22. Serveis de directori: disseny, infraestructura, implementació, gestió i manteniment. Autenticació SSO (Single sign on) i gestió d'identitats.

Questions and Answers

Quina afirmació descriu millor el funcionament de l'Enterprise SSO (E-SSO)?

Deshabilita la presentació de les pantalles d’autenticació interceptant els requisits d’autenticació. (correct)

Requereix que cada aplicació secundària gestioni les seves pròpies credencials.

Permet accedir a les aplicacions secundàries sense necessitat d'una autenticació primària.

Proporciona un sistema de seguretat que no requereix l'ús de contrasenyes.

Quin és l'objectiu principal del Web SSO (Web-SSO)?

Permetre l'autenticació única a aplicacions de desktop.

Autenticar usuaris en diverses aplicacions web sense necessitat de reintroduir credencials. (correct)

Integrar credencials d'usuari en un sistema extern de gestió d'identitat.

Realitzar l'autenticació d'usuaris mitjançant un mètode descentralitzat.

Quina característica clau diferencia Kerberos d'altres mètodes d'autenticació?

No requereix un servidor central per validar les credencials.

Proporciona un ticket que l'usuari presenta per obtenir accés. (correct)

Utilitza un sistema de cookies per gestionar les sessions d'usuari.

Permet que les contrasenyes siguin emmagatzemades en un entorn segur.

Quina és la principal avantatge de l'Identitat federada?

Evita la necessitat de compartir accés a sistemes de dades amb altres organitzacions.

Quina afirmació és correcta sobre OpenID?

Opera de manera distribuïda i descentralitzada amb un Localitzador Uniforme de Recursos (URL).

Quin protocol ha substituït al DAP de l'estàndard X.500?

Lightweight Directory Access Protocol (LDAP)

Quin dels següents no és un dels elements principals d'un Servei de Directori?

Agent de comunicació d'usuari

Quina versió de LDAP està definida a la RFC4511?

LDAP v3

Quin format s'utilitza per codificar els protocols de missatge en LDAP?

Format binari BER

Quina funció té el servidor d'Administració en un Servei de Directori?

Controlar els portals que accedeixen al servidor LDAP

Com es pot comunicar un client amb el servidor LDAP?

Mitjançant LDAP sobre TCP/IP o LDAPI

Quina és la importància de la planificació abans d'implementar un Servei de Directori?

Implica la recopilació de dades sobre requisits del directori

Quina estructura té l'arbre bàsic del Servei de Directori?

Cn=Configuració/O=NetscapeRoot/O=userRoot

Quin dels següents no és un mètode de seguretat aplicat en el disseny d'un directori segur?

Antivirus actualitzat

Quina característica del Single Sign On (SSO) ajuda a millorar la seguretat?

Realitza la sincronització de contrasenyes

Quina és una de les categories d'amenaça a la seguretat del directori?

Manipulació no autoritzada

Quina afirmació sobre SSO és correcta?

Manté la sessió vàlida per múltiples aplicacions

Quin dels següents serveis de directori és específic de Microsoft?

Active Directory

Què és SAML en el context del SSO?

Un format de document XML

Quina opció descriu millor el disseny de la sincronització en Windows?

Inclou usuaris i grups així com contrasenyes

Quin dels següents serveis de directori és compatible amb LDAP?

Directori d'Internet d'Oracle

Quines característiques són adequades per a les dades en un Sistema de Directori (SD)?

Dades que es poden expressar en format d'atribut.

Quina de les següents opcions no és una funcionalitat de l'esquema LDAP?

Emmagatzemar imatges de grans dimensions.

Què defineix principalment la topologia de directori?

Com l'arbre de directoris es divideix entre diferents SD físics.

Quina de les següents no és considerada una informació a incloure en un Directori?

Detalls sobre la salut dels empleats.

Quin benefici ofereix un arbre de directoris ben dissenyat?

Manteniment simplificat i flexibilitat.

Quina és la unitat més petita de replicació en un sistema de directori?

Una base de dades.

