI)
Arquitecturas SSO Cach en Cliente
Single Sign-On con autentificacin mltiple y basado en

cach cliente:
Token
Autoridad de BD Primaria
Token Primer Autentificacin
Sign-On Primaria ID PW
PW ID PW
Cach Cliente Confianza

Segura
ID | PW
ID | PW Segundo Sign-On
transparente usando
Autoridad de
credenciales BD Secundaria
almacenadas en Autentificacin
cliente Secundaria
ID | PW
ID | PW
Etapas en la Solucin Cach en el Cliente:
1. El usuario introduce una contrasea para acceder a su base

de datos (almacenada en su ordenador).
2. En la base de datos se encuentran almacenadas las

credenciales (usuario y contrasea) de los dominios a los
cuales tiene acceso.
3. Cada vez que accedemos a un recurso de un dominio en el

que no estamos autentificados, el cliente enva de forma
transparente la credencial a la autoridad de autentificacin, y
esta le devuelve un token de sesin para los recursos del
dominio.
Etapas en la Solucin Cach en el Cliente:
4. Cuando el usuario accede aun recurso del cual no tiene la

credencial almacenada, el usuario introduce el nombre de
usuario y contrasea, y esta credencial queda almacenada en
la cach del cliente.
5. Existe una relacin de confianza desde las autoridades de

autentificacin secundarias con la primaria.
Ejemplos:
Windows XP, Windows .NET, Entrust Entellingence,
Arquitecturas SSO Cach en Servidor
Single Sign-On con autentificacin mltiple y basado en

cach servidor:
Primer Sign-On
Token Peticiones credenciales Autoridad de BD Primaria

sucesivas Autentificacin
Primaria ID PW
Token
ID PW
Credenciales
ID | PW para AAS1
ID | PW
Confianza
Segundo Sign-On
transparente usando
Credenciales
proporcionadas por Autoridad de BD Secundaria
AAP2 Autentificacin
Secundaria ID | PW
ID | PW
1 Autoridad de Autentificacin Secundaria
2 Autoridad de Autentificacin Primaria
Etapas en la Solucin Cach en el Servidor:
1. El usuario se valida en la primera autoridad de autentificacin,

y le devuelve un token para acceder a los recursos del dominio
de esta autoridad.
2. Cuando el usuario desea acceder a un recurso que pertenece

a otra autoridad de autentificacin, de forma transparente toma
la credencial de la segunda autoridad accediendo a la cach
de la primera.
3. El cliente usa esta credencial (usuario y contrasea) y se

valida en la segunda autoridad, devolvindole esta un nuevo
token para su dominio de recursos.
Etapas en la Solucin Cach en el Servidor:
4. Existe una relacin de confianza desde las autoridades de

autentificacin secundarias con la primaria.
Ejemplos:
Tivoli SecureWay SSO, CA Entrust SSO,
Arquitecturas SSO Pros y Contras
Autentificacin Mltiple
Basado en Ventajas Desventajas

Cach Puede trabajar con diferentes Requiere una cach segura de
gestores de credenciales. credenciales en el lado del cliente
Cliente
No requiere una infraestructura no recomendado su uso en
de autentificacin homognea. dispositivos portatiles.
Tiene un impacto importante en Mltiples gestores de
el cliente (requiere software extra credenciales complica la vida al
o un SO que lo soporte). usuario y al administrador.
Cach Puede trabajar con diferentes Requiere un mecanismo de

gestores de credenciales. sincronizacin de credenciales
Servidor
No requiere una infraestructura (puede formar parte del producto
de autentificacin homognea. SSO).
Tiene un impacto importante en Mltiples gestores de
el cliente (requiere software credenciales complica la vida al
extra). usuario y al administrador.
Requiere software extra en el
lado del servidor.
Arquitecturas SSO Soluciones existentes
Las dos alternativas ms importantes para

arquitecturas SSO actualmente son:
Liberty Alliance Project:

mtodo basado en Federaciones
Passport.NET:
es el componente principal de la estrategia .NET i soporta KerberosV
Conclusiones
Situacin actual en la FIB
Actualmente en la FIB tenemos un arquitectura de autentificacin

que se acerca al SSO simple.
Caractersticas:
Multiplataforma: Solaris, Windows 98, Windows XP, Linux
Sincronizacin de credenciales: nico usuario y contrasea

para la autentificacin.
Credenciales centralizadas: un nico servidor de

autentificacin valida los diferentes sistemas.
Seguridad: Uso de SSL (Secure Sockets Layer)

