CA SiteMinder® le prepara para el futuro

Transcripción

INFORME TECNOLÓGICO
CA SiteMinder | Abril de 2011
CA SiteMinder®
le prepara para
el futuro
CA SiteMinder
índice
RESUMEN EJECUTIVO
3
Sección 1: Aspectos básicos de la gestión del
acceso Web
4
Sección 4:
31
Compatibilidad y capacidad de extensión
Kit de desarrollo de software (SDK)
Programas de partners de CA
Los objetivos de la gestión del
acceso Web
Servicios de CA
Prestación global de servicios de CA
CA SiteMinder
Compatibilidad con plataformas
Autenticación
Sección 5: Conclusiones
Single Sign-On
Autorización
Virtualización de directorios
Auditorías
Opciones de implementación flexible
Sección 2:
Innovaciones de R12
18
Almacén de políticas extensible
Administración de implementaciones a
gran escala
Gestión de políticas empresariales
Servidor de informes
Sección 3:
Capacidades de WAM empresariales
Rendimiento
Escalabilidad y disponibilidad probadas
Plataforma segura
Capacidades de gestión empresarial
2
23
37
CA SiteMinder
resumen ejecutivo
Reto
El entorno empresarial actual requiere una distribución segura de la información y las aplicaciones en
la Web. Los sistemas de gestión del acceso Web (WAM, Web Access Management) son fundamentales
para esta evolución. Aunque los sistemas de WAM no son nuevos, las presiones relativas al control de
los costes, el cumplimiento y el crecimiento están haciendo que las organizaciones se replanteen y a
menudo amplíen drásticamente sus estrategias de WAM. Las organizaciones deben adoptar sistemas
de autenticación nuevos y más avanzados, implementar políticas de seguridad basadas en los riesgos
y federar las identidades con otras organizaciones para competir de forma eficaz en el mundo accesible
a través de la Web. Al mismo tiempo, se necesitará una experiencia de usuario mejorada, una
administración simplificada y una fiabilidad y escalabilidad sin precedentes a medida que la Web se
afiance en el núcleo de las estrategias de las aplicaciones.
Oportunidad
CA SiteMinder® es la solución de WAM de implementación más generalizada, y puede proporcionar
una plataforma de seguridad probada que hace frente a los retos del mundo actual accesible a través
de la Web y coloca a su organización en la mejor posición para el cambio y la expansión futuros.
CA SiteMinder ofrece lo siguiente:
•Una compatibilidad con plataformas sin precedente
•Capacidades avanzadas de autenticación y autorización
•Capacidades de administración y gestión empresarial
•Una nueva arquitectura extensible que simplifica las actualizaciones al tiempo que proporciona una
plataforma unificada para la gestión de las políticas empresariales
•La solución de WAM disponible con mayor rendimiento y escalabilidad
Beneficios
CA SiteMinder puede hacer frente a sus retos de acceso seguro a la Web y mejorar la estrategia de
gestión de identidades y accesos de su empresa. Esta solución de WAM le ayudará a hacer lo siguiente:
•Crear una experiencia perfecta para los usuarios, incluido el acceso a los sistemas de partners
•Reducir los costes mediante la administración delegada y la gestión simplificada
•Responder a las necesidades comerciales con las últimas funciones, incluida la autenticación eficaz
•Dejar a un lado las auditorías retroactivas y avanzar hacia la conformidad continua
CA SiteMinder trata todos sus problemas de gestión de seguridad para permitirle centrarse en los retos
empresariales importantes.
3
CA SiteMinder
Sección 1:
Aspectos básicos de la gestión del acceso Web
Los objetivos de la gestión del acceso Web
Los sistemas de WAM son la clave para posibilitar los negocios en la Web y limitan el riesgo de
seguridad. Estos sistemas protegen y controlan el acceso a sus aplicaciones Web, registran las
actividades de los usuarios y los administradores y se encargan de crear una experiencia perfecta
de inicio de sesión único para cualquier usuario, ya sea un empleado, un partner o un cliente.
Un sistema de WAM eficaz debe constituir un servicio de seguridad compartido para las aplicaciones
de toda la empresa. No basta con limitarse a cumplir los requisitos básicos: las implementaciones
empresariales de WAM deben admitir situaciones complejas de inicio de sesión único y operaciones
ininterrumpidas. Deben ser fáciles de administrar, supervisar y gestionar. Debe haber alternativas de
implementación para que el sistema pueda adaptarse a los requisitos específicos de una organización.
Además, el sistema debe ser ampliable y global desde el punto de vista de la cobertura y las
capacidades de su plataforma.
¿Qué debe hacer un sistema de WAM?
Desde la perspectiva empresarial, el sistema de WAM debe ayudar a las organizaciones a responder
a muchas preguntas importantes, como las siguientes:
•¿Nuestros recursos Web están adecuadamente protegidos?
•¿Cómo podemos proporcionar a los usuarios una experiencia perfecta dada la disparidad de nuestros
entornos de aplicación?
•¿Cómo deberíamos autenticar a los usuarios? ¿Podemos utilizar distintos métodos en función de los
criterios que definamos?
•¿Es sencillo crear y gestionar políticas de acceso? ¿El sistema nos ofrece la flexibilidad que
necesitamos?
• ¿El sistema nos puede ayudar a reducir los costes de administración de la seguridad y los costes
operativos derivados?
•¿Si adquirimos una empresa nos veremos obligados a replantear nuestras estrategias de
implementación?
•¿Podemos vincular el sistema a nuestros procesos de auditoría existentes?
•¿El sistema seguirá respondiendo y siendo fácil de gestionar a medida que nuestro uso aumente?
•¿El sistema se puede poner en peligro? ¿Qué grado de fiabilidad tiene?
•¿Podemos ofrecer medios seguros y sencillos para autenticar a los usuarios sin necesidad de
solicitarles que recuerden las contraseñas?
Todas las anteriores son preguntas complicadas. Es importante que conozca sus requisitos y que los
compare con las capacidades de un sistema de WAM para poder tomar la decisión correcta antes de
comprometerse con una solución de WAM y una estrategia de implementación.
4
CA SiteMinder
CA SiteMinder
CA SiteMinder es una solución completa de gestión de la seguridad que trata estas importantes
cuestiones. En este documento se plantea el método que sigue la arquitectura de componentes de CA
SiteMinder para aplicar la política de seguridad, los motivos de su gran rendimiento y el modo en que
las empresas han escalado las implementaciones de CA SiteMinder para admitir miles de aplicaciones
Web y millones de usuarios.
También se abordan las funciones principales de WAM que admite CA SiteMinder, como la
autenticación, el inicio de sesión único, la autorización y las auditorías. Además, dado que seguramente
estará enfrentándose a situaciones desafiantes a medida que las implementaciones de WAM pasan a la
escala empresarial, también se revisarán algunas de las capacidades avanzadas integradas en CA
SiteMinder.
CA SiteMinder r12 introdujo funciones innovadoras de administración diseñadas para implicar a más
personas en la creación, la gestión y las auditorías de las políticas de seguridad. Si esto se suma al
hecho de que las tareas administrativas de CA SiteMinder ahora pueden asignarse con un nivel de
control sin precedente, el resultado es la oportunidad de implementar las capacidades de WAM de
forma más rápida y general que nunca.
CA SiteMinder está avalado por más de 450 combinaciones probadas específicamente de servidores
Web y de aplicaciones, sistemas de planificación de recursos empresariales (ERP, Enterprise Resource
Planning), directorios, bases de datos y sistemas operativos. Por tanto, es compatible con la gran
variedad de combinaciones de plataformas que se dan hoy en día en las organizaciones.
Además, más de 150 empresas se han unido al programa de partners de CA para ofrecer capacidades
y servicios adicionales a los clientes de CA SiteMinder, y miles de clientes de CA SiteMinder de todo el
mundo comparten ideas y experiencias a través de la interacción en grupos de usuarios, foros y ferias
comerciales.
Ilustración A
Arquitectura de
referencia de CA
SiteMinder
CA SiteMinder
aplica las políticas de
seguridad mediante
puntos de aplicación
de políticas (PEP,
Policy Enforcement
Point) basados
en agentes y en
servidores proxy para
satisfacer la demanda
de cada organización.
El servidor de políticas
de CA SiteMinder es
un punto de decisión
de políticas (PDP,
Policy Decision
Point) fiable y de
gran rendimiento.