Quin protocol s'utilitza per establir relacions de confiança entre boscos?

Kerberos.

Quina afirmació sobre la informació descriptiva en un Directori és correcta?

Pot incloure interessos i títols dels empleats.

Quins són alguns dels beneficis de l'administració delegada d'usuaris en una organització?

Permet un control més eficient de l'accés a les aplicacions.

Quin inconvenient es deriva de tenir un sistema on un usuari gestiona només una contrasenya per múltiples aplicacions?

Augment del risc de seguretat.

Quin component és essencial en una solució IAM per gestionar identitats de manera centralitzada?

Servei de directoris.

Quina afirmació és certa sobre la consistència de les dades en un sistema IAM?

Els canvis en un repositori es reflecteixen en totes les aplicacions.

Quin dels següents aspectes no representa un inconvenient en la implementació d'un sistema IAM?

Millora immediata del retorn d'inversió.

En relació amb els directoris virtuals, quina és la seva principal avantatge?

Permeten una vista unificada sense sincronització de dades.

Quina funció té un servei de directoris en una xarxa?

Organitzar usuaris, equips i recursos d'accés.

Quina de les següents funcions no està relacionada amb la gestió d'identitats?

Modificació de polítiques de seguretat.

Quina característica defineix l'Enterprise SSO (E-SSO) en comparació amb altres mètodes d'autenticació?

Intercepta requisits d'autenticació i emmagatzema les credencials.

En quin aspecte es diferencia el Web SSO dels altres tipus de SSO?

Funciona exclusivament amb aplicacions accessibles a través de web.

Quina és la funció principal del sistema de Kerberos en l'autenticació d'usuaris?

Generar tickets per facilitar l'accés a diferents serveis.

Quin és el principi fonamental darrere de la identitat federada?

Facilitar l'ús de credencials d'un sistema en aplicacions externes.

Quina és la característica principal d'OpenID com a sistema de SSO?

Proporciona un accés distribuït i verificable a través d'URL.

Quina característica principal diferència els serveis de directori de les bases de dades convencionals?

Els serveis de directori estan optimitzats per a operacions de lectura.

Quina afirmació és correcta sobre la jerarquia de dades en els serveis de directori?

Els serveis de directori tenen una estructura de dades jeràrquica.

Per a què estan optimitzats principalment els sistemes de fitxers en comparació amb els serveis de directori?

Per accedir a fitxers aleatoris ràpidament.

Quina és la principal diferència entre els serveis de directori i els serveis web?

Els serveis web utilitzen una interfície d'usuari més atractiva.

Quines dades no requereixen una consistència estricta en un servei de directori?

Les dades que són relativament estàtiques.

Quin dels següents atributs és correcte sobre el protocol LDAP?

LDAP és un protocol optimitzat per construir aplicacions petites.

Quina de les següents afirmacions descriu millor la relació entre serveis de DNS i serveis de directori?

Els serveis DNS estan optimitzats per traduir noms de domini a adreces IP.

Quina característica exclusiva dels serveis de directori afecta la seva estructura de dades?

Utilitzen atributs multivalorats.

Quina afirmació sobre la gestió d'informació en un Servei Directori és correcta?

Permet centralitzar la informació necessària per diverses aplicacions.

Quina és la característica principal dels serveis de directori distribuïts?

Diversos servidors proporcionen parts fraccionades i replicades de la informació.

Quin tipus d'informació pot emmagatzemar un Servei Directori?

Informació de contracte així com dades personals i professionals dels empleats.

Quin protocol es fa servir principalment per accedir a un Servei Directori Global?

LDAP

Quina afirmació sobre l'autenticació en un Servei Directori és correcta?

L'autenticació forta utilitza claus de xifratge per autenticar usuaris.

Quina és la principal diferència entre el servei DNS i un Servei Directori?

El DNS emmagatzema informació sobre la xarxa, mentre que el Servei Directori emmagatzema informació dels usuaris.

Com es solen implementar els Serveis de Directori?