Caractersticas de autentificacin en diferentes


sistemas:
Credenciales centralizadas en un nico servidor de

autentificacin implementada en un servidor LDAP
(Lightweight Directory Access Protocol) con SSL.
Plataformas Solaris, Windows 98, XP y Linux que validan su

autentificacin sobre el servidor LDAP mediante PAM
(Pluggable Authentication Modules).
Rac de la FIB autentificados mediante el modulo

mod_auth_ldap del servidor web Apache.
Correo de alumnos (IMAP/POP+SSL y Webmail)

autentificados mediante PAM.
Esquema de la situacin actual:

Servidor Replica del

SSL LDAP Servidor
LDAP
PAM_LDAP
Servidor SSL
FTP SSL SSL SSL
MOD_AUTH_ PAM_LDAP PAM_LDAP PAM_LDAP

LDAP
Rac WEB Servidor PC Aules Terminales

+ Webmail IMAP/POP (Samba) (Solaris)
Descripcin de los sistemas que participan en la


autentificacin:
Windows 98, XP y Linux sobre Arquitectura x86:

Autentificacin mediante Samba sobre Enos y Laika.
Enos
Laika
Terminales Sunray sobre Arquitectura Ultra-SPARC:

Autentificacin mediante PAM.
Moonrey
Universia
Ada
Solfoc
Descripcin de los sistemas que participan en la


autentificacin:
Rac Web + Webmail desde Rac:

Autentificacin mediante modulo LDAP de Apache.
Xino / Xano
Emilio
FTP + POP/IMAP + Webmail fuera del Rac:

Autentificacin mediante PAM.
Emilio
LDAP:
Servicio de Directorio donde se almacenan las credenciales.
Xino / Xano
Sanrey
Implantacin - Consideraciones
Consideraciones a tener en cuenta a la hora de realizar


la implantacin de un sistema SSO:
Los verdaderos sistemas SSO requieren estar integrados en el

Sistema Operativo (Login / Logout)
El proceso de autentificacin es realizado por diferentes

componentes segn el SO (disparidad de mecanismos):
NT / 2K / XP: GINA - LSA

Netware: GINA (4.x) o NMAS (5.0)
UNIX / Linux: PAM, NIS
Implantacin - Consideraciones
Consideraciones a tener en cuenta a la hora de realizar


la implantacin de un sistema SSO:
Especialmente molesto en el mundo Web:
Se requiere hacer un login previo simplemente para acceder al

navegador y autentificarnos de nuevo !
Un buen sistema SSO debe contemplar la autentificacin va web
como una parte ms del sistema
Un buen sistema SSO combina elementos de una VPN (Virtual

Private Network):
Transporte seguro a nivel de Gestin

Transporte seguro a nivel de Aplicacin
Implantacin - Tcnicas
Software
Desarrollo de una API intermedia:
API
Ventajas: Lib. Dinmica
Las libreras del sistema son siempre las ms eficientes.

Ms fcil de localizar puntos de seguridad dentro de la aplicacin.
Inconvenientes:
Requiere retocar todas las aplicaciones.

Complicado de acoplar con aplicaciones existentes de hace
tiempo.
Imposible de llevar a cabo con aplicaciones externas.
Ejemplos: SASL, GSS-API, JAAS,

Reemplazo de Libreras Dinmicas (DLL/.so):

Software
Ventajas:
Lib. Dinmica
No hay que retocar las aplicaciones existentes.

Transparente a las aplicaciones.
Inconvenientes:
Puede provocar conflictos con alguna aplicacin.

Difcil determinar exactamente que libreras hay que modificar
para que el sistema funcione. Varia segn el sistema operativo.
Las actualizaciones del sistema operativo pueden destruir
nuestras libreras dinmicas.
Reemplazo de las Aplicaciones:

Software
Ventajas: API
El nivel ms alto de transparencia.
Inconvenientes:
No es escalable (hay que cambiar TODO).

