CA SiteMinder® le prepara para el futuro
Transcripción
CA SiteMinder® le prepara para el futuro
INFORME TECNOLÓGICO CA SiteMinder | Abril de 2011 CA SiteMinder® le prepara para el futuro CA SiteMinder índice RESUMEN EJECUTIVO 3 Sección 1: Aspectos básicos de la gestión del acceso Web 4 Sección 4: 31 Compatibilidad y capacidad de extensión Kit de desarrollo de software (SDK) Programas de partners de CA Los objetivos de la gestión del acceso Web Servicios de CA Prestación global de servicios de CA CA SiteMinder Compatibilidad con plataformas Autenticación Sección 5: Conclusiones Single Sign-On Autorización Virtualización de directorios Auditorías Opciones de implementación flexible Sección 2: Innovaciones de R12 18 Almacén de políticas extensible Administración de implementaciones a gran escala Gestión de políticas empresariales Servidor de informes Sección 3: Capacidades de WAM empresariales Rendimiento Escalabilidad y disponibilidad probadas Plataforma segura Capacidades de gestión empresarial 2 23 37 CA SiteMinder resumen ejecutivo Reto El entorno empresarial actual requiere una distribución segura de la información y las aplicaciones en la Web. Los sistemas de gestión del acceso Web (WAM, Web Access Management) son fundamentales para esta evolución. Aunque los sistemas de WAM no son nuevos, las presiones relativas al control de los costes, el cumplimiento y el crecimiento están haciendo que las organizaciones se replanteen y a menudo amplíen drásticamente sus estrategias de WAM. Las organizaciones deben adoptar sistemas de autenticación nuevos y más avanzados, implementar políticas de seguridad basadas en los riesgos y federar las identidades con otras organizaciones para competir de forma eficaz en el mundo accesible a través de la Web. Al mismo tiempo, se necesitará una experiencia de usuario mejorada, una administración simplificada y una fiabilidad y escalabilidad sin precedentes a medida que la Web se afiance en el núcleo de las estrategias de las aplicaciones. Oportunidad CA SiteMinder® es la solución de WAM de implementación más generalizada, y puede proporcionar una plataforma de seguridad probada que hace frente a los retos del mundo actual accesible a través de la Web y coloca a su organización en la mejor posición para el cambio y la expansión futuros. CA SiteMinder ofrece lo siguiente: •Una compatibilidad con plataformas sin precedente •Capacidades avanzadas de autenticación y autorización •Capacidades de administración y gestión empresarial •Una nueva arquitectura extensible que simplifica las actualizaciones al tiempo que proporciona una plataforma unificada para la gestión de las políticas empresariales •La solución de WAM disponible con mayor rendimiento y escalabilidad Beneficios CA SiteMinder puede hacer frente a sus retos de acceso seguro a la Web y mejorar la estrategia de gestión de identidades y accesos de su empresa. Esta solución de WAM le ayudará a hacer lo siguiente: •Crear una experiencia perfecta para los usuarios, incluido el acceso a los sistemas de partners •Reducir los costes mediante la administración delegada y la gestión simplificada •Responder a las necesidades comerciales con las últimas funciones, incluida la autenticación eficaz •Dejar a un lado las auditorías retroactivas y avanzar hacia la conformidad continua CA SiteMinder trata todos sus problemas de gestión de seguridad para permitirle centrarse en los retos empresariales importantes. 3 CA SiteMinder Sección 1: Aspectos básicos de la gestión del acceso Web Los objetivos de la gestión del acceso Web Los sistemas de WAM son la clave para posibilitar los negocios en la Web y limitan el riesgo de seguridad. Estos sistemas protegen y controlan el acceso a sus aplicaciones Web, registran las actividades de los usuarios y los administradores y se encargan de crear una experiencia perfecta de inicio de sesión único para cualquier usuario, ya sea un empleado, un partner o un cliente. Un sistema de WAM eficaz debe constituir un servicio de seguridad compartido para las aplicaciones de toda la empresa. No basta con limitarse a cumplir los requisitos básicos: las implementaciones empresariales de WAM deben admitir situaciones complejas de inicio de sesión único y operaciones ininterrumpidas. Deben ser fáciles de administrar, supervisar y gestionar. Debe haber alternativas de implementación para que el sistema pueda adaptarse a los requisitos específicos de una organización. Además, el sistema debe ser ampliable y global desde el punto de vista de la cobertura y las capacidades de su plataforma. ¿Qué debe hacer un sistema de WAM? Desde la perspectiva empresarial, el sistema de WAM debe ayudar a las organizaciones a responder a muchas preguntas importantes, como las siguientes: •¿Nuestros recursos Web están adecuadamente protegidos? •¿Cómo podemos proporcionar a los usuarios una experiencia perfecta dada la disparidad de nuestros entornos de aplicación? •¿Cómo deberíamos autenticar a los usuarios? ¿Podemos utilizar distintos métodos en función de los criterios que definamos? •¿Es sencillo crear y gestionar políticas de acceso? ¿El sistema nos ofrece la flexibilidad que necesitamos? • ¿El sistema nos puede ayudar a reducir los costes de administración de la seguridad y los costes operativos derivados? •¿Si adquirimos una empresa nos veremos obligados a replantear nuestras estrategias de implementación? •¿Podemos vincular el sistema a nuestros procesos de auditoría existentes? •¿El sistema seguirá respondiendo y siendo fácil de gestionar a medida que nuestro uso aumente? •¿El sistema se puede poner en peligro? ¿Qué grado de fiabilidad tiene? •¿Podemos ofrecer medios seguros y sencillos para autenticar a los usuarios sin necesidad de solicitarles que recuerden las contraseñas? Todas las anteriores son preguntas complicadas. Es importante que conozca sus requisitos y que los compare con las capacidades de un sistema de WAM para poder tomar la decisión correcta antes de comprometerse con una solución de WAM y una estrategia de implementación. 4 CA SiteMinder CA SiteMinder CA SiteMinder es una solución completa de gestión de la seguridad que trata estas importantes cuestiones. En este documento se plantea el método que sigue la arquitectura de componentes de CA SiteMinder para aplicar la política de seguridad, los motivos de su gran rendimiento y el modo en que las empresas han escalado las implementaciones de CA SiteMinder para admitir miles de aplicaciones Web y millones de usuarios. También se abordan las funciones principales de WAM que admite CA SiteMinder, como la autenticación, el inicio de sesión único, la autorización y las auditorías. Además, dado que seguramente estará enfrentándose a situaciones desafiantes a medida que las implementaciones de WAM pasan a la escala empresarial, también se revisarán algunas de las capacidades avanzadas integradas en CA SiteMinder. CA SiteMinder r12 introdujo funciones innovadoras de administración diseñadas para implicar a más personas en la creación, la gestión y las auditorías de las políticas de seguridad. Si esto se suma al hecho de que las tareas administrativas de CA SiteMinder ahora pueden asignarse con un nivel de control sin precedente, el resultado es la oportunidad de implementar las capacidades de WAM de forma más rápida y general que nunca. CA SiteMinder está avalado por más de 450 combinaciones probadas específicamente de servidores Web y de aplicaciones, sistemas de planificación de recursos empresariales (ERP, Enterprise Resource Planning), directorios, bases de datos y sistemas operativos. Por tanto, es compatible con la gran variedad de combinaciones de plataformas que se dan hoy en día en las organizaciones. Además, más de 150 empresas se han unido al programa de partners de CA para ofrecer capacidades y servicios adicionales a los clientes de CA SiteMinder, y miles de clientes de CA SiteMinder de todo el mundo comparten ideas y experiencias a través de la interacción en grupos de usuarios, foros y ferias comerciales. Ilustración A Arquitectura de referencia de CA SiteMinder CA SiteMinder aplica las políticas de seguridad mediante puntos de aplicación de políticas (PEP, Policy Enforcement Point) basados en agentes y en servidores proxy para satisfacer la demanda de cada organización. El servidor de políticas de CA SiteMinder es un punto de decisión de políticas (PDP, Policy Decision Point) fiable y de gran rendimiento.  Punto de aplicación de políticas Punto de decisión de políticas OPCIONES DE IMPLEMENTACIÓN BASADAS EN AGENTES DE PROXY SERVIDOR DE POLÍTICAS Punto de administración de políticas SERVIDOR DE APLICACIONES IU ADMINISTRATIVA AGENTE USUARIOS ALMACÉN DE POLÍTICAS 5 ALMACÉN DE CLAVES ALMACÉN DE USUARIOS ADMINISTRADOR CA SiteMinder La arquitectura básica de CA SiteMinder CA SiteMinder consiste en dos componentes básicos de tiempo de ejecución y un componente de administración. El agente actúa como punto de aplicación de políticas (PEP) y también realiza servicios de gestión de autenticación e inicio de sesión único. Los agentes, además, son compatibles con requisitos opcionales como el traslado seguro de atribuciones de usuarios a aplicaciones empresariales protegidas. Hay diferentes formatos de agente, y cada uno de ellos está hecho a la medida de la plataforma que protege. Existen agentes para servidores Web, servidores J2EE, sistemas de ERP, servidores proxy, y muchos más. Estas opciones se describen detalladamente más adelante. El servidor de políticas actúa como punto de decisión de políticas (PDP). El servidor de políticas autentica a los usuarios en nombre del PEP, evalúa las políticas de seguridad y toma decisiones de autorización que se comunican de nuevo al PEP. El servidor de políticas también audita cada uno de estos eventos. Este servidor admite diversos proveedores y plataformas en el directorio de usuarios y en sus almacenes de políticas y de claves. A medida que se agregan servidores de políticas para aumentar la capacidad y la disponibilidad, se conectan a un almacén común de políticas para determinar la infraestructura disponible y las políticas de seguridad que deben aplicarse. También se conectan a un almacén de claves común para habilitar el inicio de sesión único seguro. La interfaz de usuario administrativa actúa como punto de administración de políticas (PAP, Policy Administration Point) seguro. Una instancia del servidor de la interfaz de usuario administrativa puede conectarse a varios servidores de políticas y gestionarlos. Autenticación La autenticación de usuarios es el primer paso para asegurar las aplicaciones Web: establece una identidad de usuario, personaliza la experiencia del usuario y determina lo que puede hacer cada usuario. CA SiteMinder admite y gestiona el uso de una amplia variedad de métodos de autenticación, entre los que se incluyen las contraseñas, los tokens, los certificados X.509, las tarjetas inteligentes, los formularios personalizados y los dispositivos de biométrica. Los métodos de autenticación también pueden combinarse para lograr una autenticación más consistente; por ejemplo, se puede exigir un certificado además de la contraseña. Se puede designar un nivel de protección a los métodos de autenticación, y los niveles de protección mínimos pueden asociarse a las aplicaciones para un mayor aseguramiento de la identidad del usuario en la que se exponen las aplicaciones y la información confidenciales. Las capacidades basadas en los riesgos permiten la evaluación del contexto en el que se enmarca la solicitud de inicio de sesión del usuario. Por ejemplo, un inicio de sesión basado en formularios HTML en una capa de sockets seguros (SSL, Secure Sockets Layer) procedente de una máquina no reconocida de Internet supondría un riesgo mayor que si el mismo inicio de sesión basado en formularios se realizara en la red privada virtual (VPN, Virtual Private Network) de la empresa. 