Seguint un model client-servidor amb funcions d'API estàndards.

Quin dels següents no és un avantatge d'usar un Servei Directori comú?

Redueix els costos d'emmagatzematge físic.

Quin dels següents inconvenients és un resultat de la gestió d'una única contrasenya per a totes les aplicacions?

Increment del risc de seguretat

Quina és una de les funcions principals dels serveis de directori?

Organitzar i gestionar l'accés als recursos

Quin requisit essencial s'especifica per implementar un sistema IAM?

Realitzar una reestructuració del model operatiu

Quin component és fonamental en la gestió d'identitats dins d'una solució IAM?

Servei de directoris

Quina característica dels directoris virtuals millora la seva funcionalitat?

Vista unificada de la informació

Quina condició dels processos d'autenticació i autorització pot afectar a múltiples aplicacions?

L'ús d'una sola contrasenya

Quina declaració és certa sobre la consistència de dades en un sistema IAM?

Un canvi en el repositori es visualitza en totes les aplicacions

Quin d'aquests factors afecta negativament a la implementació d'un sistema IAM?

La necessitat de definir rols tècnics i de negoci

Què s'utilitza en els sistemes Web SSO per reconèixer als usuaris?

Cookies

Quina informació es necessita en un SSO per accedir a les aplicacions?

Credencials

Quin dels següents no és un tipus de SSO?

Kerberos

Quina afirmació és incorrecta respecte al Servei Directori?

Les dades es mantenen en una estructura poc jerarquitzada

Quina de les següents opcions no és un ús adequat de LDAP?

Emmagatzemar contrasenyes en text pla

Què descriu millor un sistema IDM?

Plataforma per gestionar cicles de vida d'identitats

Quina és la funció principal d'un protocol LDAP?

Accés a informació emmagatzemada centralment

Quina és una característica clau de les credencials en els sistemes SSO?

Permeten l'accés a múltiples aplicacions amb una sola autenticació

¿Cuál es la principal desventaja de usar OpenID para servicios bancarios?

Puede no haber confianza en el proveedor de identidad

¿Qué permite hacer OAuth en relación con la gestión de datos?

Proteger las credenciales del usuario

¿Cuál es una característica clave de OATH en la autenticación?

Uso de tokens efímeros

¿Qué objetivo tenía la organización Liberty Alliance?

Establecer estándares en la gestión de identidad

¿Qué rol cumple Kantara en la gestión digital de identidad?

Agrupa iniciativas sin fines de lucro

¿Cuál es una función de Microsoft Passport?

Proporciona un único nombre y contraseña para varios sitios

¿Qué característica definía a Windows CardSpace en la gestión de identidad?

Interfaz de usuario basada en tarjetas de información

¿Qué limita a OAuth en su entorno de implementación?

Requiere un proveedor de servicio de confianza

¿Cuál es la principal diferencia entre OpenID y SAML en términos de su propósito?

OpenID se basa en URLs, mientras que SAML se basa en un esquema XML.

¿Qué rol tiene típicamente el proveedor de servicio en un sistema que utiliza SAML?

Solicita la confirmación de identidad al proveedor de identidad.

¿Cuándo fue liberada la versión estable de SAML?

2005

¿Qué aspecto de OpenID facilita el acceso a múltiples sitios sin crear nuevas cuentas?

El uso de identificadores de un proveedor de identidad.

¿Qué define principalmente el protocolo SAML en su implementación?

Un esquema XML para la autenticación y autorización.

¿Cuál es el principal objetivo de OpenID en comparación con otros sistemas de autenticación?

Facilitar un acceso unificado mediante identificación en múltiples sitios.

¿Cuál es una característica clave de SAML que lo distingue de OpenID?

SAML maneja la autorización y el intercambio de datos de manera estructurada.

¿Qué se debe contar como una desventaja de OpenID frente a SAML?

OpenID no especifica el mecanismo de autenticación.

Qué permite a las empresas otorgar diferentes permisos de sistema a distintas identidades?