No es interoperable.
Se depende de la solucin comercial.
Implantacin - Kerberos
Kerberos: ltima versin - KerberosV

Es un mtodo de autentificacin que sigue la arquitectura

SSO basada en el paso de tokens, llamados aqu tickets.
La autentificacin va Kerberos funciona de la siguiente

manera:
El usuario se valida a un servidor de autentificacin Kerberos que

le devuelve una clave de sesin, es un ticket general de
comunicacin con el servidor de autentificacin.
Cada vez que el cliente quiere acceder a un recuso, el servidor

de autentificacin genera un ticket para el recurso determinado.
El servidor del recurso comprueba que el ticket enviado por el

cliente es vlido, y permite el acceso.
Soluciones kerberos para los diferentes servicios:

Soluciones SSH y SFTP:
Secure Shell (Windows, Unix y Linux)

OpenSSH (Unix, Linux y Windows con Cygwin)
Soluciones FTP y Telnet:
FileZilla (FTP para Windows)

FTP y Telnet del propio KerberosV (UNIX y Linux)
No se encuentran soluciones interesantes de telnet para
Windows.

Soluciones Servidores Correo:
UW IMAP permite autentificacin con Kerberos V.

Courier IMAP: mediante PAM
Cyrus IMAP: mediante SASL
Soluciones Clientes Correo:
Eudora Mail y aparentemente Outlook Express (Windows)

Uso de Evolution (Linux, y UNIX + Gnome)
Posibles problemas en Netscape Mail. Solucin: Uso de filtros o
Servicio en lado cliente + Cliente Grfico de Mail (UNIX, Linux y
Windows)

Soluciones Web (webmail y rac)
PubCookie: permite SSO extendiendo cualquier tipo de

autentificacin, pero hace falta generar la cookie al entrar.
Mdulos Kerberos para Apache.
En Web existen mltiples soluciones que deben ser estudiadas y

probadas antes de elegir una, que se adapte fcilmente al resto
del sistema SSO.
Riesgos de seguridad en Kerberos:

Los problemas con claves de usuario sencilla se mantienen

(prueba y error, fuerza bruta ..)
Tampoco nos protege de ataques debidos a troyanos, como

por ejemplo una pagina de login falsa que captura lo que
introducimos en ella
Potencialmente es posible llegar a conseguir la clave que esta

siendo usada y utilizarla, aunque solo nos ser til durante el
tiempo de sesin (en nuestro caso esto sera difcil)
Implantacin - PKI
PKI: Certificados digitales

Este mtodo de autentificacin esta basado en

la arquitectura SSO con certificados digitales (PKI).
La autentificacin mediante PKI funciona de la siguiente forma:
El usuario ha de tener un certificado digital formado por una clave

privada, otra clave publica y informacin de la autoridad
certificacin y del propio usuario.
Cada vez que un cliente quiere acceder a un recurso, el servidor

solicita la autentificacin mediante certificados. Para ello ha de
confiar en la autoridad certificadora que emite el certificado.
El servidor del recurso comprueba que la credencial (certificado)

del cliente es vlido, y permite el acceso.
Implantacin - PKI
Soluciones PKI para los diferentes servicios:

Soluciones SSH y SFTP:
Secure Shell (Windows, Unix y Linux)

OpenSSH (Unix , Linux, Windows con Cygwin)
Soluciones FTP:
GSIFtp (UNIX, Linux y Windows, es un cliente java)
Soluciones Telnet:
No hemos encontrado soluciones que se autentifiquen mediante

certificados.
Implantacin - PKI
Soluciones PKI para los diferentes servicios:

Soluciones de Correo:
Indicar al servidor IMAP que use una autentificacin externa

(mediante PAM o SASL).
Creacin de un Servicio en el lado del cliente

Navegadores como Netscape, Internet Explorer, Mozilla,

permiten utilizar la autentificacin mediante certificados.
Implantacin - PKI
Riesgos de seguridad en PKI:

Soluciones de Correo:
Indicar al servidor IMAP que use una autentificacin externa

(mediante PAM o SASL).
Creacin de un Servicio en el lado del cliente

Navegadores como Netscape, Internet Explorer, Mozilla,

permiten utilizar la autentificacin mediante certificados.
Conclusiones
Conclusiones
La implementacin / implantacin de un sistema SSO siempre es

ms compleja de lo que uno piensa inicialmente.
Analizar qu arquitectura encaja mejor en nuestro entorno.
Hay que realizar un anlisis de requerimientos que nos marque

claramente unos objetivos:
Implementar el sistema de forma progresiva, por fases.