Punto de aplicación
de políticas
Punto de decisión
de políticas
OPCIONES DE
IMPLEMENTACIÓN
BASADAS EN AGENTES
DE PROXY
SERVIDOR
DE POLÍTICAS
Punto de administración
de políticas
SERVIDOR DE
APLICACIONES
IU
ADMINISTRATIVA
AGENTE
USUARIOS
ALMACÉN DE
POLÍTICAS
5
ALMACÉN
DE CLAVES
ALMACÉN
DE USUARIOS
ADMINISTRADOR
CA SiteMinder
La arquitectura básica de CA SiteMinder
CA SiteMinder consiste en dos componentes básicos de tiempo de ejecución y un componente
de administración.
El agente actúa como punto de aplicación de políticas (PEP) y también realiza servicios de gestión de
autenticación e inicio de sesión único. Los agentes, además, son compatibles con requisitos opcionales
como el traslado seguro de atribuciones de usuarios a aplicaciones empresariales protegidas.
Hay diferentes formatos de agente, y cada uno de ellos está hecho a la medida de la plataforma que
protege. Existen agentes para servidores Web, servidores J2EE, sistemas de ERP, servidores proxy,
y muchos más. Estas opciones se describen detalladamente más adelante.
El servidor de políticas actúa como punto de decisión de políticas (PDP). El servidor de políticas
autentica a los usuarios en nombre del PEP, evalúa las políticas de seguridad y toma decisiones de
autorización que se comunican de nuevo al PEP. El servidor de políticas también audita cada uno de
estos eventos.
Este servidor admite diversos proveedores y plataformas en el directorio de usuarios y en sus
almacenes de políticas y de claves. A medida que se agregan servidores de políticas para aumentar
la capacidad y la disponibilidad, se conectan a un almacén común de políticas para determinar la
infraestructura disponible y las políticas de seguridad que deben aplicarse. También se conectan a un
almacén de claves común para habilitar el inicio de sesión único seguro.
La interfaz de usuario administrativa actúa como punto de administración de políticas (PAP, Policy
Administration Point) seguro. Una instancia del servidor de la interfaz de usuario administrativa puede
conectarse a varios servidores de políticas y gestionarlos.
Autenticación
La autenticación de usuarios es el primer paso para asegurar las aplicaciones Web: establece una
identidad de usuario, personaliza la experiencia del usuario y determina lo que puede hacer cada
usuario. CA SiteMinder admite y gestiona el uso de una amplia variedad de métodos de autenticación,
entre los que se incluyen las contraseñas, los tokens, los certificados X.509, las tarjetas inteligentes,
los formularios personalizados y los dispositivos de biométrica. Los métodos de autenticación también
pueden combinarse para lograr una autenticación más consistente; por ejemplo, se puede exigir un
certificado además de la contraseña.
Se puede designar un nivel de protección a los métodos de autenticación, y los niveles de protección
mínimos pueden asociarse a las aplicaciones para un mayor aseguramiento de la identidad del usuario
en la que se exponen las aplicaciones y la información confidenciales.
Las capacidades basadas en los riesgos permiten la evaluación del contexto en el que se enmarca la
solicitud de inicio de sesión del usuario. Por ejemplo, un inicio de sesión basado en formularios HTML
en una capa de sockets seguros (SSL, Secure Sockets Layer) procedente de una máquina no reconocida
de Internet supondría un riesgo mayor que si el mismo inicio de sesión basado en formularios se
realizara en la red privada virtual (VPN, Virtual Private Network) de la empresa.
6
CA SiteMinder
Métodos y capacidades de autenticación disponibles
Métodos
Capacidades
• Autenticación básica
• Suplantación de identidad auditada
• ID y contraseña de usuario basados en formularios
• SSL para proteger el inicio de sesión básico y el
basado en formularios
• Certificado X.509 (compatibilidad con la lista de
revocación de certificados [CRL, Certificate Revocation
List] y el protocolo de estado de certificados en línea
[OCSP, Online Certificate Status Protocol])
• Autenticación integrada de Windows (IWA, Integrated
Windows Authentication), que incluye Negotiate/
Kerberos y NTLM (NT LAN Manager)
• MIT Kerberos
• Combinaciones de métodos (por ejemplo, formularios
y certificado)
• Migración a ediciones superiores en función de los
niveles de protección
• Basado en el riesgo
• Basado en el conocimiento
• Control de la secuencia de inicio de sesión
• Dispositivo de token RSA SecurID
• Verificación de la dirección de la máquina
• Entrust IdentityGuard
• Contraseñas de un solo uso
• Tarjeta inteligente
• Tarjeta de información/Microsoft CardSpace
• Autenticación avanzada de CA
• Dispositivos de biométrica
• Integraciones con otros productos: Tricipher
y SafeWord
• Prueba pública de Turing totalmente automatizada
para diferenciar máquinas y humanos (CAPTCHA,
Completely Automated Public Turing test to tell
Computers and Humans Apart)
• Lenguaje de marcado de aserción de seguridad (SAML,
Security Assertion Markup Language)
• WS-Federation/Microsoft ADFS
• Métodos personalizados creados con la interfaz
de programación de aplicaciones (API, Application
Programming Interface) de autenticación de CA
SiteMinder
Encadenamiento de directorios
Resulta poco realista e innecesario esperar que todas las aplicaciones protegidas por un sistema de
WAM autentiquen a los usuarios en un único directorio de usuarios. Hoy en día, incluso una única
aplicación puede necesitar la autenticación de los usuarios en dos o más directorios.
CA SiteMinder admite el encadenamiento de directorios, lo que significa que se puede utilizar una
única política de seguridad para las aplicaciones, incluso en aquellos casos en que las comunidades
de usuarios están repartidas entre varios directorios. Esto incluye los casos en los que los directorios se
encuentran en plataformas distintas, como el directorio del protocolo ligero de acceso a directorios
(LDAP, Lightweight Directory Access Protocol), Microsoft Active Directory, los sistemas mainframe o los
sistemas de administración de bases de datos (DBMS, Database Management System) relacionales.
Servicios de contraseña
Los servicios de contraseña abarcan un amplio abanico de temas, como las políticas, las
modificaciones, la caducidad y la recuperación de contraseñas, y la deshabilitación de cuentas.
Estos servicios los prestan algunos directorios de usuarios y sistemas de WAM.
CA SiteMinder presenta un enfoque centralizado de los sistemas de contraseña, que admite los
directorios de LDAP, Microsoft Active Directory y las bases de datos relacionales. De esta forma se
simplifica la creación de políticas comunes de contraseñas que definan reglas y restricciones para
regir la caducidad, la composición y el uso de las contraseñas y aplicarlas en toda la empresa.
7
CA SiteMinder
Una vez configurado, CA SiteMinder invocará una política de contraseñas cada vez que el usuario
intente acceder a un recurso protegido. Si la contraseña del usuario ha caducado según los criterios
definidos en la política de contraseñas, la cuenta del usuario podrá deshabilitarse, o se podrá obligar
al usuario a que cambie la contraseña.
Las políticas de contraseñas pueden asociarse a un directorio de usuarios entero o a un subconjunto.
Se pueden configurar varias políticas de contraseñas para el mismo directorio de usuarios; en este
caso, se aplicarán de acuerdo con las prioridades que especifique para ellas.
Suplantación de identidad
CA SiteMinder admite la suplantación de usuarios, una función con la que un usuario privilegiado
puede asumir la identidad de otro usuario. Esto puede resultar útil cuando un representante del
servicio de asistencia técnica o de atención al cliente necesita investigar los problemas de acceso
a una aplicación que experimenta un determinado usuario.
La compatibilidad de CA SiteMinder con la suplantación es más segura que otros métodos, como el
uso compartido de credenciales de usuario por teléfono (una práctica generalmente prohibida por la
política de la empresa).
La suplantación es una operación segura que permite exclusivamente a los usuarios autorizados
suplantar la identidad de otros usuarios. La suplantación puede realizarse de las siguientes formas:
•Los administradores de seguridad configuran las reglas de suplantación en la política de seguridad.
De este modo se controla quién puede suplantar, a quién se puede suplantar y a qué recursos se
puede acceder.
•Las sesiones de suplantación se auditan para la conservación de registros y el no rechazo. Se registra
la información del usuario que suplanta y el suplantado.
Caso práctico
Aumento de la agilidad empresarial con el inicio de sesión simplificado
BT es uno de los proveedores de soluciones y servicios de comunicaciones más importantes del
mundo, y opera en 170 países. Con más de ocho millones de clientes y 100.000 empleados y
proveedores que utilizan a diario aplicaciones basadas en la Web, el gigante de las comunicaciones
necesita garantizar el acceso eficaz a sus servicios en línea.
Gracias a CA SiteMinder, BT ha podido centralizar la autenticación y la autorización del personal,
los proveedores y los clientes. Ello ha permitido a BT racionalizar 80 soluciones de seguridad de
puntos, reducir el número de contraseñas necesarias de cada empleado y admitir un rendimiento
de más de 40 millones de transacciones al día.
Una vez que un usuario obtenga acceso a un portal de BT, podrá moverse fácilmente por las
distintas áreas de servicios y productos, algo esencial para garantizar la fidelidad y la satisfacción
del cliente. Al tener menos contraseñas para recordar y administrar, los empleados de BT también
adquirirán mayor productividad cada día.
8
CA SiteMinder
CA SiteMinder puede fijar un encabezado seguro variable que la aplicación pueda utilizar para ocultar
la información privada del usuario que suplanta en la medida en que sea necesario para proteger la
privacidad del usuario.
Inicio de sesión único
El inicio de sesión único (SSO, Single Sign-On) perfectamente integrado en las aplicaciones Web es
una de las funciones más visibles de un sistema de WAM bien diseñado. La mayoría de los sistemas
de WAM satisfacen los requisitos básicos de SSO mediante el uso de una cookie de sesión de HTTP.
Sin embargo, las dificultades surgen a medida que aumenta la escala de la implementación o que
se combina la infraestructura de tecnología de la información (TI) de diferentes organizaciones. CA
SiteMinder incluye tres funciones adicionales de SSO para afrontar estos retos: zonas de seguridad,
proveedor de cookies y asignación de identidad.
Ilustración B
Situaciones de
inicio de sesión
único avanzado
CA SiteMinder incluye
tres funciones que
amplían el inicio de
sesión único Web
tradicional al contexto
empresarial.
Zonas de seguridad:
permite restringir las
aplicaciones del inicio
de sesión único en un
solo dominio de
cookies. La función
Proveedor de cookies
amplía el inicio de
sesión único a los
dominios de cookies.
Asignación de
identidad
(no se muestra):
amplía el inicio de
sesión único a las
implementaciones
independientes de
CA SiteMinder; esta
situación podría
producirse como
resultado de una
adquisición.

Limitación del inicio de sesión única dentro
del dominio de una cookie con la función Zonas
de seguridad
*.empresa.com
Ampliación del inicio de sesión única a varios
dominios de cookies con la función Proveedor
de cookies
SESIÓNZ2
SESIÓNSM
SESIÓNZ1
SESIÓNZ3
www.a.com
www.b.com
www.c.com
Zonas de seguridad
El SSO en aplicaciones de un mismo dominio de cookies puede restringirse mediante zonas de
seguridad. De este modo, se permite realizar la partición de un único dominio de cookies para que
pueda haber diferentes políticas de seguridad sin necesidad de establecer los subdominios del sistema
de nombres de dominio (DNS, Domain Name System).
En primer lugar, los administradores organizan las aplicaciones en grupos (o zonas) con requisitos
de SSO similares. A continuación, CA SiteMinder genera una cookie de sesión independiente para
cada zona. Así, los usuarios finales utilizan el SSO de cada zona y los administradores pueden aplicar
distintas políticas de seguridad para aplicaciones de diferentes zonas.
9
CA SiteMinder
Las zonas de seguridad permiten disponer de lo siguiente:
•Una configuración diferente del tiempo de espera de la sesión para las aplicaciones de cada zona
•Directorios de usuario diferentes para la autenticación de cada zona
•Métodos de autenticación y niveles de protección diferentes en cada zona
Proveedor de cookies
Con esta función se puede ampliar el SSO a varios dominios DNS. En esta configuración, CA SiteMinder
reta al usuario a autenticar el primer dominio DNS (empresa.com), pero no lo hace cuando el usuario
navega a los dominios siguientes (filial.com).
La función Proveedor de cookies es famosa por el SSO en varios dominios donde un único entorno
de CA SiteMinder protege los recursos de todos los dominios. Las capacidades de federación de CA
SiteMinder proporcionan una solución mejor cuando hay muchos dominios diferentes o cuando no
hay una infraestructura de CA SiteMinder en los demás entornos.
Asignación de identidad
Con esta función se puede ampliar el SSO a implementaciones independientes de CA SiteMinder. Podrá
resultar útil cuando dos organizaciones se fusionen, cada una de ellas haya dispuesto anteriormente de
distintos sistemas de CA SiteMinder (y diferentes directorios de usuarios), y no sea posible ni deseable
fusionar la infraestructura.
La asignación de identidad, también conocida como asignación de validación de autenticaciones,
permite autenticar a un usuario en un directorio de usuarios de un sistema de CA SiteMinder, y que éste
tenga asignada la misma identidad de usuario en un almacén de autenticación distinto de otro sistema
de CA SiteMinder. Ambos sistemas únicamente deberán compartir o sincronizar sus almacenes de
claves de CA SiteMinder. También pueden utilizarse las capacidades de federación de CA SiteMinder
para este fin.
Ampliación del SSO a las aplicaciones no basadas en la Web
CA Single Sign-On (CA SSO) es un producto complementario que permite ampliar el SSO a las
aplicaciones no basadas en la Web, entre las que se incluyen las que están implementadas en equipos
de sobremesa y sistemas heredados.
Autorización
Las organizaciones necesitan políticas de seguridad flexibles que puedan utilizarse fácilmente en varios
servicios y aplicaciones. Deben implementar un único servicio de seguridad compartido para simplificar
la administración y la elaboración de informes relativos al cumplimiento, y reducir la carga asociada
a la seguridad de los desarrolladores de aplicaciones.
Sin WAM, los desarrolladores de sistemas deberían implementar una lógica de seguridad completa
en sus aplicaciones. Esto conllevaría riesgos y complicaciones para el cumplimiento. Por ejemplo,
las técnicas de desarrollo de seguridad necesarias dependerían del tipo de servidor Web, sistema
operativo y lenguaje de programación utilizados para la aplicación.
10
CA SiteMinder
CA SiteMinder centraliza la gestión de las atribuciones de usuario de los clientes, partners y empleados
en todas las aplicaciones Web mediante un servicio compartido. La autorización centralizada reduce
en gran medida los costes de desarrollo, lo que permite a los desarrolladores centrarse en la lógica
empresarial de la aplicación en lugar de en las políticas de seguridad de programación. Además, CA
SiteMinder brinda la posibilidad de aplicar políticas de seguridad en toda la empresa, lo que elimina
la necesidad de directorios redundantes de usuarios y lógicas de seguridad específicas de cada
aplicación.
Ilustración C
Componentes de
las políticas de
seguridad de CA
SiteMinder
Las políticas de
seguridad de CA
SiteMinder están
formadas por una
serie de componentes
que asocian los
usuarios a los recursos
y otorgan o deniegan
el acceso.
La política también
puede desencadenar
acciones en diversos
eventos, como la
entrega segura de
atributos o datos de
roles de los usuarios
a la aplicación
protegida.