6 CA SiteMinder Métodos y capacidades de autenticación disponibles Métodos Capacidades • Autenticación básica • Suplantación de identidad auditada • ID y contraseña de usuario basados en formularios • SSL para proteger el inicio de sesión básico y el basado en formularios • Certificado X.509 (compatibilidad con la lista de revocación de certificados [CRL, Certificate Revocation List] y el protocolo de estado de certificados en línea [OCSP, Online Certificate Status Protocol]) • Autenticación integrada de Windows (IWA, Integrated Windows Authentication), que incluye Negotiate/ Kerberos y NTLM (NT LAN Manager) • MIT Kerberos • Combinaciones de métodos (por ejemplo, formularios y certificado) • Migración a ediciones superiores en función de los niveles de protección • Basado en el riesgo • Basado en el conocimiento • Control de la secuencia de inicio de sesión • Dispositivo de token RSA SecurID • Verificación de la dirección de la máquina • Entrust IdentityGuard • Contraseñas de un solo uso • Tarjeta inteligente • Tarjeta de información/Microsoft CardSpace • Autenticación avanzada de CA • Dispositivos de biométrica • Integraciones con otros productos: Tricipher y SafeWord • Prueba pública de Turing totalmente automatizada para diferenciar máquinas y humanos (CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart) • Lenguaje de marcado de aserción de seguridad (SAML, Security Assertion Markup Language) • WS-Federation/Microsoft ADFS • Métodos personalizados creados con la interfaz de programación de aplicaciones (API, Application Programming Interface) de autenticación de CA SiteMinder Encadenamiento de directorios Resulta poco realista e innecesario esperar que todas las aplicaciones protegidas por un sistema de WAM autentiquen a los usuarios en un único directorio de usuarios. Hoy en día, incluso una única aplicación puede necesitar la autenticación de los usuarios en dos o más directorios. CA SiteMinder admite el encadenamiento de directorios, lo que significa que se puede utilizar una única política de seguridad para las aplicaciones, incluso en aquellos casos en que las comunidades de usuarios están repartidas entre varios directorios. Esto incluye los casos en los que los directorios se encuentran en plataformas distintas, como el directorio del protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol), Microsoft Active Directory, los sistemas mainframe o los sistemas de administración de bases de datos (DBMS, Database Management System) relacionales. Servicios de contraseña Los servicios de contraseña abarcan un amplio abanico de temas, como las políticas, las modificaciones, la caducidad y la recuperación de contraseñas, y la deshabilitación de cuentas. Estos servicios los prestan algunos directorios de usuarios y sistemas de WAM. CA SiteMinder presenta un enfoque centralizado de los sistemas de contraseña, que admite los directorios de LDAP, Microsoft Active Directory y las bases de datos relacionales. De esta forma se simplifica la creación de políticas comunes de contraseñas que definan reglas y restricciones para regir la caducidad, la composición y el uso de las contraseñas y aplicarlas en toda la empresa. 7 CA SiteMinder Una vez configurado, CA SiteMinder invocará una política de contraseñas cada vez que el usuario intente acceder a un recurso protegido. Si la contraseña del usuario ha caducado según los criterios definidos en la política de contraseñas, la cuenta del usuario podrá deshabilitarse, o se podrá obligar al usuario a que cambie la contraseña. Las políticas de contraseñas pueden asociarse a un directorio de usuarios entero o a un subconjunto. Se pueden configurar varias políticas de contraseñas para el mismo directorio de usuarios; en este caso, se aplicarán de acuerdo con las prioridades que especifique para ellas. Suplantación de identidad CA SiteMinder admite la suplantación de usuarios, una función con la que un usuario privilegiado puede asumir la identidad de otro usuario. Esto puede resultar útil cuando un representante del servicio de asistencia técnica o de atención al cliente necesita investigar los problemas de acceso a una aplicación que experimenta un determinado usuario. La compatibilidad de CA SiteMinder con la suplantación es más segura que otros métodos, como el uso compartido de credenciales de usuario por teléfono (una práctica generalmente prohibida por la política de la empresa). La suplantación es una operación segura que permite exclusivamente a los usuarios autorizados suplantar la identidad de otros usuarios. La suplantación puede realizarse de las siguientes formas: •Los administradores de seguridad configuran las reglas de suplantación en la política de seguridad. De este modo se controla quién puede suplantar, a quién se puede suplantar y a qué recursos se puede acceder. •Las sesiones de suplantación se auditan para la conservación de registros y el no rechazo. Se registra la información del usuario que suplanta y el suplantado. Caso práctico Aumento de la agilidad empresarial con el inicio de sesión simplificado BT es uno de los proveedores de soluciones y servicios de comunicaciones más importantes del mundo, y opera en 170 países. Con más de ocho millones de clientes y 100.000 empleados y proveedores que utilizan a diario aplicaciones basadas en la Web, el gigante de las comunicaciones necesita garantizar el acceso eficaz a sus servicios en línea. Gracias a CA SiteMinder, BT ha podido centralizar la autenticación y la autorización del personal, los proveedores y los clientes. Ello ha permitido a BT racionalizar 80 soluciones de seguridad de puntos, reducir el número de contraseñas necesarias de cada empleado y admitir un rendimiento de más de 40 millones de transacciones al día. Una vez que un usuario obtenga acceso a un portal de BT, podrá moverse fácilmente por las distintas áreas de servicios y productos, algo esencial para garantizar la fidelidad y la satisfacción del cliente. Al tener menos contraseñas para recordar y administrar, los empleados de BT también adquirirán mayor productividad cada día. 8 CA SiteMinder CA SiteMinder puede fijar un encabezado seguro variable que la aplicación pueda utilizar para ocultar la información privada del usuario que suplanta en la medida en que sea necesario para proteger la privacidad del usuario. Inicio de sesión único El inicio de sesión único (SSO, Single Sign-On) perfectamente integrado en las aplicaciones Web es una de las funciones más visibles de un sistema de WAM bien diseñado. La mayoría de los sistemas de WAM satisfacen los requisitos básicos de SSO mediante el uso de una cookie de sesión de HTTP. Sin embargo, las dificultades surgen a medida que aumenta la escala de la implementación o que se combina la infraestructura de tecnología de la información (TI) de diferentes organizaciones. CA SiteMinder incluye tres funciones adicionales de SSO para afrontar estos retos: zonas de seguridad, proveedor de cookies y asignación de identidad. Ilustración B Situaciones de inicio de sesión único avanzado CA SiteMinder incluye tres funciones que amplían el inicio de sesión único Web tradicional al contexto empresarial. Zonas de seguridad: permite restringir las aplicaciones del inicio de sesión único en un solo dominio de cookies. La función Proveedor de cookies amplía el inicio de sesión único a los dominios de cookies. Asignación de identidad (no se muestra): amplía el inicio de sesión único a las implementaciones independientes de CA SiteMinder; esta situación podría producirse como resultado de una adquisición.  Limitación del inicio de sesión única dentro del dominio de una cookie con la función Zonas de seguridad *.empresa.com Ampliación del inicio de sesión única a varios dominios de cookies con la función Proveedor de cookies SESIÓNZ2 SESIÓNSM SESIÓNZ1 SESIÓNZ3 www.a.com www.b.com www.c.com Zonas de seguridad El SSO en aplicaciones de un mismo dominio de cookies puede restringirse mediante zonas de seguridad. De este modo, se permite realizar la partición de un único dominio de cookies para que pueda haber diferentes políticas de seguridad sin necesidad de establecer los subdominios del sistema de nombres de dominio (DNS, Domain Name System). En primer lugar, los administradores organizan las aplicaciones en grupos (o zonas) con requisitos de SSO similares. A continuación, CA SiteMinder genera una cookie de sesión independiente para cada zona. Así, los usuarios finales utilizan el SSO de cada zona y los administradores pueden aplicar distintas políticas de seguridad para aplicaciones de diferentes zonas. 9 CA SiteMinder Las zonas de seguridad permiten disponer de lo siguiente: •Una configuración diferente del tiempo de espera de la sesión para las aplicaciones de cada zona •Directorios de usuario diferentes para la autenticación de cada zona •Métodos de autenticación y niveles de protección diferentes en cada zona Proveedor de cookies Con esta función se puede ampliar el SSO a varios dominios DNS. En esta configuración, CA SiteMinder reta al usuario a autenticar el primer dominio DNS (empresa.com), pero no lo hace cuando el usuario navega a los dominios siguientes (filial.com). La función Proveedor de cookies es famosa por el SSO en varios dominios donde un único entorno de CA SiteMinder protege los recursos de todos los dominios. Las capacidades de federación de CA SiteMinder proporcionan una solución mejor cuando hay muchos dominios diferentes o cuando no hay una infraestructura de CA SiteMinder en los demás entornos. Asignación de identidad Con esta función se puede ampliar el SSO a implementaciones independientes de CA SiteMinder. Podrá resultar útil cuando dos organizaciones se fusionen, cada una de ellas haya dispuesto anteriormente de distintos sistemas de CA SiteMinder (y diferentes directorios de usuarios), y no sea posible ni deseable fusionar la infraestructura. La asignación de identidad, también conocida como asignación de validación de autenticaciones, permite autenticar a un usuario en un directorio de usuarios de un sistema de CA SiteMinder, y que éste tenga asignada la misma identidad de usuario en un almacén de autenticación distinto de otro sistema de CA SiteMinder. Ambos sistemas únicamente deberán compartir o sincronizar sus almacenes de claves de CA SiteMinder. También pueden utilizarse las capacidades de federación de CA SiteMinder para este fin. Ampliación del SSO a las aplicaciones no basadas en la Web CA Single Sign-On (CA SSO) es un producto complementario que permite ampliar el SSO a las aplicaciones no basadas en la Web, entre las que se incluyen las que están implementadas en equipos de sobremesa y sistemas heredados. Autorización Las organizaciones necesitan políticas de seguridad flexibles que puedan utilizarse fácilmente en varios servicios y aplicaciones. Deben implementar un único servicio de seguridad compartido para simplificar la administración y la elaboración de informes relativos al cumplimiento, y reducir la carga asociada a la seguridad de los desarrolladores de aplicaciones. Sin WAM, los desarrolladores de sistemas deberían implementar una lógica de seguridad completa en sus aplicaciones. Esto conllevaría riesgos y complicaciones para el cumplimiento. Por ejemplo, las técnicas de desarrollo de seguridad necesarias dependerían del tipo de servidor Web, sistema operativo y lenguaje de programación utilizados para la aplicación. 10 CA SiteMinder CA SiteMinder centraliza la gestión de las atribuciones de usuario de los clientes, partners y empleados en todas las aplicaciones Web mediante un servicio compartido. La autorización centralizada reduce en gran medida los costes de desarrollo, lo que permite a los desarrolladores centrarse en la lógica empresarial de la aplicación en lugar de en las políticas de seguridad de programación. Además, CA SiteMinder brinda la posibilidad de aplicar políticas de seguridad en toda la empresa, lo que elimina la necesidad de directorios redundantes de usuarios y lógicas de seguridad específicas de cada aplicación. Ilustración C Componentes de las políticas de seguridad de CA SiteMinder Las políticas de seguridad de CA SiteMinder están formadas por una serie de componentes que asocian los usuarios a los recursos y otorgan o deniegan el acceso. La política también puede desencadenar acciones en diversos eventos, como la entrega segura de atributos o datos de roles de los usuarios a la aplicación protegida.  Política de CA SiteMinder ¿Qué? ¿Quién? Condiciones opcionales REGLA DE SITEMINDER IDENTIDAD O ROL DEL USUARIO TIEMPO DIRECCIÓN IP VARIABLES DE SITEMINDER Describe el recurso al que se está accediendo ¿El usuario está incluido o excluido? Restricción de tiempo Restricción de red Características de la petición Acción PERSONALIZAR Factores externos RESPUESTA DE SITEMINDER Acción resultante del procesamiento Políticas de CA SiteMinder Las políticas de CA SiteMinder están diseñadas para adaptar el usuario y la relación del usuario al recurso protegido. Cada política protege los recursos mediante la autorización o el rechazo explícitos del acceso del usuario. Especifica lo siguiente: los recursos protegidos; los usuarios, grupos o roles que tienen acceso a dichos recursos; las condiciones en las que se debería permitir el acceso; y el método de prestación de dichos recursos a los usuarios autorizados. Si a un usuario se le deniega el acceso a un recurso, la política podrá determinar también el tratamiento de dicho usuario. Los componentes de la política pueden crearse en un dominio de políticas y también globalmente, cuando se apliquen a todos los dominios de políticas. •Reglas: son un componente clave de la política de seguridad, ya que otorgan o deniegan el acceso a los recursos específicos incluidos en la política. Una regla describe el recurso que se protege, ya sea éste una aplicación completa, una porción de ella o un componente específico de ella. También pueden definirse reglas dinámicas para determinar si el recurso al que se accede debería estar cubierto por la política de acceso. 11 CA SiteMinder Los recursos Web pueden restringirse mediante expresiones regulares, y los comodines y cadenas de consulta también se pueden controlar. Las reglas también pueden definirse para un evento, como una autenticación correcta (o fallida), el tiempo de espera de la sesión y la denegación del acceso. Las reglas están asociadas a dominios kerberos o componentes (que pueden anidarse en otros dominios kerberos o componentes). Los componentes y los dominios kerberos proporcionan un punto de recopilación adecuado para que las reglas definan los requisitos comunes de las políticas, como los niveles de autenticación y el tiempo de espera de la sesión. •Identidad o rol del usuario: conecta los usuarios autenticados con la política de acceso. Esta asociación puede definirse de varios modos: como la pertenencia a grupos, como estructura organizativa de LDAP y filtros de búsqueda, o como una consulta de SQL para una base de datos relacional. En CA SiteMinder r12, el acceso también puede determinarse a través de roles basados en la expresión que proporcionan mayor flexibilidad y beneficios, incluido un nivel de abstracción de la tecnología del directorio de usuarios subyacente. Para obtener más información, consulte Gestión de políticas empresariales en la sección Innovaciones de r12 de este documento. •Se pueden aplicar restricciones de tiempo en el nivel de las políticas y en las propias reglas de acceso a los recursos para proporcionar una mayor flexibilidad a la hora de determinar cuándo se debería permitir (o denegar) el acceso. Por ejemplo, se pueden aplicar restricciones para permitir el acceso los lunes de 8:00 a 10:00 o todo el fin de semana. •Las restricciones de la dirección IP permiten limitar las políticas en función de la dirección de red asociada al cliente. •Variables: permiten incluir la lógica empresarial en las políticas mediante la captura de una amplia variedad de datos dinámicos que pueden integrarse en las expresiones de la política. Por ejemplo, una política puede depender de un segmento de los datos de pruebas automáticas de encendido (POST, Power On Self Test) enviado con la solicitud o con la calificación de solvencia crediticia, que se recupera mediante una llamada de servicio Web. •Las condiciones personalizadas pueden evaluarse mediante políticas activas para lograr un control más minucioso aún de la autorización. Por ejemplo, una política podría denegar el acceso a una página de anotación de pedidos a los clientes con saldo vencido en una base de datos de contabilidad. •Respuestas: acciones configurables que derivan del procesamiento de una política. Las respuestas pueden facilitar datos y atribuciones del perfil del usuario a la aplicación una vez otorgado el acceso. Con esta información, la aplicación puede presentar una interfaz personalizada y determinar qué capacidades va a ofrecer al usuario. Las respuestas también pueden utilizarse para personalizar lo que ve el usuario cuando se le deniega el acceso o cuando expira su sesión. Las respuestas llevan a cabo todo ello mediante la configuración segura de variables de la sesión HTTP para la aplicación, la emisión de redireccionamientos, la configuración de cookies de HTTP en el explorador Web del usuario, y mucho más. Las respuestas activas permiten que el código personalizado recupere o genere datos para la aplicación, o que desencadene acciones externas como resultado de una decisión de políticas. Asignación de autorización CA SiteMinder admite la asignación de autorización, que permite que los administradores relacionen a los usuarios dentro de un directorio de autenticación con sus correspondientes identidades dentro de un directorio distinto al utilizado para la autorización. 12 CA SiteMinder Entre los posibles usos de la asignación de autorización se incluyen los siguientes: •Movimiento de la autenticación desde una aplicación heredada o independiente a un directorio de usuarios centralizado. De esta forma se permite introducir un SSO y una autenticación más consistente, incluso en aquellos casos en que la autorización deba permanecer dentro de la aplicación. •Una forma de habilitar la autenticación de Windows de CA SiteMinder para Microsoft Active Directory, al tiempo que se admite la autorización en un directorio alternativo con esquemas más flexibles (por ejemplo, Microsoft AD/AM); de este modo se permite aprovechar los atributos personalizados, como los roles y las atribuciones de usuario. La interfaz de usuario administrativa permite seleccionar el modo en que se realiza la asignación de las identidades de usuario entre los almacenes de autenticación y de autorización, incluso si están basados en tecnologías diferentes, como LDAP y una base de datos relacional. Ilustración D La asignación de autorización ayuda a las organizaciones a retirar el servicio activo de los contenedores de seguridad CA SiteMinder ofrece una función de asignación de autorización, que permite a las organizaciones aprovechar los almacenes de autenticación centralizados incluso cuando los datos de autorización permanezcan distribuidos con la aplicación.  DIRECTORIO DE EMPLEADOS DIRECTORIO DE NO EMPLEADOS SERVIDOR DE POLÍTICAS Fuentes de autenticación centralizada Asignaciones configurables entre los directorios de autenticación y autorización USUARIOS APLICACIÓN FINANCIERA APLICACIÓN DE MARKETING AGENTE AGENTE Directorio activo Base de datos relacional 13 APLICACIÓN DE SOPORTE AGENTE Directorio LDAP Fuentes de autorización descentralizada CA SiteMinder Virtualización de directorios Las organizaciones suelen verse en una situación en la que necesitan albergar varios directorios de usuarios. Esto puede suceder por varias razones, como por ejemplo el desarrollo distribuido, la inexistencia de estándares de seguridad, la política organizativa, la implementación de aplicaciones comerciales, o como resultado de adquisiciones o consolidaciones. Estos directorios pueden utilizarse en diferentes aplicaciones, y una única aplicación puede utilizar dos o más directorios. En algunos casos, es posible que los datos del perfil del usuario deban combinarse desde dos directorios para establecer el conjunto necesario de datos de atribuciones que requiere la aplicación. Los productos de servidor virtual de directorios (VDS, Virtual Directory Server) se han creado para satisfacer esta necesidad. Los productos VDS funcionan como una capa de abstracción entre los directorios de usuarios compatibles (entre los que suelen estar los directorios LDAP, el directorio activo y las bases de datos relacionales) y las aplicaciones que requieren sus servicios. Un VDS simplifica la configuración de aplicaciones porque para la aplicación (por ejemplo, CA SiteMinder) hay solamente un directorio de usuarios. No obstante, estas ventajas suponen un coste adicional que cubre el software VDS, los servicios de implementación y el hardware. Un producto VDS también representa una nueva capa de infraestructura, que requiere un nuevo planteamiento de la planificación de capacidades, la conmutación por error y la gestión. Además, estos productos representan una nueva capa de administración que requiere reflexionar sobre cómo debería gestionarse y auditarse la administración de las políticas y el comportamiento del tiempo de ejecución. Capacidades de virtualización de directorios CA SiteMinder no es un VDS, y existen muchas situaciones en las que la tecnología de VDS es conveniente. No obstante, CA SiteMinder ofrece algunas capacidades de virtualización de directorios que no están presentes en otros sistemas de WAM. Y dado que CA SiteMinder ya ofrece un entorno ininterrumpido de alto rendimiento con unas características excelentes de administración y gestión, es posible que resulte incluso ventajoso renunciar a la introducción de la tecnología VDS en algunos casos. Por ejemplo, CA SiteMinder incluye una función de encadenamiento de directorios que permite buscar fácilmente en dos o más directorios de usuarios de orden configurable para autenticar al usuario. CA SiteMinder r12 incluye capacidades adicionales de virtualización de directorios. Se puede autorizar a los usuarios autenticados en más de un directorio mediante roles de gestión de políticas empresariales (EPM). Estos roles se describen en la sección Gestión de políticas empresariales de este documento. Los roles de EPM pueden utilizarse para asignar una identidad a todos los directorios de autorización, que entran en vigor al presentar un directorio de usuarios virtualizado desde la perspectiva de los administradores de políticas y los informes de auditoría. Así, aunque la tecnología VDS tiene muchas ventajas, es posible que no sea práctico ni rentable introducir una plataforma VDS solamente para autenticar y autorizar usuarios en dos o más directorios. 14 CA SiteMinder Auditorías Las organizaciones deben seguir de cerca la utilización de las aplicaciones y los datos, y la forma en que el sistema de seguridad contribuye a proporcionar controles. Los administradores de sistemas necesitan datos detallados de los sistemas para mejorar el rendimiento. Los gestores empresariales necesitan datos sobre la actividad para demostrar que cumplen las políticas y normativas de seguridad. CA SiteMinder incluye completas capacidades de auditoría: •Auditorías de bases de datos relacionales y archivos planos. •Auditorías de la actividad de los usuarios, los administradores y el sistema en CA SiteMinder, así como en los módulos personalizados o en las utilidades de la línea de comandos. •Auditorías de los eventos de suplantación de identidad, por los que un usuario privilegiado adopta la identidad de otro usuario (por ejemplo, un empleado del servicio de atención al cliente que esté ayudando a un usuario con una aplicación asegurada). •Configuración flexible de los tipos de evento que se vayan a registrar (por ejemplo, solamente de los intentos fallidos de autorización). •La integración con los sistemas de agregación y correlación de eventos, como CA Security Command Center. Esto permite filtrar los eventos basados en políticas y su correlación con los eventos de la red empresarial, los sistemas y las aplicaciones. •Una potente API de eventos que permite escribir identificadores de eventos personalizados que pueden desencadenar actividades en aplicaciones externas. Por ejemplo, se puede escribir un identificador de eventos personalizado para desencadenar una notificación que se enviará por correo electrónico cuando se modifique una política de seguridad. Opciones de implementación flexible CA SiteMinder incluye numerosas opciones adicionales de implementación. Hay varios agentes (PEP distribuidos) disponibles para los servidores Web, los servidores de aplicaciones y los sistemas de planificación de recursos empresariales (ERP) más conocidos. También hay una alternativa basada en el servidor proxy, en la que es recomendable un modelo de PEP centralizado. Algunas de estas opciones de implementación se representan en la Ilustración E. Los agentes de servidor Web se implementan como complementos para servidores Web. El agente intercepta todo el tráfico de HTTP y HTTPS que entra en el servidor Web, y proporciona una protección completa de los recursos del servidor Web (páginas HTML, scripts, programas de la interfaz de entrada común [CGI, Common Gateway Interface] y páginas Active Server). Los agentes de servidor Web también sirven para proporcionar una protección perimetral y un inicio de sesión único a las aplicaciones empresariales que subyacen al servidor Web, incluidas las páginas Java Server que se ejecuten dentro de un contenedor de servlet. Los agentes de servidor Web están disponibles para Microsoft Internet Information Server, Sun Java System Web Server, Apache, Red Hat Apache, IBM HTTP Server, Domino, Oracle HTTP Server y HP Apache. El agente de CA SiteMinder para Sharepoint permite incorporar SharePoint en su experiencia de inicio de sesión único de SiteMinder (incluidos los esquemas de autenticación de SiteMinder). De esta forma se consigue una mejor experiencia de usuario y una aplicación coherente de las políticas de seguridad y las reglas de contraseñas. A medida que aumenta el uso de SharePoint y se busca ampliar el acceso a los contratistas, partners y clientes, podrá integrarlo también en su experiencia de SSO. 15 CA SiteMinder El agente de CA SiteMinder para SharePoint puede integrarse con una amplia variedad de directorios, como los directorios LDAP, Microsoft Active Directory, los sistemas mainframe o incluso las DBMS relacionales. Todos los usuarios, por tanto, pueden administrarse desde una ubicación central que posibilita el acceso coherente a los usuarios internos, externos y federados. Ilustración E Las alternativas de implementación maximizan la flexibilidad CA SiteMinder admite dos estrategias de implementación: un PEP basado en el servidor proxy, en el que la infraestructura de la aplicación no puede alterarse, y un PEP basado en el agente, en el que la protección de recursos locales es obligatoria.  DISPOSITIVO MÓVIL SERVIDOR PROXY SEGURO SERVIDOR WEB DE DESTINO SERVIDOR DE APLICACIONES AGENTE SERVIDOR DE POLÍTICAS USUARIOS SERVIDORES WEB Y APLICACIONES FEDERADAS SERVIDOR WEB SERVIDOR DE APLICACIONES AGENTE TIEMPO MEDIO DE RESPUESTA/ AGENTE DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES También es posible aplicar ambos métodos conjuntamente. Los agentes de servidor de aplicaciones (ASA, Application Server Agents) se implementan como complementos para servidores de aplicaciones J2EE. Normalmente se implementa un ASA junto con un agente Web: el agente Web proporciona protección perimetral y SSO, y el ASA aplica las políticas de autorización. El ASA, además, une las sesiones de CA SiteMinder y J2EE para proporcionar al usuario una experiencia perfecta y más segura. Los ASA están disponibles para IBM WebSphere, Oracle WebLogic y RedHat JBoss EAP. Los agentes de planificación de recursos empresariales (ERP) sirven para ampliar la experiencia de inicio de sesión único y la protección basada en políticas a los sistemas de ERP, como SAP, Oracle, PeopleSoft y Siebel. 16 CA SiteMinder El servidor proxy seguro (SPS, Secure Proxy Server) es una puerta de enlace de proxy inverso de alto rendimiento que posibilita una aplicación de políticas innovadoras sin necesidad de acceder a la plataforma Web de la aplicación empresarial. El SPS se suele utilizar para proteger una serie de aplicaciones distintas desde un único PEP centralizado. También ofrece lo siguiente: •Compatibilidad con dispositivos móviles mediante esquemas de sesión especializados, como las minicookies, el ID de dispositivo, la reescritura de URL, el ID de sesión de SSL y las soluciones personalizadas basadas en la API de esquema de sesión de Java incluida en el SPS. •Almacenamiento de credenciales, para proporcionar inicio de sesión único a los sistemas Web heredados que no pueden solucionarse para la integración del inicio de sesión. Se pueden combinar las implementaciones de SPS con los agentes Web; esto proporciona un mayor control de los recursos locales. Los agentes personalizados pueden integrarse o incrustarse en la API de agente para garantizar otros muchos tipos de aplicaciones (incluidas aquellas aplicaciones no basadas en la Web). Si utilizan la API de cookies, los agentes personalizados también podrán crear cookies de sesión de CA SiteMinder para que estas aplicaciones puedan participar en un entorno de SSO con CA SiteMinder habilitado. Los servicios Web pueden protegerse con CA SOA Security Manager, un producto de seguridad complementario que añade servicios de seguridad y servicios Web especializados a los sistemas basados en CA SiteMinder. Los servicios de federación de identidades están disponibles para las implementaciones de CA SiteMinder mediante CA Federation Manager. En los casos de federación basada en el explorador, CA Federation Manager permite a los usuarios pasar de forma segura de los sitios de inicio, donde se autentican inicialmente (el proveedor de identidades), a las aplicaciones de sitios de destino (el proveedor de servicios). CA Federation Manager posibilita que los sitios implementados de CA SiteMinder sean proveedores de identidades, proveedores de servicios o ambos, de acuerdo con estándares como SAML 1.x/2.0 y WS-Federation. Los dispositivos de servidor de acceso a la red (NAS, Network Access Server), como los servidores proxy, los cortafuegos y los servicios corporativos de acceso telefónico, pueden ser compatibles con la infraestructura de autenticación y política de seguridad de CA SiteMinder. Los dispositivos NAS pueden usar el protocolo del servicio de autenticación remota telefónica de usuario (RADIUS, Remote Authentication Dial-In User Service) para intercambiar información sobre la autenticación y la configuración de sesiones con el servicio RADIUS integrado del servidor de políticas. 17 CA SiteMinder Sección 2: Innovaciones de R12 Almacén de políticas extensible CA SiteMinder r12 se integra en una nueva arquitectura de almacén de políticas extensible (XPS, Extensible Policy Store), que posibilita la expansión de las funciones y funcionalidades sin necesidad de realizar costosas migraciones a ediciones superiores durante una actualización o la instalación de productos adicionales. El XPS emplea un modelo de datos controlado por el diccionario para gestionar, validar, migrar y asegurar los objetos, de forma que se admita la introducción de nuevos tipos de objeto sin necesidad de realizar cambios en el esquema del almacén de políticas tradicional. Para experimentar la eficacia de esta función, los clientes de CA SiteMinder 6.0 SP5 pueden comenzar a usar la nueva interfaz de usuario administrativa sin comprometerse a actualizar a r12 toda la infraestructura del servidor de políticas. De este modo, las organizaciones podrán aprovechar antes y de forma más sencilla y económica la nueva gestión de políticas empresariales y las funciones avanzadas de administración integradas en CA SiteMinder r12. Administración de implementaciones a gran escala CA SiteMinder r12 introduce una nueva plataforma administrativa y un nuevo modelo administrativo, ambos diseñados para admitir la implementación de aplicaciones a escala empresarial. La nueva interfaz de usuario administrativa puede conectarse a varios servidores de políticas; esto le permitirá gestionar todos sus entornos desde un único servidor de administración compartido. Además, esta interfaz se integra con un nuevo modelo de seguridad que ofrece una supervisión minuciosa de la asignación, el control y la delegación de derechos de administración de políticas. Con estas capacidades, los equipos de gestión de la seguridad podrán reducir los costes de administración, responder mejor a los propietarios de las aplicaciones y conservar el control centralizado. La asignación detallada de permisos permite otorgar únicamente aquellas capacidades que sean necesarias para que cada usuario desempeñe su trabajo. Esto deriva, por ejemplo, en lo siguiente: •Un auditor puede obtener acceso de sólo visualización a las definiciones de políticas de CA SiteMinder. •Un administrador puede asignar a un equipo privilegios de visualización para la configuración de los agentes y gestionar los privilegios (creación, actualización y supresión) de un solo miembro de confianza de dicho equipo. 18 CA SiteMinder •El personal de operaciones puede implementar y configurar nuevos agentes o directorios de usuarios, sin necesidad de tener acceso a las políticas de seguridad de la aplicación. •Puede definirse una cuenta de servicio para trasladar objetos de políticas desde el desarrollo hasta las pruebas. De acuerdo con las políticas de cumplimiento, a esta cuenta se le pueden otorgar privilegios de importación pero se le deniega el acceso a la interfaz de usuario administrativa. Existen más de 30 categorías de administración que pueden asignarse. A cada categoría se le puede otorgar la combinación necesaria de permisos de visualización, gestión, propagación y ejecución (aplicable únicamente a los informes). Ilustración F La delegación restringida admite la implementación de WAM en la empresa La interfaz de usuario administrativa admite la asignación detallada de permisos, la delegación de varios niveles y el control de privilegios. Esto permite a las organizaciones distribuir simultáneamente la autoridad administrativa, al tiempo que mantienen la gestión centralizada del proceso completo.  Administración típica de WAM • Trabajo excesivo del personal cualificado y costoso • Falta de interés para la organización • • • • • Infraestructura Directorios Esquemas de autenticación Configuración de agentes Políticas “¿Pasó anoche la política a la etapa de pruebas?” “¿Cuándo estará lista la nueva página de inicio de sesión?” “La política de acceso sigue estando equivocada” “¿Por qué tarda tanto esta implementación?” Delegación restringida de r12 • • • • Acercamiento de las tareas al experto Compromiso de la organización Mantenimiento del control central Optimización de los costes administrativos • • • • • Infraestructura Directorios Esquemas de autenticación Configuración de agentes Políticas Administradores de la seguridad central • • • • • Infraestructura Directorios Esquemas de autenticación Configuración de agentes Políticas Profesionales de TI y administradores autorizados • • • • • Infraestructura Directorios Esquemas de autenticación Configuración de agentes Aplicación Aplicación Políticas Usuarios empresariales, desarrolladores, profesionales de TI y administradores autorizados A B Los métodos de acceso se pueden otorgar o denegar a usuarios específicos, incluso cuando se permite el acceso a la interfaz de usuario administrativa, la API local, la API remota o el servidor de informes. También puede restringirse el acceso a la importación, la exportación y el registro de agentes, y a las herramientas específicas de la línea de comandos. Las herramientas de la línea de comandos ahora respetan la autenticación del sistema operativo, además del ID y la contraseña del administrador, lo que significa que no hacen falta credenciales en los scripts personalizados desarrollados por los clientes para automatizar las tareas administrativas. 19 CA SiteMinder La delegación restringida es un componente integral del nuevo modelo de seguridad, y aborda la capacidad de transferencia de responsabilidades administrativas, un requisito clave en las implementaciones de la WAM empresarial. En la interfaz de usuario administrativa, un administrador puede decidir si el usuario al que se le ha asignado un privilegio determinado puede delegarlo por sí mismo a otros. Este permiso especial se denomina Propagación en la interfaz de usuario administrativa. La compatibilidad con la delegación y la capacidad de controlar quién delega qué privilegios son importantes para el éxito de los sistemas de WAM empresariales a gran escala. La delegación de varios niveles permite a las organizaciones decidir cómo quieren gestionar sus responsabilidades. Dado que el privilegio de propagación puede otorgarse a personas específicas para unos privilegios y un alcance concretos, las organizaciones tienen la flexibilidad de distribuir la autoridad administrativa, al tiempo que mantienen la gestión centralizada de todo el proceso. El control administrativo permite al administrador otorgar privilegios para algunos objetos (pero no todos) a los que se aplican dichos privilegios. Este control permite al administrador lo siguiente: •Otorgar permisos de gestión a usuarios o equipos específicos que les permitan administrar las políticas de seguridad exclusivamente de las aplicaciones financieras. •Otorgar a un auditor acceso de visualización de todas las políticas de seguridad, salvo las asociadas a proyectos confidenciales. Gestión de políticas empresariales CA SiteMinder r12 introduce la gestión de políticas empresariales (EPM), un nuevo modelo de gestión del acceso que permite a los usuarios empresariales crear políticas de seguridad que les resulten inteligibles. Las aplicaciones de la EPM combinan todos los elementos de un dominio de seguridad en un sencillo concepto de fácil comprensión y gestión. Para proteger una aplicación empresarial sólo hay que hacer lo siguiente: •Describir los recursos que se van a proteger. Entre ellos se puede incluir una URL de una aplicación Web o un componente de una aplicación J2EE. •Describir a los usuarios que tienen acceso mediante la creación de roles de EPM. •Crear la política de seguridad mediante la asociación de roles y recursos. También tiene la opción de añadir respuestas a la política, ya sea enviando atribuciones a la aplicación empresarial o redirigiendo al usuario a otra página. Además, la administración de la aplicación se puede delegar en los usuarios más cualificados para esta tarea. Estos usuarios pueden ser desarrolladores de aplicaciones, empresarios o miembros del personal de administración. Los administradores también pueden controlar qué aplicaciones y qué aspectos de las aplicaciones puede gestionar un usuario. Por ejemplo, un equipo puede gestionar las aplicaciones financieras, mientras que otro puede gestionar los roles para las aplicaciones de la intranet. 20 CA SiteMinder Los roles de EPM le permiten describir qué usuarios tendrán acceso a la aplicación en función de sus requisitos empresariales, en lugar de en la implementación técnica de un directorio de usuarios concreto. Esto es posible porque la participación de un usuario en un rol se describe para CA SiteMinder como una expresión que proporciona una abstracción procedente de las características específicas del directorio de usuarios subyacente. Las expresiones se definen en la interfaz de usuario administrativa y añaden significado empresarial a los conceptos específicos del directorio, como la pertenencia a grupos, los atributos del perfil de usuario y la sintaxis de consultas de SQL. Los administradores pueden, por tanto, denominar estas expresiones para que los demás puedan utilizarlas para desarrollar roles. Ilustración G Una forma más sencilla de definir las políticas de seguridad  Para ampliar la WAM a la empresa, las organizaciones necesitan una forma más fácil de desarrollar y gestionar las políticas de seguridad. La gestión de políticas empresariales (EPM, Enterprise Policy Management) incluye un método innovador y sencillo para definir las políticas de seguridad. Esto permite a las organizaciones explotar totalmente las capacidades de delegación integradas de CA SiteMinder. 21 CA SiteMinder Esta abstracción entre las funciones específicas del directorio y la política de seguridad de las aplicaciones permite a las organizaciones aprovechar al máximo las ventajas de una delegación de varios niveles. Los que conozcan la organización y el esquema del directorio podrán definir expresiones. Por su parte, los que conozcan los requisitos de acceso de la aplicación, pero no estén familiarizados con la implementación del directorio subyacente, podrán usar estas expresiones denominadas para crear roles. Este método basado en expresiones también permite que los roles abarquen los directorios de usuarios, básicamente mediante la virtualización de la infraestructura del directorio desde el punto de vista de la autorización. La capacidad incluye la compatibilidad con la cobertura de los directorios de plataformas distintas, como LDAP y RDBMS. Esto puede resultar útil en los casos en los que una organización incorpore nuevos directorios obtenidos a través de las adquisiciones o las transiciones a una nueva plataforma de directorios. EPM es una función por capas que se desarrolla además de los componentes tradicionales de las políticas de CA SiteMinder. Esto permite que la EPM proporcione un nuevo modelo administrativo que admite la delegación, al tiempo que preserva las características de rendimiento del motor de políticas principal. Los administradores que conozcan los componentes tradicionales de las políticas de CA SiteMinder podrán continuar asegurando las aplicaciones con este método, y tanto la EPM como los métodos tradicionales podrán utilizarse en la misma implementación. Servidor de informes CA SiteMinder r12 se integra con un sistema sólido de notificación empresarial que se desarrolla además de SAP Business Objects. El servidor de informes se utiliza con CA SiteMinder de dos formas: •La notificación de auditorías mediante la conectividad abierta de bases de datos (ODBC, Open Database Connectivity) del almacén estándar de auditorías de CA SiteMinder •La notificación de análisis de políticas mediante la conexión directa con el servidor de políticas Al igual que ocurre con otros productos del conjunto de programas Identity and Access Management, el sistema del servidor de informes de CA Technologies se incluye en CA SiteMinder como un componente compartido de implementación opcional. 22 CA SiteMinder Sección 3: Capacidades de WAM empresariales Rendimiento Existe una serie de funciones integradas en la arquitectura de CA SiteMinder que contribuyen a sus características de rendimiento líderes del sector. Los agentes Web filtran las solicitudes Web y admiten numerosas funciones, como la autenticación, la autorización, el inicio de sesión único y la personalización de aplicaciones. Dado que los agentes se implementan entre los usuarios y las aplicaciones empresariales, el procesamiento de agentes debe ser extremadamente eficaz y fiable. •La autorización automática es una función configurable que permite a los agentes eludir la evaluación de políticas basada en las extensiones de archivos o la correspondencia de los identificadores uniforme de recursos (URI, Uniform Resource Identifier). Esta función suele utilizarse para excluir contenidos, como las imágenes y las hojas de estilo, que pueden no estar regidos por la política de seguridad de una organización. •El almacenamiento en memoria caché mejora el rendimiento al evitar llamadas innecesarias al servidor de políticas. –– La memoria caché de recursos de agentes supervisa el grado de protección de un recurso específico. –– La memoria caché de respuestas de agentes aumenta el rendimiento cuando los datos de las atribuciones se trasladan a la aplicación empresarial. –– La memoria caché de sesiones de agentes supervisa el estado de la sesión del usuario y los recursos para los que cada sesión de usuario se ha autorizado. Un algoritmo menos utilizado recientemente y la configuración para regir el tamaño de la memoria caché propician las sesiones de usuarios activas y hacen un uso eficaz de los recursos del sistema, incluso en implementaciones de poblaciones de varios millones de usuarios. Los agentes hacen escrutinios periódicos de los servidores de políticas para detectar cambios que puedan invalidar las entradas de la memoria caché. El funcionamiento del escrutinio se puede configurar y permite a las organizaciones equilibrar el rendimiento y la coherencia de las políticas. Los datos de la memoria caché también se pueden borrar definitivamente para usuarios, dominios kerberos y agentes específicos a través de la interfaz de usuario administrativa. El servidor de políticas es un motor de decisión de políticas muy optimizado con subprocesos múltiples, que ejecuta cuatro funciones clave: la autenticación, la autorización, la administración y las auditorías. Estas optimizaciones se complementan con funciones adicionales para aumentar el rendimiento: •Un modelo de subprocesos múltiples de gran eficacia, que se corresponde con una agrupación de subprocesos que se puede configurar de forma exclusiva, permite que el distribuidor saque el máximo partido al hardware de multiprocesador, incluidos los sistemas de multiprocesador simétrico de 4, 6, 8 y 16 vías. 23 CA SiteMinder •El almacenamiento en memoria caché se utiliza en muchas áreas: –– Una memoria caché de almacenamiento de objetos mantiene las entradas recuperadas del almacén de políticas y se carga previamente para mejorar el rendimiento. –– Una memoria caché de dos niveles vincula los recursos a sus objetos de políticas asociados, y se puede modificar su tamaño para optimizar el rendimiento. –– La memoria caché de autorizaciones de usuario permite que el servidor de políticas evalúe rápidamente qué política pertenece a qué usuario, y se puede modificar su tamaño para optimizar el rendimiento. –– La memoria caché de expresiones contiene las expresiones compiladas previamente. –– La memoria caché de subexpresiones de usuario elimina la evaluación de subexpresiones comunes en las que se utiliza la misma cláusula de expresiones más de una vez para el mismo usuario, aunque no esté en la misma expresión principal. •La agrupación de conexiones se utiliza para que el almacén de políticas y el acceso al directorio de usuarios hagan un uso eficaz de los recursos del sistema y la red. •Las capacidades de auditoría de alto rendimiento optimizan el rendimiento: –– Las auditorías asíncronas opcionales mejoran el rendimiento separando las decisiones relacionadas con la autenticación y la autorización de la tarea de registro de la decisión. –– El control de los tipos de evento que se auditan (por ejemplo, todos los eventos frente a los eventos de rechazo) y de la decisión de auditar o no auditar los eventos de acierto de caché de agentes Web. –– La disponibilidad de las auditorías basadas en archivos o en RDBMS, incluido un diseño de transacción de SQL de actualización masiva de alto rendimiento. Escalabilidad y disponibilidad probadas No basta solamente con que el rendimiento sea elevado para admitir la WAM global y empresarial de gran escala. Estos sistemas requieren una escalabilidad horizontal y vertical, el uso eficaz de los recursos y una arquitectura tolerante a errores. CA SiteMinder incluye una serie de funciones integradas concebidas para complementar la arquitectura de alto rendimiento y admitir las implementaciones a escala global. El agrupamiento en clúster de agentes Web se admite si se utilizan balanceadores de carga comunes de otros fabricantes para establecer la capacidad y la tolerancia a errores deseadas en el nivel Web. El modelo de sesión de CA SiteMinder no impone unos requisitos de configuración especiales para el balanceador de carga. Los usuarios pueden pasar sin problemas de un agente Web a otro, tal como lo determine el balanceador de carga. El agrupamiento en clúster de servidores de políticas es un requisito esencial de los sistemas de WAM escalables, y se integra en CA SiteMinder. Mediante el uso de clústeres de servidores de políticas, los administradores pueden organizar la capacidad de procesamiento por aplicación, zona geográfica o nivel de servicio. 24 CA SiteMinder En un clúster, cada servidor de políticas conecta con el mismo almacén de políticas lógico y replicado, de tal forma que disponga de una vista común de la información de infraestructura y las políticas. Con la adición de nuevos servidores de políticas, la capacidad del clúster se escala de forma lineal, puesto que no se produce ninguna replicación entre los servidores de políticas, excepto en el caso del almacén de políticas en sí. El agrupamiento de clúster es recomendable por las siguientes razones: •Las conexiones de agentes se realizan en función de la respuesta en tiempo real de cada servidor de políticas. A los servidores de política menos ocupados o de mayor capacidad se les asigna automáticamente una proporción mayor de la carga. De esta forma se garantiza el uso eficaz de los recursos del sistema, sin necesidad de intervención ni supervisión. •Los agentes pueden realizar la conmutación por error desde un clúster de servidor de política hasta otro en función de los criterios configurables. •El mantenimiento del software se simplifica debido a que estos servidores pueden desactivarse, actualizarse y reactivarse fácilmente sin necesidad de interrumpir el servicio. •La capacidad también puede ampliarse sin necesidad de cumplir requisitos administrativos adicionales, como la actualización de agentes con información sobre el nuevo servidor. Ilustración H La implementación a gran escala requiere funciones especializadas Es fundamental que sus aplicaciones Web empresariales importantes estén aseguradas con un sistema escalable y tolerante a errores. CA SiteMinder incluye compatibilidad integrada con el agrupamiento en clúster y el error de clúster, los dos elementos clave de la implementación global de aplicaciones Web.  Centro de datos 1 Centro de datos 1 NIVEL WEB EN CLÚSTERES CON BALANCEADOR DE CARGA NIVEL WEB EN CLÚSTERES CON BALANCEADOR DE CARGA BALANCEADOR DE CARGA AGENTE AGENTE BALANCEADOR DE CARGA AGENTE BALANCEADOR DE CARGA AGENTE AGENTE AGENTE Conmutación por error CLÚSTER DE SERVIDOR DE POLÍTICAS CLÚSTER DE SERVIDOR DE POLÍTICAS Replicación 25 CA SiteMinder La conmutación por error y el equilibrio de carga para los sistemas de servidor también son importantes para el funcionamiento continuo de la implementación de WAM a gran escala. CA SiteMinder incluye una serie de funciones, buenas prácticas y capacidades de terceros que se utilizan para garantizar la continuidad operativa durante los fallos del directorio de usuarios, el almacén de políticas, el almacén de claves o el almacén de sesiones. •La conmutación por error se proporciona al almacén de claves y al almacén de políticas para que se pueda realizar el mantenimiento en las bases de datos o los servidores de LDAP sin necesidad de un corte programado de CA SiteMinder y las aplicaciones cuyo acceso gestiona. •La replicación de los datos del almacén de claves y el almacén de políticas en los centros de datos se lleva a cabo con sistemas de replicación de terceros o con la propia tecnología de almacenamiento subyacente (por ejemplo, Oracle RAC). •La compatibilidad de la conmutación por error y el equilibrio de carga del directorio de usuarios se consiguen mediante la configuración de la interfaz de usuario administrativa. Plataforma segura Las capas de seguridad, las funciones avanzadas y la potente tecnología de cifrado simplifican el uso de CA SiteMinder de un modo muy seguro. Advance Encryption Standard (AES) es una opción de CA SiteMinder r12 que si se selecciona se utiliza en todo el sistema. Este cifrado cubre las cookies de sesión, las comunicaciones de los agentes y los datos confidenciales de los archivos de exportación de políticas. La implementación de r12 AES utiliza una serie de opciones de alta seguridad, como las siguientes: •AES OFB (Output Feedback) con HMAC-SHA256 para establecer canalizaciones cifradas entre los agentes y los servidores de políticas. •Modo AES CBC (Cipher Block Chaining, encadenamiento de bloques de cifrado) con HMAC-SHA256 truncado a 228 para el cifrado de cookies. •AESKW (AES Key Wrap) para el almacenamiento de claves, el transporte de claves y el aseguramiento de la exportación de datos. La implementación de AES de CA SiteMinder r12 admite el estándar FIPS 140-2 y proporciona a las organizaciones una plataforma de WAM muy segura. El registro de agentes garantiza que las nuevas instalaciones de agentes se autoricen, y recopila la información necesaria para establecer una relación de cifrado de confianza entre el agente de CA SiteMinder y el servidor de políticas. Esta autenticación mutua entre componentes garantiza que el registro y la inicialización de agentes no corren riesgo. 26 CA SiteMinder Si hay varios servidores Web en un único host podrán sólo compartir un registro de confianza, pero se podrán establecer registros de confianza independientes para un mayor control. El secreto compartido, del que depende esta confianza, puede modificarse en cualquier momento en la interfaz de usuario administrativa. También existe una opción para que CA SiteMinder cambie automáticamente el secreto compartido cada cierto tiempo. •La sustitución de clave dinámica es una función integrada diseñada para incrementar la seguridad de las cookies de sesión de CA SiteMinder mediante la rotación de la clave simétrica utilizada para el cifrado y el descifrado. Está concebida para funcionar en implementaciones a gran escala, e incluye períodos de gracia para compensar la latencia asociada a las solicitudes de actualización de claves de procesamiento en miles de agentes. •La transferencia segura de atributos es compatible con las respuestas de CA SiteMinder. Cuando una política configura y desencadena las respuestas, el servidor de políticas recupera uno o varios atributos (un identificador de grupo o de rol, un atributo de un perfil de usuario, una credencial, etc.) y los devuelve al agente Web a través del túnel cifrado. A continuación, los agentes Web inyectan la información recuperada en la solicitud Web del usuario en forma de una serie de encabezados de HTTP asignados. Otros tipos de agente presentan respuestas mediante mecanismos apropiados a su categoría. Estos encabezados se añaden a la solicitud HTTP del usuario mediante el agente Web y, por tanto, no son visibles para el usuario o los observadores de la red perimetral. Además, estos encabezados sustituyen a los encabezados manipulados que podrían enviarse desde el cliente para intentar entrar ilícitamente en una aplicación. •El control de la memoria caché permite a los administradores borrar definitivamente de forma selectiva la memoria caché de autorizaciones de agentes para garantizar que una sesión de usuario ya no es válida aunque no se cierre. Prueba de vulnerabilidad Por otra parte, CA SiteMinder ha realizado un análisis de la vulnerabilidad de terceros, que incluye la revisión del código fuente y las pruebas de penetración basadas en más de 96 categorías de patrones de vulnerabilidad. Entre estas pruebas se incluyen la comprobación de que las entradas de clientes del explorador Web se gestionan correctamente, la comprobación de que los datos confidenciales se protegen adecuadamente, y la comprobación de que las funciones de autenticación, autorización y gestión de sesiones funcionan apropiadamente. Para obtener una copia del informe, póngase en contacto con el representante de CA Technologies. 27 CA SiteMinder Capacidades de gestión empresarial El uso de aplicaciones accesibles a través de la Web a gran escala también requiere unas herramientas y una infraestructura de gestión especializadas. CA SiteMinder incluye herramientas para supervisar, ajustar, depurar y gestionar el ciclo de vida de las políticas. Además, ofrece flexibilidad desde el punto de vista de la configuración centralizada de los agentes, la configuración local de los agentes y las combinaciones de ambas. Las herramientas de gestión del ciclo de vida de las políticas se incluyen para mover la política de seguridad y los objetos de la infraestructura por los entornos de desarrollo, pruebas y producción. Estas herramientas se han actualizado en r12 para incorporar lo siguiente: •Un formato de XML basado en estándares para los datos exportados. •Cifrado de los datos confidenciales en los archivos de exportación. •Ajustes de configuración para regir el funcionamiento de la importación, que incluye opciones de adición, sustitución y superposición. Existe una interfaz de línea de comandos para utilizar la potencia de la generación de scripts de Perl para controlar de forma dinámica el sistema CA SiteMinder. OneView Monitor es una herramienta de supervisión centralizada de CA SiteMinder que proporciona información sobre el uso de los recursos para contribuir a la identificación de los cuellos de botella del rendimiento. OneView Monitor recopila los datos operativos de los agentes y los servidores de políticas, y puede mostrar alertas cuando se producen ciertos eventos, como el fallo de un componente. CA Application Performance Management para CA Siteminder es un producto complementario que proporciona a los equipos de soporte técnico un sistema de advertencia anticipada; esto les permite detectar, evaluar y diagnosticar los problemas que afectan al funcionamiento de CA SiteMinder antes de que los usuarios finales resulten afectados. CA Application Performance Management para CA Siteminder recopila pruebas que pueden utilizarse para precisar los problemas aparentemente causados por CA SiteMinder en un inicio, pero que pueden estar relacionados más bien con la plataforma del directorio de usuarios, la red o el servidor Web. 28 CA SiteMinder Ilustración I Supervisión del rendimiento en tiempo real mediante el historial integrado  CA Application Performance Manager para CA SiteMinder supervisa el sistema de WAM las 24 horas del día y los 7 días de la semana, para detectar problemas de forma proactiva y posibilitar un análisis rápido cuando se produzcan fallos de funcionamiento. El historial se conserva y la ventana de eventos puede moverse fácilmente para centrarse en períodos específicos. Al agregar datos procedentes de todos los agentes y servidores de políticas, CA Application Performance Manager para CA SiteMinder permite a los equipos de TI supervisar las estadísticas de rendimiento de CA SiteMinder de forma exhaustiva y en tiempo real: el tiempo medio de respuesta en el inicio de sesión; los éxitos, fallos y errores de cada período de medición; y la disponibilidad de los sockets para los procesos de CA SiteMinder. CA Application Performance Manager para CA SiteMinder identifica automáticamente las transacciones problemáticas, y muestra aquellas transacciones con estadísticas correlacionadas procedentes del entorno de CA SiteMinder para agilizar la solución de los problemas. La compatibilidad con el protocolo simple de administración de redes (SNMP, Simple Network Management Protocol) permite la supervisión desde las aplicaciones de gestión de SNMP. CA SiteMinder incluye una base de datos de información de administración (MIB, Management Information Base) conforme con SNMPv2, un agente de SNMP y una biblioteca de capturas de SNMP de eventos. El agente de SNMP permite supervisar las aplicaciones para recuperar datos operativos de la herramienta OneView Monitor de CA SiteMinder. El agente de SNMP envía los datos al gestor de SNMP y admite la gestión de la solicitud de SNMP. 29 CA SiteMinder Existen alternativas flexibles para las configuraciones y la supervisión de los agentes que permiten a los clientes elegir si prefieren gestionar de forma centralizada la configuración de agentes con la interfaz de usuario administrativa, localmente a través de un archivo de configuración en la plataforma del agente o mediante una combinación de ambos métodos. Los clientes suelen preferir el modelo de gestión centralizada de agentes de CA SiteMinder, porque simplifica la administración de las implementaciones a gran escala. A medida que se añadan nuevos servidores Web para satisfacer la demanda, podrán implementarse nuevos agentes Web con un trabajo administrativo mínimo. En ocasiones también es recomendable permitir al personal de operaciones o a los desarrolladores que controlen algunos ajustes del agente Web, como la ubicación de escritura de los archivos de seguimiento o los caracteres de URL que deben bloquearse en las futuras solicitudes. Estos ajustes pueden modificarse en la interfaz de usuario administrativa; CA SiteMinder también permite definirlos en un archivo de configuración local del nivel Web. Un administrador es el que se encarga de controlar en la interfaz de usuario qué opciones hay disponibles para cada agente. Las capacidades avanzadas de registro y seguimiento se integran para solucionar los problemas de configuración y tiempo de ejecución. Entre las funciones principales se incluyen las siguientes: •La creación de perfiles de tiempo de ejecución permite limitar el seguimiento de componentes de procesamiento y elementos de datos concretos. También puede especificar los filtros para precisar más el resultado del seguimiento. Los cambios de perfil se cargan de forma dinámica, lo que significa que no es necesario reiniciar el servidor de políticas para modificar los datos que se registran. •La correlación de transacciones permite realizar un seguimiento de los eventos del agente y el servidor de políticas mediante un ID de transacción único y generado automáticamente común a cada evento. •La configuración disponible permite controlar la retención de archivos de registro y el funcionamiento de la sustitución, incluida la sustitución basada en el tamaño de archivo o la hora. •El control del formato de registro: XML, ancho delimitado y ancho fijo. Con estas funciones, es mucho más fácil solucionar problemas en los servidores ocupados. Existe una herramienta de pruebas para simular la interacción entre los agentes y los servidores de políticas. Los administradores de políticas pueden usar esta herramienta para probar rápidamente la evaluación de políticas y contribuir a la solución de los problemas del diseño de políticas. El comando de publicación del servidor de políticas se puede utilizar para capturar una instantánea de un entorno de tiempo de ejecución de CA SiteMinder, que incluye información sobre la configuración del servidor de políticas, los agentes conectados, los almacenes de usuarios y políticas y los módulos personalizados en uso. En caso necesario, la información recopilada permitirá que los ingenieros de soporte técnico en línea de CA reproduzcan y resuelvan más rápidamente los problemas de producción graves. 30 CA SiteMinder Sección 4: Compatibilidad y capacidad de extensión Kit de desarrollo de software (SDK) El SDK de CA SiteMinder incluye un conjunto de interfaces de programación de aplicaciones (API) documentadas que le permite integrar y ampliar las capacidades de CA SiteMinder en su entorno específico. La API de gestión de políticas se utiliza para manipular los objetos del almacén de políticas. Con esta API, puede desarrollar una interfaz administrativa personalizada para gestionar los objetos de la infraestructura y la política, como el movimiento de políticas por los entornos y la carga masiva de objetos de políticas. Las interfaces de programación y de línea de comandos (CLI, Command Line Interfaces) están disponibles. Ilustración J Interfaces disponibles de programación de aplicaciones Las API de programación están disponibles en C, Java y Perl para desarrollar integraciones personalizadas con CA SiteMinder.  SERVIDOR DE POLÍTICAS DE CA SITEMINDER AGENTE PERSONALIZADO API del agente SCRIPT O INTERFAZ ADMINISTRATIVOS PERSONALIZADOS Authentication API de autenticación API Customde Esquema Authentication autenticación Scheme personalizado Authorization API de autorización API Extensión Custom Policy de políticas Extension API APIEvent de eventos API de gestión de políticas Directory API de API directorios 31 personalizada Identificador Custom Event deHandler eventos personalizado Custom Proveedor deDirectory directorios Provider personalizado CA SiteMinder La API de agente sirve para desarrollar agentes personalizados que apliquen el control de accesos y gestionen las sesiones de usuario. La aplicación del control de accesos consiste en la autenticación, la autorización y las auditorías. Entre los servicios adicionales que presta la API de agente se incluyen los siguientes: •La gestión de sesiones, que incluye la posibilidad de almacenar y recuperar variables. •El equilibrio de carga, la conmutación por error y el cifrado para las comunicaciones del servidor de políticas. •La detección de los cambios de configuración, los vaciados de la memoria caché y los eventos de sustitución de claves. •La posibilidad de ejecutar código personalizado en el servidor de políticas a través de un canal seguro. Esto resulta útil a la hora de integrar los sistemas heredados con el proceso de evaluación de políticas y como un modo seguro de comunicarse a través de un cortafuegos. Los agentes personalizados pueden participar en un entorno de inicio de sesión único con los agentes Web estándares de CA SiteMinder que utilizan un conjunto de API de cookies. Estas interfaces pueden utilizarse para crear cookies de sesión de SiteMinder de terceros que los agentes Web de CA SiteMinder pueden aceptar. La API de autenticación sirve para desarrollar módulos de complementos que definen nuevos esquemas de autenticación o personalizar esquemas de autenticación innovadores. Los módulos desarrollados con esta API se implementan como bibliotecas compartidas y pueden configurarse en la interfaz de usuario administrativa. Los esquemas de autenticación personalizados pueden ayudar en la desambiguación y en la autenticación de usuarios. La API de autorización sirve para desarrollar módulos de complementos que desempeñen funciones de autorización personalizadas. Los módulos pueden configurarse en la interfaz de usuario administrativa para definir reglas activas, políticas activas y respuestas activas. Las reglas y políticas activas representan el código personalizado que modifica o mejora las funciones básicas de las reglas y las políticas de CA SiteMinder. Las respuestas activas permiten que el código personalizado recupere o genere datos para la aplicación empresarial, o que desencadene acciones externas como resultado de una decisión de políticas. La API de directorios sirve para desarrollar un proveedor para un directorio de usuarios personalizado. La API de eventos sirve para desarrollar un identificador personalizado que registre los eventos utilizando fuentes, aplicaciones o proveedores externos. Por ejemplo, un desarrollador podría desarrollar un identificador de eventos que enviara un correo electrónico al administrador cuando el servidor de contabilidad se iniciara o cuando alguien creara una nueva política de seguridad. 