Sitios blindados en SharePointUna solución para incrementar la seguridad de acceso a aplicaciones web de SharePoint

Modelo de funcionamiento

01

Disponer en nuestras granjas de SharePoint 2013 de un mecanismo de control de acceso más robusto (basado en two factor authentication; un estándar publico) a las aplicaciones web de SharePoint que queramos sobreproteger porque puedan contener información sensible o procesos delicados.

Llamamos a este componente ENCSEC

Objetivo de los sitios blindados

Proceso de autenticación y acceso

UserPwdToken

1, 7

2

3

45

6

1. El usuario trata de acceder a una aplicación web de SharePoint protegida2. El sistema de autenticación redirige la validación al componente ENCSEC3. ENCSEC presenta un formulario al usuario solicitando su user, password y “token”

temporal4. En caso de que el usuario ya se ha autenticado en otro sitio de la granja, sólo se solicita

el “token” temporal (Single Sign On)5. El usuario obtiene de su móvil el “token” temporal y lo introduce (si es necesario, junto a

su user y pwd en el formulario)6. El componente ENCSEC acude a AD con ese usuario y password y7. si es correcto accede a la clave para descifrar el “token” que ha llegado en el formulario.

Si el user/pwd no es correcto se devuelve error de autenticación al usuario8. Si al descifrar el “token” y obtener el “sello de fecha” han pasado más de 1 minuto, se

rechaza la petición. Y si todo es correcto se le da permiso de acceso al usuario cargándole con una cookie temporal para poder operar por las próximas 24h en el sitio, desde esa sesión y navegador.

Proceso de autenticación

Proceso provisión de permisos

(1) Las aplicaciones web a blindar se configuran

con el sistema de autenticación ENCSEC

(2) Un script genera los datos en AD para las claves privadas de los usuarios a acceder a

sitios blindados(3) El usuario accede a la

URL que facilita la configuración de su App de generación de tokens con una clave pública del

usuario

(4) El App de generación de tokens queda

preparado para generar tokens válidos

temporalmente (1) Las aplicaciones web a blindar se configuran

con el sistema de autorización std de

SharePoint

• La gestión de autenticación de usuarios en la aplicación web de SharePoint a blindar se configura a nivel del componente específico ENCSEC

• La gestión de autorizaciones de un usuario en la aplicación web de SharePoint se gestiona a nivel de SharePoint de forma estándar

• PROVISIÓN DEL SERVICIO• Cada usuario que va a acceder a sitios blindados necesitaría una App en su móvil (a su

elección entre las muchas disponibles) para generar tokens temporales a partir de una clave pública configurada previamente.– Cada vez que un usuario quiere acceder a un sitio blindado se le presenta un form

pidiéndole usuario, pwd y token temporal. – Se accede al AD a validar usuario y contraseña, y con la clave privada residente

como metadato en el AD del usuario, se desencripta el token temporal y se valida si es suficientemente reciente. Si es de hace menos de 1 minuto se le da permiso a acceder a la aplicación web de SharePoint.

• El acelerador “sitios blindados de sharepoint” ofrece una página web con la clave pública a configurar la APP de generación de tokens temporales de cada usuario

Autenticación y autorización

• El App en el móvil funciona como cartera para guardar la clave secreta de los usuarios que genera los “tokens”. Esta cartera es el “secundo factor” que valida la identidad de usuario.

• Este App no es un desarrollo a medida si no aplicaciones hechas por proveedores como Google y Microsoft que soportan el estándar publico de “Time-based One-time Password Algorithm” (TOTP). Ese estándar, RFC6238 , esta publicado en http://tools.ietf.org/html/rfc6238

• Las plataformas soportadas son Android, IOS, Windows Phone, Blackberry, Linux (PAM). No solo funcionan con clientes móviles. También hay clientes para el escritorio (Desktop), Web y Java disponibles (multiplataforma).

Cartera de autenticación

• Los sitios blindados son mucho más robustos en el control de su acceso, porque hay un doble sistema basado en lo que el cliente sabe y(su usuario y contraseña) y lo que tiene (su móvil).

• Este modelo de control de autenticación, más el modelo de autorización de SharePoint más un correcto nivel de auditoría en los sitios a proteger ofrece un nivel de blindaje y seguridad muy robusto para sitios de SharePoint con información o procesos delicados.

• Además, la percepción que tiene el usuario respecto al blindaje es en si mismo disuasorio.

• Todos los protocolos y operativas de trabajo del acelerador de sitios blindados de SharePoint siguen estándares web reconocidos e interoperables.

• Nota: Un Administrador de Sistemas de máximo nivel de su red, que se configurara su acceso basado en los 2 factores saltándose la normativa de gestión del AD, y que se auto-otorgara autorización de acceso para los sitios blindados, quedaría registrado y auditado en esta operación, pero no podría impedírsele su acceso a la inspección del sitio blindado.

Beneficios y condiciones

Contacto

Para localizar o contactar con ENCAMINA puedes:

Enviar un mail a:

encamina@encamina.com info@encamina.com

Llamar al 902 196 893 962 698 064 o 917 893 823

Enviar un fax al 962 698 063

O hablar personalmente con:•Hugo de Juan, CEO•Javier Menendez, Director zona Centro•Jaime Camarasa, Consultor Desarrollo de Negocio •Gonzalo Galarraga, Consultor senior y de Desarrollo de Negocio

Visitarnos en:

Jerónimo Roure 4946520 Puerto de Sagunto, Valencia.

Paseo de las Delicias, 30. 2ª planta28045 , Madrid, Madrid