Política de
CA SiteMinder
¿Qué?
¿Quién?
Condiciones opcionales
REGLA DE
SITEMINDER
IDENTIDAD O ROL
DEL USUARIO
TIEMPO
DIRECCIÓN IP
VARIABLES DE
SITEMINDER
Describe el recurso
al que se está
accediendo
¿El usuario
está incluido
o excluido?
Restricción
de tiempo
Restricción
de red
Características
de la petición
Acción
PERSONALIZAR
Factores
externos
RESPUESTA DE
SITEMINDER
Acción resultante
del procesamiento
Políticas de CA SiteMinder
Las políticas de CA SiteMinder están diseñadas para adaptar el usuario y la relación del usuario al
recurso protegido. Cada política protege los recursos mediante la autorización o el rechazo explícitos
del acceso del usuario. Especifica lo siguiente: los recursos protegidos; los usuarios, grupos o roles que
tienen acceso a dichos recursos; las condiciones en las que se debería permitir el acceso; y el método
de prestación de dichos recursos a los usuarios autorizados. Si a un usuario se le deniega el acceso a
un recurso, la política podrá determinar también el tratamiento de dicho usuario. Los componentes
de la política pueden crearse en un dominio de políticas y también globalmente, cuando se apliquen
a todos los dominios de políticas.
•Reglas: son un componente clave de la política de seguridad, ya que otorgan o deniegan el acceso a
los recursos específicos incluidos en la política. Una regla describe el recurso que se protege, ya sea
éste una aplicación completa, una porción de ella o un componente específico de ella. También
pueden definirse reglas dinámicas para determinar si el recurso al que se accede debería estar
cubierto por la política de acceso.
11
CA SiteMinder
Los recursos Web pueden restringirse mediante expresiones regulares, y los comodines y cadenas de
consulta también se pueden controlar. Las reglas también pueden definirse para un evento, como una
autenticación correcta (o fallida), el tiempo de espera de la sesión y la denegación del acceso.
Las reglas están asociadas a dominios kerberos o componentes (que pueden anidarse en otros
dominios kerberos o componentes). Los componentes y los dominios kerberos proporcionan un punto
de recopilación adecuado para que las reglas definan los requisitos comunes de las políticas, como los
niveles de autenticación y el tiempo de espera de la sesión.
•Identidad o rol del usuario: conecta los usuarios autenticados con la política de acceso. Esta
asociación puede definirse de varios modos: como la pertenencia a grupos, como estructura
organizativa de LDAP y filtros de búsqueda, o como una consulta de SQL para una base de datos
relacional.
En CA SiteMinder r12, el acceso también puede determinarse a través de roles basados en la
expresión que proporcionan mayor flexibilidad y beneficios, incluido un nivel de abstracción de la
tecnología del directorio de usuarios subyacente. Para obtener más información, consulte Gestión
de políticas empresariales en la sección Innovaciones de r12 de este documento.
•Se pueden aplicar restricciones de tiempo en el nivel de las políticas y en las propias reglas de
acceso a los recursos para proporcionar una mayor flexibilidad a la hora de determinar cuándo se
debería permitir (o denegar) el acceso. Por ejemplo, se pueden aplicar restricciones para permitir
el acceso los lunes de 8:00 a 10:00 o todo el fin de semana.
•Las restricciones de la dirección IP permiten limitar las políticas en función de la dirección de red
asociada al cliente.
•Variables: permiten incluir la lógica empresarial en las políticas mediante la captura de una amplia
variedad de datos dinámicos que pueden integrarse en las expresiones de la política. Por ejemplo,
una política puede depender de un segmento de los datos de pruebas automáticas de encendido
(POST, Power On Self Test) enviado con la solicitud o con la calificación de solvencia crediticia,
que se recupera mediante una llamada de servicio Web.
•Las condiciones personalizadas pueden evaluarse mediante políticas activas para lograr un control
más minucioso aún de la autorización. Por ejemplo, una política podría denegar el acceso a una
página de anotación de pedidos a los clientes con saldo vencido en una base de datos de
contabilidad.
•Respuestas: acciones configurables que derivan del procesamiento de una política. Las respuestas
pueden facilitar datos y atribuciones del perfil del usuario a la aplicación una vez otorgado el acceso.
Con esta información, la aplicación puede presentar una interfaz personalizada y determinar qué
capacidades va a ofrecer al usuario. Las respuestas también pueden utilizarse para personalizar lo
que ve el usuario cuando se le deniega el acceso o cuando expira su sesión.
Las respuestas llevan a cabo todo ello mediante la configuración segura de variables de la sesión
HTTP para la aplicación, la emisión de redireccionamientos, la configuración de cookies de HTTP en
el explorador Web del usuario, y mucho más.
Las respuestas activas permiten que el código personalizado recupere o genere datos para la
aplicación, o que desencadene acciones externas como resultado de una decisión de políticas.
Asignación de autorización
CA SiteMinder admite la asignación de autorización, que permite que los administradores relacionen
a los usuarios dentro de un directorio de autenticación con sus correspondientes identidades dentro
de un directorio distinto al utilizado para la autorización.
12
CA SiteMinder
Entre los posibles usos de la asignación de autorización se incluyen los siguientes:
•Movimiento de la autenticación desde una aplicación heredada o independiente a un directorio
de usuarios centralizado. De esta forma se permite introducir un SSO y una autenticación más
consistente, incluso en aquellos casos en que la autorización deba permanecer dentro de la
aplicación.
•Una forma de habilitar la autenticación de Windows de CA SiteMinder para Microsoft Active Directory,
al tiempo que se admite la autorización en un directorio alternativo con esquemas más flexibles (por
ejemplo, Microsoft AD/AM); de este modo se permite aprovechar los atributos personalizados, como
los roles y las atribuciones de usuario.
La interfaz de usuario administrativa permite seleccionar el modo en que se realiza la asignación de las
identidades de usuario entre los almacenes de autenticación y de autorización, incluso si están basados
en tecnologías diferentes, como LDAP y una base de datos relacional.
Ilustración D
La asignación de
autorización
ayuda a las
organizaciones a
retirar el servicio
activo de los
contenedores de
seguridad
CA SiteMinder
ofrece una función
de asignación de
autorización, que
permite a las
organizaciones
aprovechar los
almacenes de
autenticación
centralizados
incluso cuando los
datos de autorización
permanezcan
distribuidos con la
aplicación.

DIRECTORIO DE
EMPLEADOS
DIRECTORIO DE
NO EMPLEADOS
SERVIDOR DE
POLÍTICAS
Fuentes de
autenticación
centralizada
Asignaciones configurables entre los directorios
de autenticación y autorización
USUARIOS
APLICACIÓN
FINANCIERA
APLICACIÓN DE
MARKETING
AGENTE
AGENTE
Directorio
activo
Base de datos
relacional
13
APLICACIÓN DE
SOPORTE
AGENTE
Directorio
LDAP
Fuentes de
autorización
descentralizada
CA SiteMinder
Virtualización de directorios
Las organizaciones suelen verse en una situación en la que necesitan albergar varios directorios
de usuarios. Esto puede suceder por varias razones, como por ejemplo el desarrollo distribuido,
la inexistencia de estándares de seguridad, la política organizativa, la implementación de
aplicaciones comerciales, o como resultado de adquisiciones o consolidaciones.
Estos directorios pueden utilizarse en diferentes aplicaciones, y una única aplicación puede utilizar dos
o más directorios. En algunos casos, es posible que los datos del perfil del usuario deban combinarse
desde dos directorios para establecer el conjunto necesario de datos de atribuciones que requiere la
aplicación.
Los productos de servidor virtual de directorios (VDS, Virtual Directory Server) se han creado para
satisfacer esta necesidad. Los productos VDS funcionan como una capa de abstracción entre los
directorios de usuarios compatibles (entre los que suelen estar los directorios LDAP, el directorio
activo y las bases de datos relacionales) y las aplicaciones que requieren sus servicios. Un VDS
simplifica la configuración de aplicaciones porque para la aplicación (por ejemplo, CA SiteMinder)
hay solamente un directorio de usuarios.
No obstante, estas ventajas suponen un coste adicional que cubre el software VDS, los servicios
de implementación y el hardware. Un producto VDS también representa una nueva capa de
infraestructura, que requiere un nuevo planteamiento de la planificación de capacidades, la
conmutación por error y la gestión. Además, estos productos representan una nueva capa de
administración que requiere reflexionar sobre cómo debería gestionarse y auditarse la
administración de las políticas y el comportamiento del tiempo de ejecución.
Capacidades de virtualización de directorios
CA SiteMinder no es un VDS, y existen muchas situaciones en las que la tecnología de VDS es
conveniente. No obstante, CA SiteMinder ofrece algunas capacidades de virtualización de directorios
que no están presentes en otros sistemas de WAM. Y dado que CA SiteMinder ya ofrece un entorno
ininterrumpido de alto rendimiento con unas características excelentes de administración y gestión,
es posible que resulte incluso ventajoso renunciar a la introducción de la tecnología VDS en algunos
casos.
Por ejemplo, CA SiteMinder incluye una función de encadenamiento de directorios que permite buscar
fácilmente en dos o más directorios de usuarios de orden configurable para autenticar al usuario. CA
SiteMinder r12 incluye capacidades adicionales de virtualización de directorios. Se puede autorizar a
los usuarios autenticados en más de un directorio mediante roles de gestión de políticas empresariales
(EPM). Estos roles se describen en la sección Gestión de políticas empresariales de este documento.
Los roles de EPM pueden utilizarse para asignar una identidad a todos los directorios de autorización,
que entran en vigor al presentar un directorio de usuarios virtualizado desde la perspectiva de los
administradores de políticas y los informes de auditoría.
Así, aunque la tecnología VDS tiene muchas ventajas, es posible que no sea práctico ni rentable
introducir una plataforma VDS solamente para autenticar y autorizar usuarios en dos o más directorios.
14
CA SiteMinder
Auditorías
Las organizaciones deben seguir de cerca la utilización de las aplicaciones y los datos, y la forma en
que el sistema de seguridad contribuye a proporcionar controles. Los administradores de sistemas
necesitan datos detallados de los sistemas para mejorar el rendimiento. Los gestores empresariales
necesitan datos sobre la actividad para demostrar que cumplen las políticas y normativas de
seguridad.
CA SiteMinder incluye completas capacidades de auditoría:
•Auditorías de bases de datos relacionales y archivos planos.
•Auditorías de la actividad de los usuarios, los administradores y el sistema en CA SiteMinder, así
como en los módulos personalizados o en las utilidades de la línea de comandos.
•Auditorías de los eventos de suplantación de identidad, por los que un usuario privilegiado adopta
la identidad de otro usuario (por ejemplo, un empleado del servicio de atención al cliente que esté
ayudando a un usuario con una aplicación asegurada).
•Configuración flexible de los tipos de evento que se vayan a registrar (por ejemplo, solamente de los
intentos fallidos de autorización).
•La integración con los sistemas de agregación y correlación de eventos, como CA Security Command
Center. Esto permite filtrar los eventos basados en políticas y su correlación con los eventos de la red
empresarial, los sistemas y las aplicaciones.
•Una potente API de eventos que permite escribir identificadores de eventos personalizados que
pueden desencadenar actividades en aplicaciones externas. Por ejemplo, se puede escribir un
identificador de eventos personalizado para desencadenar una notificación que se enviará por
correo electrónico cuando se modifique una política de seguridad.
Opciones de implementación flexible
CA SiteMinder incluye numerosas opciones adicionales de implementación. Hay varios agentes (PEP
distribuidos) disponibles para los servidores Web, los servidores de aplicaciones y los sistemas de
planificación de recursos empresariales (ERP) más conocidos. También hay una alternativa basada en
el servidor proxy, en la que es recomendable un modelo de PEP centralizado. Algunas de estas opciones
de implementación se representan en la Ilustración E.
Los agentes de servidor Web se implementan como complementos para servidores Web. El agente
intercepta todo el tráfico de HTTP y HTTPS que entra en el servidor Web, y proporciona una protección
completa de los recursos del servidor Web (páginas HTML, scripts, programas de la interfaz de entrada
común [CGI, Common Gateway Interface] y páginas Active Server).
Los agentes de servidor Web también sirven para proporcionar una protección perimetral y un inicio de
sesión único a las aplicaciones empresariales que subyacen al servidor Web, incluidas las páginas Java
Server que se ejecuten dentro de un contenedor de servlet.
Los agentes de servidor Web están disponibles para Microsoft Internet Information Server, Sun Java
System Web Server, Apache, Red Hat Apache, IBM HTTP Server, Domino, Oracle HTTP Server y HP
Apache.
El agente de CA SiteMinder para Sharepoint permite incorporar SharePoint en su experiencia de inicio
de sesión único de SiteMinder (incluidos los esquemas de autenticación de SiteMinder). De esta forma
se consigue una mejor experiencia de usuario y una aplicación coherente de las políticas de seguridad y
las reglas de contraseñas. A medida que aumenta el uso de SharePoint y se busca ampliar el acceso a
los contratistas, partners y clientes, podrá integrarlo también en su experiencia de SSO.
15
CA SiteMinder
El agente de CA SiteMinder para SharePoint puede integrarse con una amplia variedad de directorios,
como los directorios LDAP, Microsoft Active Directory, los sistemas mainframe o incluso las DBMS
relacionales. Todos los usuarios, por tanto, pueden administrarse desde una ubicación central que
posibilita el acceso coherente a los usuarios internos, externos y federados.
Ilustración E
Las alternativas
de implementación
maximizan la
flexibilidad
CA SiteMinder admite
dos estrategias de
implementación:
un PEP basado en el
servidor proxy, en el
que la infraestructura
de la aplicación no
puede alterarse, y
un PEP basado en el
agente, en el que la
protección de recursos
locales es obligatoria.

DISPOSITIVO
MÓVIL
SERVIDOR PROXY
SEGURO
SERVIDOR WEB
DE DESTINO
SERVIDOR DE
APLICACIONES
AGENTE
SERVIDOR DE
POLÍTICAS
USUARIOS
SERVIDORES WEB
Y APLICACIONES
FEDERADAS
SERVIDOR WEB
SERVIDOR DE
APLICACIONES
AGENTE
TIEMPO MEDIO
DE RESPUESTA/
AGENTE DE
PLANIFICACIÓN
DE RECURSOS
EMPRESARIALES
También es posible
aplicar ambos
métodos
conjuntamente.
Los agentes de servidor de aplicaciones (ASA, Application Server Agents) se implementan como
complementos para servidores de aplicaciones J2EE. Normalmente se implementa un ASA junto con
un agente Web: el agente Web proporciona protección perimetral y SSO, y el ASA aplica las políticas
de autorización.
El ASA, además, une las sesiones de CA SiteMinder y J2EE para proporcionar al usuario una experiencia
perfecta y más segura. Los ASA están disponibles para IBM WebSphere, Oracle WebLogic y RedHat
JBoss EAP.
Los agentes de planificación de recursos empresariales (ERP) sirven para ampliar la experiencia de
inicio de sesión único y la protección basada en políticas a los sistemas de ERP, como SAP, Oracle,
PeopleSoft y Siebel.
16
CA SiteMinder
El servidor proxy seguro (SPS, Secure Proxy Server) es una puerta de enlace de proxy inverso de alto
rendimiento que posibilita una aplicación de políticas innovadoras sin necesidad de acceder a la
plataforma Web de la aplicación empresarial. El SPS se suele utilizar para proteger una serie de
aplicaciones distintas desde un único PEP centralizado.
También ofrece lo siguiente:
•Compatibilidad con dispositivos móviles mediante esquemas de sesión especializados, como las
minicookies, el ID de dispositivo, la reescritura de URL, el ID de sesión de SSL y las soluciones
personalizadas basadas en la API de esquema de sesión de Java incluida en el SPS.
•Almacenamiento de credenciales, para proporcionar inicio de sesión único a los sistemas Web
heredados que no pueden solucionarse para la integración del inicio de sesión.
Se pueden combinar las implementaciones de SPS con los agentes Web; esto proporciona un mayor
control de los recursos locales.
Los agentes personalizados pueden integrarse o incrustarse en la API de agente para garantizar otros
muchos tipos de aplicaciones (incluidas aquellas aplicaciones no basadas en la Web). Si utilizan la API
de cookies, los agentes personalizados también podrán crear cookies de sesión de CA SiteMinder para
que estas aplicaciones puedan participar en un entorno de SSO con CA SiteMinder habilitado.
Los servicios Web pueden protegerse con CA SOA Security Manager, un producto de seguridad
complementario que añade servicios de seguridad y servicios Web especializados a los sistemas
basados en CA SiteMinder.
Los servicios de federación de identidades están disponibles para las implementaciones de CA
SiteMinder mediante CA Federation Manager. En los casos de federación basada en el explorador,
CA Federation Manager permite a los usuarios pasar de forma segura de los sitios de inicio, donde
se autentican inicialmente (el proveedor de identidades), a las aplicaciones de sitios de destino
(el proveedor de servicios). CA Federation Manager posibilita que los sitios implementados de CA
SiteMinder sean proveedores de identidades, proveedores de servicios o ambos, de acuerdo con
estándares como SAML 1.x/2.0 y WS-Federation.
Los dispositivos de servidor de acceso a la red (NAS, Network Access Server), como los servidores
proxy, los cortafuegos y los servicios corporativos de acceso telefónico, pueden ser compatibles con la
infraestructura de autenticación y política de seguridad de CA SiteMinder. Los dispositivos NAS pueden
usar el protocolo del servicio de autenticación remota telefónica de usuario (RADIUS, Remote
Authentication Dial-In User Service) para intercambiar información sobre la autenticación y la
configuración de sesiones con el servicio RADIUS integrado del servidor de políticas.
17
CA SiteMinder
Sección 2:
Innovaciones de R12
Almacén de políticas extensible
CA SiteMinder r12 se integra en una nueva arquitectura de almacén de políticas extensible (XPS,
Extensible Policy Store), que posibilita la expansión de las funciones y funcionalidades sin necesidad
de realizar costosas migraciones a ediciones superiores durante una actualización o la instalación de
productos adicionales.
El XPS emplea un modelo de datos controlado por el diccionario para gestionar, validar, migrar y
asegurar los objetos, de forma que se admita la introducción de nuevos tipos de objeto sin necesidad
de realizar cambios en el esquema del almacén de políticas tradicional.
Para experimentar la eficacia de esta función, los clientes de CA SiteMinder 6.0 SP5 pueden comenzar
a usar la nueva interfaz de usuario administrativa sin comprometerse a actualizar a r12 toda la
infraestructura del servidor de políticas.
De este modo, las organizaciones podrán aprovechar antes y de forma más sencilla y económica la
nueva gestión de políticas empresariales y las funciones avanzadas de administración integradas en
CA SiteMinder r12.
Administración de implementaciones a gran escala
CA SiteMinder r12 introduce una nueva plataforma administrativa y un nuevo modelo administrativo,
ambos diseñados para admitir la implementación de aplicaciones a escala empresarial.
La nueva interfaz de usuario administrativa puede conectarse a varios servidores de políticas; esto le
permitirá gestionar todos sus entornos desde un único servidor de administración compartido. Además,
esta interfaz se integra con un nuevo modelo de seguridad que ofrece una supervisión minuciosa de la
asignación, el control y la delegación de derechos de administración de políticas.
Con estas capacidades, los equipos de gestión de la seguridad podrán reducir los costes de
administración, responder mejor a los propietarios de las aplicaciones y conservar el control
centralizado.
La asignación detallada de permisos permite otorgar únicamente aquellas capacidades que sean
necesarias para que cada usuario desempeñe su trabajo. Esto deriva, por ejemplo, en lo siguiente:
•Un auditor puede obtener acceso de sólo visualización a las definiciones de políticas de CA
SiteMinder.
•Un administrador puede asignar a un equipo privilegios de visualización para la configuración de los
agentes y gestionar los privilegios (creación, actualización y supresión) de un solo miembro de
confianza de dicho equipo.
18
CA SiteMinder
•El personal de operaciones puede implementar y configurar nuevos agentes o directorios de usuarios,
sin necesidad de tener acceso a las políticas de seguridad de la aplicación.
•Puede definirse una cuenta de servicio para trasladar objetos de políticas desde el desarrollo hasta
las pruebas. De acuerdo con las políticas de cumplimiento, a esta cuenta se le pueden otorgar
privilegios de importación pero se le deniega el acceso a la interfaz de usuario administrativa.
Existen más de 30 categorías de administración que pueden asignarse. A cada categoría se le puede
otorgar la combinación necesaria de permisos de visualización, gestión, propagación y ejecución
(aplicable únicamente a los informes).
Ilustración F
La delegación
restringida
admite la
implementación
de WAM en la
empresa
La interfaz de usuario
administrativa
admite la asignación
detallada de permisos,
la delegación de
varios niveles y el
control de privilegios.
Esto permite a las
organizaciones
distribuir simultáneamente la autoridad
administrativa, al
tiempo que mantienen
la gestión centralizada
del proceso completo.

Administración típica de WAM
• Trabajo excesivo del personal cualificado y costoso
• Falta de interés para la organización
•
•
•
•
•
Infraestructura
Directorios
Esquemas de autenticación
Configuración de agentes
Políticas
“¿Pasó anoche la política a
la etapa de pruebas?”
“¿Cuándo estará lista la nueva
página de inicio de sesión?”
“La política de acceso sigue
estando equivocada”
“¿Por qué tarda tanto esta
implementación?”
Delegación restringida de r12
•
•
•
•
Acercamiento de las tareas al experto
Compromiso de la organización
Mantenimiento del control central
Optimización de los costes administrativos
•
•
•
•
•
Infraestructura
Directorios
Políticas
Administradores de
la seguridad central
•
•
•
•
•
Infraestructura
Directorios
Políticas
Profesionales de TI
y administradores
autorizados
•
•
•
•
•
Infraestructura
Directorios
Aplicación Aplicación
Políticas
Usuarios
empresariales,
desarrolladores,
profesionales de TI
y administradores
autorizados
A
B
Los métodos de acceso se pueden otorgar o denegar a usuarios específicos, incluso cuando se permite
el acceso a la interfaz de usuario administrativa, la API local, la API remota o el servidor de informes.
También puede restringirse el acceso a la importación, la exportación y el registro de agentes, y a las
herramientas específicas de la línea de comandos.
Las herramientas de la línea de comandos ahora respetan la autenticación del sistema operativo,
además del ID y la contraseña del administrador, lo que significa que no hacen falta credenciales en
los scripts personalizados desarrollados por los clientes para automatizar las tareas administrativas.
19
CA SiteMinder
La delegación restringida es un componente integral del nuevo modelo de seguridad, y aborda la
capacidad de transferencia de responsabilidades administrativas, un requisito clave en las
implementaciones de la WAM empresarial. En la interfaz de usuario administrativa, un administrador
puede decidir si el usuario al que se le ha asignado un privilegio determinado puede delegarlo por sí
mismo a otros. Este permiso especial se denomina Propagación en la interfaz de usuario
administrativa.
La compatibilidad con la delegación y la capacidad de controlar quién delega qué privilegios son
importantes para el éxito de los sistemas de WAM empresariales a gran escala. La delegación de varios
niveles permite a las organizaciones decidir cómo quieren gestionar sus responsabilidades. Dado que
el privilegio de propagación puede otorgarse a personas específicas para unos privilegios y un alcance
concretos, las organizaciones tienen la flexibilidad de distribuir la autoridad administrativa, al tiempo
que mantienen la gestión centralizada de todo el proceso.
El control administrativo permite al administrador otorgar privilegios para algunos objetos (pero no
todos) a los que se aplican dichos privilegios. Este control permite al administrador lo siguiente:
•Otorgar permisos de gestión a usuarios o equipos específicos que les permitan administrar las
políticas de seguridad exclusivamente de las aplicaciones financieras.
•Otorgar a un auditor acceso de visualización de todas las políticas de seguridad, salvo las asociadas
a proyectos confidenciales.
Gestión de políticas empresariales
CA SiteMinder r12 introduce la gestión de políticas empresariales (EPM), un nuevo modelo de gestión
del acceso que permite a los usuarios empresariales crear políticas de seguridad que les resulten
inteligibles.
Las aplicaciones de la EPM combinan todos los elementos de un dominio de seguridad en un sencillo
concepto de fácil comprensión y gestión. Para proteger una aplicación empresarial sólo hay que hacer
lo siguiente:
•Describir los recursos que se van a proteger. Entre ellos se puede incluir una URL de una aplicación
Web o un componente de una aplicación J2EE.
•Describir a los usuarios que tienen acceso mediante la creación de roles de EPM.
•Crear la política de seguridad mediante la asociación de roles y recursos.
También tiene la opción de añadir respuestas a la política, ya sea enviando atribuciones a la aplicación
empresarial o redirigiendo al usuario a otra página.
Además, la administración de la aplicación se puede delegar en los usuarios más cualificados para esta
tarea. Estos usuarios pueden ser desarrolladores de aplicaciones, empresarios o miembros del personal
de administración.
Los administradores también pueden controlar qué aplicaciones y qué aspectos de las aplicaciones
puede gestionar un usuario. Por ejemplo, un equipo puede gestionar las aplicaciones financieras,
mientras que otro puede gestionar los roles para las aplicaciones de la intranet.
20
CA SiteMinder
Los roles de EPM le permiten describir qué usuarios tendrán acceso a la aplicación en función de
sus requisitos empresariales, en lugar de en la implementación técnica de un directorio de usuarios
concreto. Esto es posible porque la participación de un usuario en un rol se describe para CA SiteMinder
como una expresión que proporciona una abstracción procedente de las características específicas del
directorio de usuarios subyacente.
Las expresiones se definen en la interfaz de usuario administrativa y añaden significado empresarial
a los conceptos específicos del directorio, como la pertenencia a grupos, los atributos del perfil de
usuario y la sintaxis de consultas de SQL. Los administradores pueden, por tanto, denominar estas
expresiones para que los demás puedan utilizarlas para desarrollar roles.
Ilustración G
Una forma más
sencilla de definir
las políticas de
seguridad

Para ampliar la
WAM a la empresa,
las organizaciones
necesitan una forma
más fácil de
desarrollar y gestionar
las políticas de
seguridad. La
gestión de políticas
empresariales (EPM,
Enterprise Policy
Management) incluye
un método innovador
y sencillo para definir
las políticas de
seguridad. Esto
permite a las
organizaciones
explotar totalmente
las capacidades
de delegación
integradas de
CA SiteMinder.
21
CA SiteMinder
Esta abstracción entre las funciones específicas del directorio y la política de seguridad de las
aplicaciones permite a las organizaciones aprovechar al máximo las ventajas de una delegación de
varios niveles. Los que conozcan la organización y el esquema del directorio podrán definir expresiones.
Por su parte, los que conozcan los requisitos de acceso de la aplicación, pero no estén familiarizados
con la implementación del directorio subyacente, podrán usar estas expresiones denominadas para
crear roles.
Este método basado en expresiones también permite que los roles abarquen los directorios de
usuarios, básicamente mediante la virtualización de la infraestructura del directorio desde el punto
de vista de la autorización. La capacidad incluye la compatibilidad con la cobertura de los directorios
de plataformas distintas, como LDAP y RDBMS. Esto puede resultar útil en los casos en los que una
organización incorpore nuevos directorios obtenidos a través de las adquisiciones o las transiciones
a una nueva plataforma de directorios.
EPM es una función por capas que se desarrolla además de los componentes tradicionales de las
políticas de CA SiteMinder. Esto permite que la EPM proporcione un nuevo modelo administrativo que
admite la delegación, al tiempo que preserva las características de rendimiento del motor de políticas
principal.
Los administradores que conozcan los componentes tradicionales de las políticas de CA SiteMinder
podrán continuar asegurando las aplicaciones con este método, y tanto la EPM como los métodos
tradicionales podrán utilizarse en la misma implementación.
Servidor de informes
CA SiteMinder r12 se integra con un sistema sólido de notificación empresarial que se desarrolla
además de SAP Business Objects.
El servidor de informes se utiliza con CA SiteMinder de dos formas:
•La notificación de auditorías mediante la conectividad abierta de bases de datos (ODBC, Open
Database Connectivity) del almacén estándar de auditorías de CA SiteMinder
•La notificación de análisis de políticas mediante la conexión directa con el servidor de políticas
Al igual que ocurre con otros productos del conjunto de programas Identity and Access Management,
el sistema del servidor de informes de CA Technologies se incluye en CA SiteMinder como un
componente compartido de implementación opcional.
22
CA SiteMinder
Sección 3:
Capacidades de WAM empresariales
Rendimiento
Existe una serie de funciones integradas en la arquitectura de CA SiteMinder que contribuyen a sus
características de rendimiento líderes del sector.
Los agentes Web filtran las solicitudes Web y admiten numerosas funciones, como la
autenticación, la autorización, el inicio de sesión único y la personalización de aplicaciones. Dado
que los agentes se implementan entre los usuarios y las aplicaciones empresariales, el
procesamiento de agentes debe ser extremadamente eficaz y fiable.
•La autorización automática es una función configurable que permite a los agentes eludir la
evaluación de políticas basada en las extensiones de archivos o la correspondencia de los
identificadores uniforme de recursos (URI, Uniform Resource Identifier). Esta función suele
utilizarse para excluir contenidos, como las imágenes y las hojas de estilo, que pueden no
estar regidos por la política de seguridad de una organización.
•El almacenamiento en memoria caché mejora el rendimiento al evitar llamadas innecesarias
al servidor de políticas.
–– La memoria caché de recursos de agentes supervisa el grado de protección de un recurso
específico.
–– La memoria caché de respuestas de agentes aumenta el rendimiento cuando los datos de
las atribuciones se trasladan a la aplicación empresarial.
–– La memoria caché de sesiones de agentes supervisa el estado de la sesión del usuario
y los recursos para los que cada sesión de usuario se ha autorizado.
Un algoritmo menos utilizado recientemente y la configuración para regir el tamaño de la memoria
caché propician las sesiones de usuarios activas y hacen un uso eficaz de los recursos del sistema,
incluso en implementaciones de poblaciones de varios millones de usuarios.
Los agentes hacen escrutinios periódicos de los servidores de políticas para detectar cambios que
puedan invalidar las entradas de la memoria caché. El funcionamiento del escrutinio se puede
configurar y permite a las organizaciones equilibrar el rendimiento y la coherencia de las políticas.
Los datos de la memoria caché también se pueden borrar definitivamente para usuarios, dominios
kerberos y agentes específicos a través de la interfaz de usuario administrativa.
El servidor de políticas es un motor de decisión de políticas muy optimizado con subprocesos
múltiples, que ejecuta cuatro funciones clave: la autenticación, la autorización, la administración
y las auditorías. Estas optimizaciones se complementan con funciones adicionales para aumentar
el rendimiento:
•Un modelo de subprocesos múltiples de gran eficacia, que se corresponde con una
agrupación de subprocesos que se puede configurar de forma exclusiva, permite que el
distribuidor saque el máximo partido al hardware de multiprocesador, incluidos los sistemas
de multiprocesador simétrico de 4, 6, 8 y 16 vías.
23
CA SiteMinder
•El almacenamiento en memoria caché se utiliza en muchas áreas:
–– Una memoria caché de almacenamiento de objetos mantiene las entradas recuperadas del
almacén de políticas y se carga previamente para mejorar el rendimiento.
–– Una memoria caché de dos niveles vincula los recursos a sus objetos de políticas asociados,
y se puede modificar su tamaño para optimizar el rendimiento.
–– La memoria caché de autorizaciones de usuario permite que el servidor de políticas evalúe
rápidamente qué política pertenece a qué usuario, y se puede modificar su tamaño para optimizar
el rendimiento.
–– La memoria caché de expresiones contiene las expresiones compiladas previamente.
–– La memoria caché de subexpresiones de usuario elimina la evaluación de subexpresiones comunes
en las que se utiliza la misma cláusula de expresiones más de una vez para el mismo usuario,
aunque no esté en la misma expresión principal.
•La agrupación de conexiones se utiliza para que el almacén de políticas y el acceso al directorio de
usuarios hagan un uso eficaz de los recursos del sistema y la red.
•Las capacidades de auditoría de alto rendimiento optimizan el rendimiento:
–– Las auditorías asíncronas opcionales mejoran el rendimiento separando las decisiones
relacionadas con la autenticación y la autorización de la tarea de registro de la decisión.
–– El control de los tipos de evento que se auditan (por ejemplo, todos los eventos frente a los
eventos de rechazo) y de la decisión de auditar o no auditar los eventos de acierto de caché de
agentes Web.
–– La disponibilidad de las auditorías basadas en archivos o en RDBMS, incluido un diseño de
transacción de SQL de actualización masiva de alto rendimiento.
Escalabilidad y disponibilidad probadas
No basta solamente con que el rendimiento sea elevado para admitir la WAM global y empresarial
de gran escala. Estos sistemas requieren una escalabilidad horizontal y vertical, el uso eficaz de los
recursos y una arquitectura tolerante a errores. CA SiteMinder incluye una serie de funciones integradas
concebidas para complementar la arquitectura de alto rendimiento y admitir las implementaciones a
escala global.
El agrupamiento en clúster de agentes Web se admite si se utilizan balanceadores de carga comunes
de otros fabricantes para establecer la capacidad y la tolerancia a errores deseadas en el nivel Web.
El modelo de sesión de CA SiteMinder no impone unos requisitos de configuración especiales para el
balanceador de carga. Los usuarios pueden pasar sin problemas de un agente Web a otro, tal como lo
determine el balanceador de carga.
El agrupamiento en clúster de servidores de políticas es un requisito esencial de los sistemas de
WAM escalables, y se integra en CA SiteMinder. Mediante el uso de clústeres de servidores de políticas,
los administradores pueden organizar la capacidad de procesamiento por aplicación, zona geográfica
o nivel de servicio.
24
CA SiteMinder
En un clúster, cada servidor de políticas conecta con el mismo almacén de políticas lógico y replicado,
de tal forma que disponga de una vista común de la información de infraestructura y las políticas.
Con la adición de nuevos servidores de políticas, la capacidad del clúster se escala de forma lineal,
puesto que no se produce ninguna replicación entre los servidores de políticas, excepto en el caso del
almacén de políticas en sí.
El agrupamiento de clúster es recomendable por las siguientes razones:
•Las conexiones de agentes se realizan en función de la respuesta en tiempo real de cada servidor
de políticas. A los servidores de política menos ocupados o de mayor capacidad se les asigna
automáticamente una proporción mayor de la carga. De esta forma se garantiza el uso eficaz de los
recursos del sistema, sin necesidad de intervención ni supervisión.
•Los agentes pueden realizar la conmutación por error desde un clúster de servidor de política hasta
otro en función de los criterios configurables.
•El mantenimiento del software se simplifica debido a que estos servidores pueden desactivarse,
actualizarse y reactivarse fácilmente sin necesidad de interrumpir el servicio.
•La capacidad también puede ampliarse sin necesidad de cumplir requisitos administrativos
adicionales, como la actualización de agentes con información sobre el nuevo servidor.
Ilustración H
La implementación
a gran escala
requiere funciones
especializadas
Es fundamental que
sus aplicaciones
Web empresariales
importantes estén
aseguradas con un
sistema escalable y
tolerante a errores.
CA SiteMinder incluye
compatibilidad
integrada con el
agrupamiento en
clúster y el error de
clúster, los dos
elementos clave de
la implementación
global de aplicaciones
Web.

Centro de datos 1
Centro de datos 1
NIVEL WEB EN CLÚSTERES CON
BALANCEADOR DE CARGA
NIVEL WEB EN CLÚSTERES CON
BALANCEADOR DE CARGA
BALANCEADOR
DE CARGA
AGENTE
AGENTE
BALANCEADOR
DE CARGA
AGENTE
BALANCEADOR
DE CARGA
AGENTE
AGENTE
AGENTE
Conmutación por error
CLÚSTER DE SERVIDOR
DE POLÍTICAS
CLÚSTER DE SERVIDOR
DE POLÍTICAS
Replicación
25
CA SiteMinder
La conmutación por error y el equilibrio de carga para los sistemas de servidor también son
importantes para el funcionamiento continuo de la implementación de WAM a gran escala.
CA SiteMinder incluye una serie de funciones, buenas prácticas y capacidades de terceros que
se utilizan para garantizar la continuidad operativa durante los fallos del directorio de usuarios,
el almacén de políticas, el almacén de claves o el almacén de sesiones.
•La conmutación por error se proporciona al almacén de claves y al almacén de políticas para que se
pueda realizar el mantenimiento en las bases de datos o los servidores de LDAP sin necesidad de un
corte programado de CA SiteMinder y las aplicaciones cuyo acceso gestiona.
•La replicación de los datos del almacén de claves y el almacén de políticas en los centros de datos se
lleva a cabo con sistemas de replicación de terceros o con la propia tecnología de almacenamiento
subyacente (por ejemplo, Oracle RAC).
•La compatibilidad de la conmutación por error y el equilibrio de carga del directorio de usuarios se
consiguen mediante la configuración de la interfaz de usuario administrativa.
Plataforma segura
Las capas de seguridad, las funciones avanzadas y la potente tecnología de cifrado simplifican el uso
de CA SiteMinder de un modo muy seguro.
Advance Encryption Standard (AES) es una opción de CA SiteMinder r12 que si se selecciona se utiliza
en todo el sistema. Este cifrado cubre las cookies de sesión, las comunicaciones de los agentes y los
datos confidenciales de los archivos de exportación de políticas.
La implementación de r12 AES utiliza una serie de opciones de alta seguridad, como las siguientes:
•AES OFB (Output Feedback) con HMAC-SHA256 para establecer canalizaciones cifradas entre los
agentes y los servidores de políticas.
•Modo AES CBC (Cipher Block Chaining, encadenamiento de bloques de cifrado) con HMAC-SHA256
truncado a 228 para el cifrado de cookies.
•AESKW (AES Key Wrap) para el almacenamiento de claves, el transporte de claves y el aseguramiento
de la exportación de datos.
La implementación de AES de CA SiteMinder r12 admite el estándar FIPS 140-2 y proporciona a las
organizaciones una plataforma de WAM muy segura.
El registro de agentes garantiza que las nuevas instalaciones de agentes se autoricen, y recopila
la información necesaria para establecer una relación de cifrado de confianza entre el agente de
CA SiteMinder y el servidor de políticas. Esta autenticación mutua entre componentes garantiza que
el registro y la inicialización de agentes no corren riesgo.
26
CA SiteMinder
Si hay varios servidores Web en un único host podrán sólo compartir un registro de confianza, pero se
podrán establecer registros de confianza independientes para un mayor control. El secreto compartido,
del que depende esta confianza, puede modificarse en cualquier momento en la interfaz de usuario
administrativa. También existe una opción para que CA SiteMinder cambie automáticamente el secreto
compartido cada cierto tiempo.
•La sustitución de clave dinámica es una función integrada diseñada para incrementar la seguridad
de las cookies de sesión de CA SiteMinder mediante la rotación de la clave simétrica utilizada para el
cifrado y el descifrado. Está concebida para funcionar en implementaciones a gran escala, e incluye
períodos de gracia para compensar la latencia asociada a las solicitudes de actualización de claves
de procesamiento en miles de agentes.
•La transferencia segura de atributos es compatible con las respuestas de CA SiteMinder. Cuando
una política configura y desencadena las respuestas, el servidor de políticas recupera uno o varios
atributos (un identificador de grupo o de rol, un atributo de un perfil de usuario, una credencial, etc.)
y los devuelve al agente Web a través del túnel cifrado. A continuación, los agentes Web inyectan la
información recuperada en la solicitud Web del usuario en forma de una serie de encabezados de
HTTP asignados. Otros tipos de agente presentan respuestas mediante mecanismos apropiados a su
categoría.
Estos encabezados se añaden a la solicitud HTTP del usuario mediante el agente Web y, por tanto,
no son visibles para el usuario o los observadores de la red perimetral. Además, estos encabezados
sustituyen a los encabezados manipulados que podrían enviarse desde el cliente para intentar entrar
ilícitamente en una aplicación.
•El control de la memoria caché permite a los administradores borrar definitivamente de forma
selectiva la memoria caché de autorizaciones de agentes para garantizar que una sesión de usuario
ya no es válida aunque no se cierre.
Prueba de vulnerabilidad
Por otra parte, CA SiteMinder ha realizado un análisis de la vulnerabilidad de terceros, que incluye la
revisión del código fuente y las pruebas de penetración basadas en más de 96 categorías de patrones
de vulnerabilidad.
Entre estas pruebas se incluyen la comprobación de que las entradas de clientes del explorador
Web se gestionan correctamente, la comprobación de que los datos confidenciales se protegen
adecuadamente, y la comprobación de que las funciones de autenticación, autorización y gestión de
sesiones funcionan apropiadamente. Para obtener una copia del informe, póngase en contacto con
el representante de CA Technologies.
27
CA SiteMinder
Capacidades de gestión empresarial
El uso de aplicaciones accesibles a través de la Web a gran escala también requiere unas herramientas
y una infraestructura de gestión especializadas. CA SiteMinder incluye herramientas para supervisar,
ajustar, depurar y gestionar el ciclo de vida de las políticas. Además, ofrece flexibilidad desde el punto
de vista de la configuración centralizada de los agentes, la configuración local de los agentes y las
combinaciones de ambas.
Las herramientas de gestión del ciclo de vida de las políticas se incluyen para mover la política de
seguridad y los objetos de la infraestructura por los entornos de desarrollo, pruebas y producción.
Estas herramientas se han actualizado en r12 para incorporar lo siguiente:
•Un formato de XML basado en estándares para los datos exportados.
•Cifrado de los datos confidenciales en los archivos de exportación.
•Ajustes de configuración para regir el funcionamiento de la importación, que incluye opciones de
adición, sustitución y superposición.
Existe una interfaz de línea de comandos para utilizar la potencia de la generación de scripts de Perl
para controlar de forma dinámica el sistema CA SiteMinder.
OneView Monitor es una herramienta de supervisión centralizada de CA SiteMinder que proporciona
información sobre el uso de los recursos para contribuir a la identificación de los cuellos de botella del
rendimiento. OneView Monitor recopila los datos operativos de los agentes y los servidores de políticas,
y puede mostrar alertas cuando se producen ciertos eventos, como el fallo de un componente.
CA Application Performance Management para CA Siteminder es un producto complementario que
proporciona a los equipos de soporte técnico un sistema de advertencia anticipada; esto les permite
detectar, evaluar y diagnosticar los problemas que afectan al funcionamiento de CA SiteMinder antes
de que los usuarios finales resulten afectados. CA Application Performance Management para
CA Siteminder recopila pruebas que pueden utilizarse para precisar los problemas aparentemente
causados por CA SiteMinder en un inicio, pero que pueden estar relacionados más bien con la
plataforma del directorio de usuarios, la red o el servidor Web.
28
CA SiteMinder
Ilustración I
Supervisión del
rendimiento en
tiempo real
mediante el
historial
integrado

CA Application
Performance Manager
para CA SiteMinder
supervisa el sistema
de WAM las 24 horas
del día y los 7 días de
la semana, para
detectar problemas
de forma proactiva y
posibilitar un análisis
rápido cuando se
produzcan fallos de
funcionamiento.
El historial se conserva
y la ventana de
eventos puede
moverse fácilmente
para centrarse en
períodos específicos.
Al agregar datos procedentes de todos los agentes y servidores de políticas, CA Application
Performance Manager para CA SiteMinder permite a los equipos de TI supervisar las estadísticas de
rendimiento de CA SiteMinder de forma exhaustiva y en tiempo real: el tiempo medio de respuesta en
el inicio de sesión; los éxitos, fallos y errores de cada período de medición; y la disponibilidad de los
sockets para los procesos de CA SiteMinder.
CA Application Performance Manager para CA SiteMinder identifica automáticamente las transacciones
problemáticas, y muestra aquellas transacciones con estadísticas correlacionadas procedentes del
entorno de CA SiteMinder para agilizar la solución de los problemas.
La compatibilidad con el protocolo simple de administración de redes (SNMP, Simple Network
Management Protocol) permite la supervisión desde las aplicaciones de gestión de SNMP.
CA SiteMinder incluye una base de datos de información de administración (MIB, Management
Information Base) conforme con SNMPv2, un agente de SNMP y una biblioteca de capturas de
SNMP de eventos. El agente de SNMP permite supervisar las aplicaciones para recuperar datos
operativos de la herramienta OneView Monitor de CA SiteMinder. El agente de SNMP envía los
datos al gestor de SNMP y admite la gestión de la solicitud de SNMP.
29
CA SiteMinder
Existen alternativas flexibles para las configuraciones y la supervisión de los agentes que permiten
a los clientes elegir si prefieren gestionar de forma centralizada la configuración de agentes con la
interfaz de usuario administrativa, localmente a través de un archivo de configuración en la plataforma
del agente o mediante una combinación de ambos métodos.
Los clientes suelen preferir el modelo de gestión centralizada de agentes de CA SiteMinder, porque
simplifica la administración de las implementaciones a gran escala. A medida que se añadan nuevos
servidores Web para satisfacer la demanda, podrán implementarse nuevos agentes Web con un trabajo
administrativo mínimo.
En ocasiones también es recomendable permitir al personal de operaciones o a los desarrolladores
que controlen algunos ajustes del agente Web, como la ubicación de escritura de los archivos de
seguimiento o los caracteres de URL que deben bloquearse en las futuras solicitudes. Estos ajustes
pueden modificarse en la interfaz de usuario administrativa; CA SiteMinder también permite definirlos
en un archivo de configuración local del nivel Web. Un administrador es el que se encarga de controlar
en la interfaz de usuario qué opciones hay disponibles para cada agente.
Las capacidades avanzadas de registro y seguimiento se integran para solucionar los problemas de
configuración y tiempo de ejecución. Entre las funciones principales se incluyen las siguientes:
•La creación de perfiles de tiempo de ejecución permite limitar el seguimiento de componentes de
procesamiento y elementos de datos concretos. También puede especificar los filtros para precisar
más el resultado del seguimiento. Los cambios de perfil se cargan de forma dinámica, lo que significa
que no es necesario reiniciar el servidor de políticas para modificar los datos que se registran.
•La correlación de transacciones permite realizar un seguimiento de los eventos del agente y el
servidor de políticas mediante un ID de transacción único y generado automáticamente común
a cada evento.
•La configuración disponible permite controlar la retención de archivos de registro y el funcionamiento
de la sustitución, incluida la sustitución basada en el tamaño de archivo o la hora.
•El control del formato de registro: XML, ancho delimitado y ancho fijo.
Con estas funciones, es mucho más fácil solucionar problemas en los servidores ocupados.
Existe una herramienta de pruebas para simular la interacción entre los agentes y los servidores de
políticas. Los administradores de políticas pueden usar esta herramienta para probar rápidamente
la evaluación de políticas y contribuir a la solución de los problemas del diseño de políticas.
El comando de publicación del servidor de políticas se puede utilizar para capturar una instantánea
de un entorno de tiempo de ejecución de CA SiteMinder, que incluye información sobre la configuración
del servidor de políticas, los agentes conectados, los almacenes de usuarios y políticas y los módulos
personalizados en uso. En caso necesario, la información recopilada permitirá que los ingenieros de
soporte técnico en línea de CA reproduzcan y resuelvan más rápidamente los problemas de producción
graves.
30
CA SiteMinder
Sección 4:
Compatibilidad y capacidad de extensión
Kit de desarrollo de software (SDK)
El SDK de CA SiteMinder incluye un conjunto de interfaces de programación de aplicaciones (API)
documentadas que le permite integrar y ampliar las capacidades de CA SiteMinder en su entorno
específico.
La API de gestión de políticas se utiliza para manipular los objetos del almacén de políticas. Con esta
API, puede desarrollar una interfaz administrativa personalizada para gestionar los objetos de la
infraestructura y la política, como el movimiento de políticas por los entornos y la carga masiva de
objetos de políticas. Las interfaces de programación y de línea de comandos (CLI, Command Line
Interfaces) están disponibles.
Ilustración J
Interfaces
disponibles de
programación de
aplicaciones
Las API de
programación están
disponibles en C, Java
y Perl para desarrollar
integraciones
personalizadas con
CA SiteMinder.

SERVIDOR DE POLÍTICAS
DE CA SITEMINDER
AGENTE PERSONALIZADO
API del agente
SCRIPT O INTERFAZ
ADMINISTRATIVOS
PERSONALIZADOS
Authentication
API de
autenticación
API
Customde
Esquema
Authentication
autenticación
Scheme
personalizado
Authorization
API de
autorización
API
Extensión
Custom
Policy
de
políticas
Extension
API
APIEvent
de eventos
API de gestión de políticas
Directory
API de API
directorios
31
personalizada
Identificador
Custom Event
deHandler
eventos
personalizado
Custom
Proveedor
deDirectory
directorios
Provider
personalizado
CA SiteMinder
La API de agente sirve para desarrollar agentes personalizados que apliquen el control de accesos y
gestionen las sesiones de usuario. La aplicación del control de accesos consiste en la autenticación,
la autorización y las auditorías. Entre los servicios adicionales que presta la API de agente se incluyen
los siguientes:
•La gestión de sesiones, que incluye la posibilidad de almacenar y recuperar variables.
•El equilibrio de carga, la conmutación por error y el cifrado para las comunicaciones del servidor de
políticas.
•La detección de los cambios de configuración, los vaciados de la memoria caché y los eventos de
sustitución de claves.
•La posibilidad de ejecutar código personalizado en el servidor de políticas a través de un canal seguro.
Esto resulta útil a la hora de integrar los sistemas heredados con el proceso de evaluación de
políticas y como un modo seguro de comunicarse a través de un cortafuegos.
Los agentes personalizados pueden participar en un entorno de inicio de sesión único con los agentes
Web estándares de CA SiteMinder que utilizan un conjunto de API de cookies. Estas interfaces pueden
utilizarse para crear cookies de sesión de SiteMinder de terceros que los agentes Web de CA SiteMinder
pueden aceptar.
La API de autenticación sirve para desarrollar módulos de complementos que definen nuevos
esquemas de autenticación o personalizar esquemas de autenticación innovadores. Los módulos
desarrollados con esta API se implementan como bibliotecas compartidas y pueden configurarse en
la interfaz de usuario administrativa. Los esquemas de autenticación personalizados pueden ayudar
en la desambiguación y en la autenticación de usuarios.
La API de autorización sirve para desarrollar módulos de complementos que desempeñen funciones de
autorización personalizadas. Los módulos pueden configurarse en la interfaz de usuario administrativa
para definir reglas activas, políticas activas y respuestas activas.
Las reglas y políticas activas representan el código personalizado que modifica o mejora las funciones
básicas de las reglas y las políticas de CA SiteMinder. Las respuestas activas permiten que el código
personalizado recupere o genere datos para la aplicación empresarial, o que desencadene acciones
externas como resultado de una decisión de políticas.
La API de directorios sirve para desarrollar un proveedor para un directorio de usuarios personalizado.
La API de eventos sirve para desarrollar un identificador personalizado que registre los eventos
utilizando fuentes, aplicaciones o proveedores externos. Por ejemplo, un desarrollador podría
desarrollar un identificador de eventos que enviara un correo electrónico al administrador cuando
el servidor de contabilidad se iniciara o cuando alguien creara una nueva política de seguridad.
32
CA SiteMinder
Programas de partners de CA
CA Technologies proporciona un conjunto completo de programas que permiten a la comunidad
de partners desarrollar, comercializar, prestar e implementar soluciones y servicios basados en
CA SiteMinder para nuestros clientes. La amplia comunidad de partners de CA Technologies abarca
una gran variedad de modelos, entre los que se incluyen los integradores de sistemas, los proveedores
de servicios de consultoría, los distribuidores y los partners de tecnología.
Integradores de sistemas globales
CA Technologies ha entablado alianzas estratégicas con muchos de los integradores de sistemas
globales (GSI, Global Systems Integrator) más importantes del mundo. Estas alianzas mejoran
CA SiteMinder con los servicios de consultoría de GSI reconocidos por el sector y el liderazgo de
pensamiento para garantizar una calidad excepcional a los clientes de CA Technologies. Entre los
partners de GSI se incluyen Accenture, Cap Gemini, Deloitte, Mycroft, Infosys, PwC y Wipro.
Proveedores de software independientes
CA Technologies también fomenta las asociaciones de tecnología relacionadas con CA SiteMinder.
Los proveedores de software independientes (ISV, Independent Software Vendor) ofrecen aplicaciones
que se integran con CA SiteMinder para aumentar la calidad de nuestros productos. El sólido SDK y las
API desarrolladas de CA SiteMinder han permitido a cientos de partners satisfacer las necesidades de
nuestros clientes mutuos con soluciones integradas y líderes del sector.
CA Technologies trabaja mano a mano con sus partners de CA SiteMinder para satisfacer las
necesidades y requisitos exclusivos de la comunidad de CA SiteMinder.
Para obtener más información, visite www.ca.com/partners.
33
CA SiteMinder
Servicios de CA
No se puede sustituir a los expertos en seguridad ni al diseño detallado a la hora de garantizar la
implementación eficaz y segura de un sistema de WAM empresarial.
Ilustración K
Aproveche la
experiencia de los
especialistas

El servicio de
implementación
rápida de
CA SiteMinder ofrece
un trabajo conjunto
con los expertos de
WAM para desarrollar
un plan que le
permita ponerse en
marcha enseguida
centrándose en una
implementación
inicial y limitada.
El servicio de implementación rápida de CA SiteMinder ofrece un trabajo conjunto con los expertos
de WAM para desarrollar un plan que le permita ponerse en marcha enseguida centrándose en una
implementación inicial y limitada. Los planes se desarrollan para ampliar y mejorar las capacidades
existentes de administración del acceso Web, la integración de aplicaciones, la autenticación de
usuarios o sistemas y la gestión de políticas de contraseñas de usuario.
Una vez validado el diseño y la especificación, los expertos de CA SiteMinder instalarán, configurarán,
integrarán, probarán y documentarán los flujos de trabajo, las características y las funciones que se
hayan definido en el diseño detallado.
34
CA SiteMinder
El servicio de implementación rápida de CA SiteMinder ofrece las siguientes ventajas:
•Reduce el tiempo de valuación gracias a una implementación limitada.
•Reduce el riesgo de errores de implementación gracias a la infraestructura de WAM.
•Proporciona una implementación factible y personalizada, y planes de pruebas.
•Mejora la eficacia gracias a la aplicación de metodologías de buenas prácticas.
•Adapta las características y funciones de CA SiteMinder a sus requisitos y objetivos de negocio y
de seguridad.
•Acelera las curvas de implementación y de aprendizaje del personal.
Prestación global de servicios de CA
El equipo de prestación global de servicios de CA, que se integra en el equipo CA Services, tiene
como objetivo contribuir a reducir el tiempo de evaluación en las implementaciones de productos de
CA Technologies, mediante la prestación centralizada de aceleradores y componentes de alta calidad,
duraderos y rentables.
Los componentes de este equipo son los siguientes:
•Alta calidad: utiliza metodologías coherentes y estándares de pruebas para producir cada
componente. Nuestros componentes están bien documentados y se integran fácilmente en los
entornos de CA Technologies.
•Durabilidad: el equipo de prestación global de servicios de CA ofrece soporte técnico para todo el
trabajo, ya sea en lo que respecta al tiempo y los materiales o como parte de un contrato de soporte
técnico.
•Rentabilidad: un modelo de prestación de servicios nacional/internacional que combina las dotes
empresariales y técnicas de nuestros arquitectos con los servicios de desarrollo, pruebas y
documentación de nuestros equipos internacionales de desarrollo.
•Aprovechamiento de partners: para satisfacer las necesidades específicas de los clientes, el equipo de
prestación global de servicios de CA aprovecha las relaciones con los principales partners para ofrecer
una mayor capacidad y pericia.
Este equipo presenta un completo catálogo de aceleradores y componentes estándares que mejoran
y amplían CA SiteMinder y otros productos en el conjunto de programas Identity and Access
Management de CA Technologies.
Además, desarrolla soluciones integradas para CA SiteMinder con el kit de desarrollo de software
(SDK) que se incluye en estos productos. El equipo de prestación global de servicios de CA trabaja
conjuntamente con los equipos de CA Services, ingeniería de productos y gestión de productos para
desarrollar soluciones para los clientes de gran calidad y coherentes con las directrices de los
productos de CA Technologies.
35
CA SiteMinder
Compatibilidad con plataformas
El equipo de certificación de CA Technologies se centra en la migración y las pruebas de CA SiteMinder
con el hardware y el software más recientes según las prioridades de nuestros clientes. Actualmente,
CA SiteMinder está avalado por más de 450 combinaciones probadas específicamente de servidores
Web y de aplicaciones, sistemas de ERP, directorios, bases de datos y sistemas operativos.
Sistemas operativos del
servidor de políticas y el
agente Web
Plataformas de agentes
Directorios de usuarios
• Microsoft Windows
Servidores de aplicaciones/Web
• CA Directory
• Sun Solaris
• Apache HTTP Server
• Critical Path Directory Server
• Red Hat Enterprise Linux
• Apache Tomcat
• IBM DB2
• SUSE Linux
• Oracle WebLogic
• IBM Directory Server
• HP-UX
• HP Apache
• Lotus Domino LDAP
• IBM AIX
• RedHat JBoss EAP
• Microsoft Active Directory
• IBM Z/OS
• IBM HTTP Server
• Microsoft AD/AM
• IBM WebSphere
• Microsoft SQL Server
• Lotus Domino
• MySQL
• Microsoft IIS
• Novell eDirectory
• Microsoft SharePoint
• Oracle Internet Directory
• Oracle HTTP Server
• Oracle RDBMS
• Red Hat Apache
• Oracle RAC
• Sun Java System
• Open LDAP
Otros estándares
• SAML 1.x/2.0
• WS-Security
• WS-Federation
• SNMP
• IPv6
• AES
• FIPS 140-2
Sistemas ERP
• RADIUS
• Oracle
• Common Criteria (evaluado)
• PeopleSoft
• SAP
• Siebel
• OpenWave
• Radiant One Virtual Directory
Server
• Red Hat Directory Server
• Siemens DirX
• Sun Java System
Directory Server
• SunOne Directory Server
Para obtener la información más actualizada sobre certificación, consulte las matrices de
compatibilidad de la gama de productos de CA SiteMinder y la documentación de orientación para
la certificación del soporte técnico en línea de CA.
36
CA SiteMinder
Sección 5:
Conclusiones
Los sistemas de WAM desempeñan un papel fundamental en el entorno empresarial actual: aseguran
el envío de información y aplicaciones en la Web. A primera vista, pueden parecer una serie de
soluciones de WAM disponibles con funciones y capacidades similares; no obstante, si se observa
con más detalle, se comprende por qué CA SiteMinder sigue constituyendo el modelo de excelencia
para los sistemas de WAM de todo el mundo.
CA SiteMinder tiene la arquitectura de mayor rendimiento y escalabilidad de hoy en día para asegurar
todas las aplicaciones Web, incluso aquellas destinadas a la implementación a escala global y a
millones de usuarios. Las funciones de autenticación avanzada e inicio de sesión único, las opciones
flexibles de implementación y auditorías y la amplia compatibilidad de plataformas permiten
optimizar la implementación de CA SiteMinder de acuerdo con los requisitos específicos de su
organización.
CA SiteMinder r12 introduce un nuevo modelo de gestión de políticas empresariales y las capacidades
de administración más avanzadas del sector. Esto permite implicar a un mayor número de personas
en el proceso de aseguramiento de las aplicaciones Web, liberando así a los expertos en seguridad
y comprimiendo los programas de los proyectos. Además, la versión r12 se basa en una nueva
arquitectura extensible que puede coexistir con la versión r6 anterior, al tiempo que permite que
CA Technologies proporcione funciones nuevas importantes aún más rápidas sin el engorro de la
migración que suele asociarse a las actualizaciones de software.
Por último, el conjunto de programas Identity and Access Management de CA Technologies incluye
productos complementarios que, si se utilizan junto con CA SiteMinder, pueden aumentar sus
beneficios. Estos productos hacen frente a los problemas asociados a las identidades federadas
y la gestión de servicios SOA/Web, el inicio de sesión único en los sistemas heredados, la gestión del
cumplimiento de la seguridad y la gestión del ciclo de vida de las identidades.
CA SiteMinder afronta los retos actuales de WAM y le prepara para las futuras capacidades en continuo
cambio y crecimiento de la Web.
Para obtener más información sobre CA SiteMinder, un componente clave de la cartera de productos
de gestión de la seguridad de CA Technologies, visite ca.com/security.
37
CA SiteMinder
CA Technologies es una empresa de software y soluciones de gestión de TI
con experiencia en todos los entornos, desde el mainframe y los entornos
físicos hasta los virtuales y en la nube. CA Technologies gestiona los
entornos de TI y garantiza su seguridad, lo que permite a los clientes prestar
unos servicios de TI más flexibles. Los innovadores productos y servicios de
CA Technologies proporcionan la comprensión y el control fundamentales
para que las organizaciones de TI impulsen la agilidad empresarial. La
mayoría de las empresas que figuran en la lista Global Fortune 500 confían
en CA Technologies para gestionar sus ecosistemas de TI en constante
evolución. Para obtener más información, visite el sitio de CA Technologies
en ca.com.
Copyright ©2011 CA. Todos los derechos reservados. Todas las marcas comerciales, nombres comerciales, marcas de servicio
y logotipos a los que se haga referencia en la presente documentación pertenecen a sus respectivas compañías. El propósito de
este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En la medida
de lo permitido por la ley vigente, CA proporciona esta documentación “tal cual”, sin garantía de ningún tipo, incluidas, a título
enunciativo y no taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento. CA no
responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso
de esta documentación, incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad
empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con
antelación y expresamente de la posibilidad de dichos daños.
CS1002_0411

CA SiteMinder® le prepara para el futuro

Transcripción

Documentos relacionados

Notas de la versión de CA IdentityMinder

SU PIEZA CLAVE EN SEGURIDAD