Conclusiones
Facilidad de uso y seguridad son caractersticas normalmente

contrapuestas:
Hay que tener una atencin especial en este aspecto
No hay ningn producto que lo contemple todo:
Existen muchas maneras diferentes de hacer una cosa, hay que

buscar la combinacin que resulte mejor en cada caso

Single Sign-On: Miquel Trilla

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Single Sign-On: Miquel Trilla

Hochgeladen von

Copyright:

Verfügbare Formate

FACULTAT DINFORMTICA DE BARCELONA

Qu es Single Sign-On (SSO)?

Arquitecturas para un sistema SSO

Situacin actual en la Facultat dInformtica de Barcelona

Definicin Single Sign-on (SSO):

Concepto que consiste en la autentificacin nica por parte del

La idea es introducir una nica vez el nombre de usuario y

Multiplataforma: facilita las tareas de inicio de sesin y de

Transparencia: el acceso a los recursos de sistemas se

Facilidad de uso: el usuario se autentifica una nica vez y el

Gestin sencilla: el uso de SSO aconseja la sincronizacin de

Control de acceso: no se ve afectado por el uso de este

Seguridad: depende de la arquitectura usada, pero en todos los

Qu es Single Sign-On (SSO)?

Arquitecturas para un sistema SSO

Situacin actual en la Facultat dInformtica de Barcelona

Clasificacin de las arquitecturas SSO:

Simple Basada en Tokens

Single Sign-On con un nico Servidor de Autentificacin

Etapas en la Solucin Simple:

1. El usuario desea acceder a un recurso. Se le pide un usuario y

2. El servidor de autentificacin comprueba la validez de los

3. El cliente enva al servidor del recurso que quiere acceder el

Etapas en la Solucin Simple:

4. El servidor del recurso valida este token contra el servidor de

5. Si el token es valido y se dispone de acceso al recurso, el

6. El usuario desea acceder a un nuevo recurso. De forma

Single Sign-On basado en el paso de Token

Etapas en la Solucin basada en Token:

1. El usuario desea acceder a un recurso. Se le pide un usuario y

2. El servidor de autentificacin comprueba la validez de los

3. El usuario desea acceder a un nuevo recurso que pertenece a

Etapas en la Solucin basada en Token:

4. La segunda Autoridad Autentificadora mantiene una relacion

5. El usuario tiene acceso a los recursos que pertenecen a la

6. Ejemplos: Kerberos, Passport,

Single Sign-On basado en el uso de PKI:

Etapas en la Solucin basada en PKI:

1. El usuario se da de alta en un centro de autentificacin

2. Cuando el usuario desea acceder a un servicio, ste le pide

Basado en Ventajas Desventajas

PKI Tiene un nico conjunto de Solo puede trabajar con un nico

Single Sign-On con autentificacin mltiple y basado en

Cach Cliente Confianza

Etapas en la Solucin Cach en el Cliente:

1. El usuario introduce una contrasea para acceder a su base

2. En la base de datos se encuentran almacenadas las

3. Cada vez que accedemos a un recurso de un dominio en el

Etapas en la Solucin Cach en el Cliente:

4. Cuando el usuario accede aun recurso del cual no tiene la

5. Existe una relacin de confianza desde las autoridades de

Single Sign-On con autentificacin mltiple y basado en

Token Peticiones credenciales Autoridad de BD Primaria

Etapas en la Solucin Cach en el Servidor:

1. El usuario se valida en la primera autoridad de autentificacin,

2. Cuando el usuario desea acceder a un recurso que pertenece

3. El cliente usa esta credencial (usuario y contrasea) y se

Etapas en la Solucin Cach en el Servidor:

4. Existe una relacin de confianza desde las autoridades de

Basado en Ventajas Desventajas

Cach Puede trabajar con diferentes Requiere un mecanismo de

Las dos alternativas ms importantes para

Liberty Alliance Project: