Your SlideShare is downloading. ×
0
Sitios blindados de sharepoint según encamina
Sitios blindados de sharepoint según encamina
Sitios blindados de sharepoint según encamina
Sitios blindados de sharepoint según encamina
Sitios blindados de sharepoint según encamina
Sitios blindados de sharepoint según encamina
Sitios blindados de sharepoint según encamina
Sitios blindados de sharepoint según encamina
Sitios blindados de sharepoint según encamina
Sitios blindados de sharepoint según encamina
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Sitios blindados de sharepoint según encamina

170

Published on

Seguridad especial en SharePoint

Seguridad especial en SharePoint

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
170
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Sitios blindados en SharePoint Una solución para incrementar la seguridad de acceso a aplicaciones web de SharePoint
  • 2. Modelo de funcionamiento 01
  • 3. Disponer en nuestras granjas de SharePoint 2013 de un mecanismo de control de acceso más robusto (basado en two factor authentication; un estándar publico) a las aplicaciones web de SharePoint que queramos sobreproteger porque puedan contener información sensible o procesos delicados. Llamamos a este componente ENCSEC Objetivo de los sitios blindados
  • 4. Proceso de autenticación y acceso User Pwd Token 1, 7 2 3 4 5 6
  • 5. 1. El usuario trata de acceder a una aplicación web de SharePoint protegida 2. El sistema de autenticación redirige la validación al componente ENCSEC 3. ENCSEC presenta un formulario al usuario solicitando su user, password y “token” temporal 4. En caso de que el usuario ya se ha autenticado en otro sitio de la granja, sólo se solicita el “token” temporal (Single Sign On) 5. El usuario obtiene de su móvil el “token” temporal y lo introduce (si es necesario, junto a su user y pwd en el formulario) 6. El componente ENCSEC acude a AD con ese usuario y password y 7. si es correcto accede a la clave para descifrar el “token” que ha llegado en el formulario. Si el user/pwd no es correcto se devuelve error de autenticación al usuario 8. Si al descifrar el “token” y obtener el “sello de fecha” han pasado más de 1 minuto, se rechaza la petición. Y si todo es correcto se le da permiso de acceso al usuario cargándole con una cookie temporal para poder operar por las próximas 24h en el sitio, desde esa sesión y navegador. Proceso de autenticación
  • 6. Proceso provisión de permisos (1) Las aplicaciones web a blindar se configuran con el sistema de autenticación ENCSEC (2) Un script genera los datos en AD para las claves privadas de los usuarios a acceder a sitios blindados (3) El usuario accede a la URL que facilita la configuración de su App de generación de tokens con una clave pública del usuario (4) El App de generación de tokens queda preparado para generar tokens válidos temporalmente (1) Las aplicaciones web a blindar se configuran con el sistema de autorización std de SharePoint
  • 7. • La gestión de autenticación de usuarios en la aplicación web de SharePoint a blindar se configura a nivel del componente específico ENCSEC • La gestión de autorizaciones de un usuario en la aplicación web de SharePoint se gestiona a nivel de SharePoint de forma estándar • PROVISIÓN DEL SERVICIO • Cada usuario que va a acceder a sitios blindados necesitaría una App en su móvil (a su elección entre las muchas disponibles) para generar tokens temporales a partir de una clave pública configurada previamente. – Cada vez que un usuario quiere acceder a un sitio blindado se le presenta un form pidiéndole usuario, pwd y token temporal. – Se accede al AD a validar usuario y contraseña, y con la clave privada residente como metadato en el AD del usuario, se desencripta el token temporal y se valida si es suficientemente reciente. Si es de hace menos de 1 minuto se le da permiso a acceder a la aplicación web de SharePoint. • El acelerador “sitios blindados de sharepoint” ofrece una página web con la clave pública a configurar la APP de generación de tokens temporales de cada usuario Autenticación y autorización
  • 8. • El App en el móvil funciona como cartera para guardar la clave secreta de los usuarios que genera los “tokens”. Esta cartera es el “secundo factor” que valida la identidad de usuario. • Este App no es un desarrollo a medida si no aplicaciones hechas por proveedores como Google y Microsoft que soportan el estándar publico de “Time-based One-time Password Algorithm” (TOTP). Ese estándar, RFC6238 , esta publicado en http://tools.ietf.org/html/rfc6238 • Las plataformas soportadas son Android, IOS, Windows Phone, Blackberry, Linux (PAM). No solo funcionan con clientes móviles. También hay clientes para el escritorio (Desktop), Web y Java disponibles (multiplataforma). Cartera de autenticación
  • 9. • Los sitios blindados son mucho más robustos en el control de su acceso, porque hay un doble sistema basado en lo que el cliente sabe y(su usuario y contraseña) y lo que tiene (su móvil). • Este modelo de control de autenticación, más el modelo de autorización de SharePoint más un correcto nivel de auditoría en los sitios a proteger ofrece un nivel de blindaje y seguridad muy robusto para sitios de SharePoint con información o procesos delicados. • Además, la percepción que tiene el usuario respecto al blindaje es en si mismo disuasorio. • Todos los protocolos y operativas de trabajo del acelerador de sitios blindados de SharePoint siguen estándares web reconocidos e interoperables. • Nota: Un Administrador de Sistemas de máximo nivel de su red, que se configurara su acceso basado en los 2 factores saltándose la normativa de gestión del AD, y que se auto-otorgara autorización de acceso para los sitios blindados, quedaría registrado y auditado en esta operación, pero no podría impedírsele su acceso a la inspección del sitio blindado. Beneficios y condiciones
  • 10. Contacto Para localizar o contactar con ENCAMINA puedes: Enviar un mail a: encamina@encamina.com info@encamina.com Llamar al 902 196 893 962 698 064 o 917 893 823 Enviar un fax al 962 698 063 O hablar personalmente con: • Hugo de Juan, CEO • Javier Menendez, Director zona Centro • Jaime Camarasa, Consultor Desarrollo de Negocio • Gonzalo Galarraga, Consultor senior y de Desarrollo de Negocio Visitarnos en: Jerónimo Roure 49 46520 Puerto de Sagunto, Valencia. Paseo de las Delicias, 30. 2ª planta 28045 , Madrid, Madrid

×