32 CA SiteMinder Programas de partners de CA CA Technologies proporciona un conjunto completo de programas que permiten a la comunidad de partners desarrollar, comercializar, prestar e implementar soluciones y servicios basados en CA SiteMinder para nuestros clientes. La amplia comunidad de partners de CA Technologies abarca una gran variedad de modelos, entre los que se incluyen los integradores de sistemas, los proveedores de servicios de consultoría, los distribuidores y los partners de tecnología. Integradores de sistemas globales CA Technologies ha entablado alianzas estratégicas con muchos de los integradores de sistemas globales (GSI, Global Systems Integrator) más importantes del mundo. Estas alianzas mejoran CA SiteMinder con los servicios de consultoría de GSI reconocidos por el sector y el liderazgo de pensamiento para garantizar una calidad excepcional a los clientes de CA Technologies. Entre los partners de GSI se incluyen Accenture, Cap Gemini, Deloitte, Mycroft, Infosys, PwC y Wipro. Proveedores de software independientes CA Technologies también fomenta las asociaciones de tecnología relacionadas con CA SiteMinder. Los proveedores de software independientes (ISV, Independent Software Vendor) ofrecen aplicaciones que se integran con CA SiteMinder para aumentar la calidad de nuestros productos. El sólido SDK y las API desarrolladas de CA SiteMinder han permitido a cientos de partners satisfacer las necesidades de nuestros clientes mutuos con soluciones integradas y líderes del sector. CA Technologies trabaja mano a mano con sus partners de CA SiteMinder para satisfacer las necesidades y requisitos exclusivos de la comunidad de CA SiteMinder. Para obtener más información, visite www.ca.com/partners. 33 CA SiteMinder Servicios de CA No se puede sustituir a los expertos en seguridad ni al diseño detallado a la hora de garantizar la implementación eficaz y segura de un sistema de WAM empresarial. Ilustración K Aproveche la experiencia de los especialistas  El servicio de implementación rápida de CA SiteMinder ofrece un trabajo conjunto con los expertos de WAM para desarrollar un plan que le permita ponerse en marcha enseguida centrándose en una implementación inicial y limitada. El servicio de implementación rápida de CA SiteMinder ofrece un trabajo conjunto con los expertos de WAM para desarrollar un plan que le permita ponerse en marcha enseguida centrándose en una implementación inicial y limitada. Los planes se desarrollan para ampliar y mejorar las capacidades existentes de administración del acceso Web, la integración de aplicaciones, la autenticación de usuarios o sistemas y la gestión de políticas de contraseñas de usuario. Una vez validado el diseño y la especificación, los expertos de CA SiteMinder instalarán, configurarán, integrarán, probarán y documentarán los flujos de trabajo, las características y las funciones que se hayan definido en el diseño detallado. 34 CA SiteMinder El servicio de implementación rápida de CA SiteMinder ofrece las siguientes ventajas: •Reduce el tiempo de valuación gracias a una implementación limitada. •Reduce el riesgo de errores de implementación gracias a la infraestructura de WAM. •Proporciona una implementación factible y personalizada, y planes de pruebas. •Mejora la eficacia gracias a la aplicación de metodologías de buenas prácticas. •Adapta las características y funciones de CA SiteMinder a sus requisitos y objetivos de negocio y de seguridad. •Acelera las curvas de implementación y de aprendizaje del personal. Prestación global de servicios de CA El equipo de prestación global de servicios de CA, que se integra en el equipo CA Services, tiene como objetivo contribuir a reducir el tiempo de evaluación en las implementaciones de productos de CA Technologies, mediante la prestación centralizada de aceleradores y componentes de alta calidad, duraderos y rentables. Los componentes de este equipo son los siguientes: •Alta calidad: utiliza metodologías coherentes y estándares de pruebas para producir cada componente. Nuestros componentes están bien documentados y se integran fácilmente en los entornos de CA Technologies. •Durabilidad: el equipo de prestación global de servicios de CA ofrece soporte técnico para todo el trabajo, ya sea en lo que respecta al tiempo y los materiales o como parte de un contrato de soporte técnico. •Rentabilidad: un modelo de prestación de servicios nacional/internacional que combina las dotes empresariales y técnicas de nuestros arquitectos con los servicios de desarrollo, pruebas y documentación de nuestros equipos internacionales de desarrollo. •Aprovechamiento de partners: para satisfacer las necesidades específicas de los clientes, el equipo de prestación global de servicios de CA aprovecha las relaciones con los principales partners para ofrecer una mayor capacidad y pericia. Este equipo presenta un completo catálogo de aceleradores y componentes estándares que mejoran y amplían CA SiteMinder y otros productos en el conjunto de programas Identity and Access Management de CA Technologies. Además, desarrolla soluciones integradas para CA SiteMinder con el kit de desarrollo de software (SDK) que se incluye en estos productos. El equipo de prestación global de servicios de CA trabaja conjuntamente con los equipos de CA Services, ingeniería de productos y gestión de productos para desarrollar soluciones para los clientes de gran calidad y coherentes con las directrices de los productos de CA Technologies. 35 CA SiteMinder Compatibilidad con plataformas El equipo de certificación de CA Technologies se centra en la migración y las pruebas de CA SiteMinder con el hardware y el software más recientes según las prioridades de nuestros clientes. Actualmente, CA SiteMinder está avalado por más de 450 combinaciones probadas específicamente de servidores Web y de aplicaciones, sistemas de ERP, directorios, bases de datos y sistemas operativos. Sistemas operativos del servidor de políticas y el agente Web Plataformas de agentes Directorios de usuarios • Microsoft Windows Servidores de aplicaciones/Web • CA Directory • Sun Solaris • Apache HTTP Server • Critical Path Directory Server • Red Hat Enterprise Linux • Apache Tomcat • IBM DB2 • SUSE Linux • Oracle WebLogic • IBM Directory Server • HP-UX • HP Apache • Lotus Domino LDAP • IBM AIX • RedHat JBoss EAP • Microsoft Active Directory • IBM Z/OS • IBM HTTP Server • Microsoft AD/AM • IBM WebSphere • Microsoft SQL Server • Lotus Domino • MySQL • Microsoft IIS • Novell eDirectory • Microsoft SharePoint • Oracle Internet Directory • Oracle HTTP Server • Oracle RDBMS • Red Hat Apache • Oracle RAC • Sun Java System • Open LDAP Otros estándares • SAML 1.x/2.0 • WS-Security • WS-Federation • SNMP • IPv6 • AES • FIPS 140-2 Sistemas ERP • RADIUS • Oracle • Common Criteria (evaluado) • PeopleSoft • SAP • Siebel • OpenWave • Radiant One Virtual Directory Server • Red Hat Directory Server • Siemens DirX • Sun Java System Directory Server • SunOne Directory Server Para obtener la información más actualizada sobre certificación, consulte las matrices de compatibilidad de la gama de productos de CA SiteMinder y la documentación de orientación para la certificación del soporte técnico en línea de CA. 36 CA SiteMinder Sección 5: Conclusiones Los sistemas de WAM desempeñan un papel fundamental en el entorno empresarial actual: aseguran el envío de información y aplicaciones en la Web. A primera vista, pueden parecer una serie de soluciones de WAM disponibles con funciones y capacidades similares; no obstante, si se observa con más detalle, se comprende por qué CA SiteMinder sigue constituyendo el modelo de excelencia para los sistemas de WAM de todo el mundo. CA SiteMinder tiene la arquitectura de mayor rendimiento y escalabilidad de hoy en día para asegurar todas las aplicaciones Web, incluso aquellas destinadas a la implementación a escala global y a millones de usuarios. Las funciones de autenticación avanzada e inicio de sesión único, las opciones flexibles de implementación y auditorías y la amplia compatibilidad de plataformas permiten optimizar la implementación de CA SiteMinder de acuerdo con los requisitos específicos de su organización. CA SiteMinder r12 introduce un nuevo modelo de gestión de políticas empresariales y las capacidades de administración más avanzadas del sector. Esto permite implicar a un mayor número de personas en el proceso de aseguramiento de las aplicaciones Web, liberando así a los expertos en seguridad y comprimiendo los programas de los proyectos. Además, la versión r12 se basa en una nueva arquitectura extensible que puede coexistir con la versión r6 anterior, al tiempo que permite que CA Technologies proporcione funciones nuevas importantes aún más rápidas sin el engorro de la migración que suele asociarse a las actualizaciones de software. Por último, el conjunto de programas Identity and Access Management de CA Technologies incluye productos complementarios que, si se utilizan junto con CA SiteMinder, pueden aumentar sus beneficios. Estos productos hacen frente a los problemas asociados a las identidades federadas y la gestión de servicios SOA/Web, el inicio de sesión único en los sistemas heredados, la gestión del cumplimiento de la seguridad y la gestión del ciclo de vida de las identidades. CA SiteMinder afronta los retos actuales de WAM y le prepara para las futuras capacidades en continuo cambio y crecimiento de la Web. Para obtener más información sobre CA SiteMinder, un componente clave de la cartera de productos de gestión de la seguridad de CA Technologies, visite ca.com/security. 37 CA SiteMinder CA Technologies es una empresa de software y soluciones de gestión de TI con experiencia en todos los entornos, desde el mainframe y los entornos físicos hasta los virtuales y en la nube. CA Technologies gestiona los entornos de TI y garantiza su seguridad, lo que permite a los clientes prestar unos servicios de TI más flexibles. Los innovadores productos y servicios de CA Technologies proporcionan la comprensión y el control fundamentales para que las organizaciones de TI impulsen la agilidad empresarial. La mayoría de las empresas que figuran en la lista Global Fortune 500 confían en CA Technologies para gestionar sus ecosistemas de TI en constante evolución. Para obtener más información, visite el sitio de CA Technologies en ca.com. Copyright ©2011 CA. Todos los derechos reservados. Todas las marcas comerciales, nombres comerciales, marcas de servicio y logotipos a los que se haga referencia en la presente documentación pertenecen a sus respectivas compañías. El propósito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación “tal cual”, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelación y expresamente de la posibilidad de dichos daños. CS1002_0411