Identidades digitales diferenciadas

Cómo ayuda el control de acceso basado en roles (RBAC) a las organizaciones?

Basando los privilegios en la función y responsabilidad laboral

Qué principio se aplica para asegurar que los usuarios solo tengan las licencias necesarias para completar una tarea?

Principio de mínimo privilegio

Qué función principal cumplen las herramientas de Gestión de Acceso Privilegiado (PAM)?

Monitorear la seguridad de cuentas con muchos privilegios

Por qué se tratan las cuentas privilegiadas con más cuidado en la gestión de identidades?

Porque el robo de estas credenciales puede llevar a graves brechas de seguridad

Qué rol tendría un analista de seguridad de nivel junior respecto a las configuraciones del firewall?

Ver configuraciones sin cambiarlas

Qué es el control de acceso justo a tiempo en un sistema IAM?

Acceso temporal bajo demanda a recursos específicos

Cuál es una de las principales ventajas del control de acceso basado en roles sobre otras formas de control?

Reduce laprobabilidad de otorgar privilegios excesivos

Study Notes

Serveis de Directori

• Els protocols més usats són X.500 i Lightweight Directory Access Protocol (LDAP)
• El protocol LDAP és un protocol d'aplicació que permet l'accés a un servei de directori ordenat i distribuït per cercar informació en una xarxa.
• Els protocols de missatge estan codificats en format binari BER.
• Un servei de directori té tres elements principals: servidor LDAP central, servidor d'administració i consola d'administració gràfica.
• El servei de directori proporciona la base per a una intranet o extranet i s'utilitza com a repositori central per compartir informació.
• El servei de directori és una aplicació multi-threaded.
• El Servei de Directori pot establir una connexió segur amb SSL / TLS.
• L'arbre bàsic del Servei de Directori és Cn=Config, O=NetscapeRoot i O=userRoot.
• El disseny del Servei de Directori implica la recopilació de dades sobre els requisits del directori: entorn, fonts de dades, usuaris i aplicacions.
• Els elements de dades s'assignen a un atribut LDAP i els elements relacionats s'agrupen en classes d'objectes LDAP.
• L'esquema LDAP dels components d'un servei de directori inclou objectes, unitats organitzatives, dominis, arbre de directori i bosc.
• Un arbre de directori ben dissenyat proporciona manteniment simplificat i flexibilitat.
• La topologia de directori descriu com l'arbre de directoris es divideix entre diferents servidors físics i com aquests servidors s'enllacen entre sí.
• El procés de replicació còpia automàticament les dades de directori d'un servei de directori a un altre, proporcionant tolerància a errors, balanceig de càrrega i millor rendiment.
• El procés de sincronització és similar al procés de replicació.
• Les amenaces a la seguretat del directori es divideixen en tres categories: accés no autoritzat, manipulació no autoritzada i negació del servei.
• Hi ha dos tipus de drets d'accés: concedir tots els drets a totes les categories d'usuaris o concedir l'accés mínim necessari a cada categoria d'usuaris.

Implementació de Serveis de Directori

• Exemples d'implementació de serveis de directori inclouen NIS, NetIQ eDirectory, Servidor de Directori de Red Hat, CentOS Directory Server, Active Directory, Open Directory, Servidor de Directori d'Apache, Directori d'Internet d'Oracle i Servidor de Sun Java System.

Single Sign On (SSO)

• SSO és un sistema que permet accedir a diferents aplicacions i serveis amb una única identitat.
• SSO sol utilitzar SAML: estàndard obert d'esquema XML per a l'intercanvi de dades d'autenticació i autorització.
• SSO millora la seguretat de la xarxa i les aplicacions.
• SSO facilita l'ús, permetent als usuaris autenticar-se una sola vegada per accedir a múltiples recursos.
• SSO proporciona transparència en l'accés a les aplicacions.
• Hi ha cinc tipus de SSO: Enterprise SSO (E-SSO), Web SSO (Web-SSO), Kerberos, Identitat Federada i OpenID.

Avantatges de SSO

• Millora la productivitat dels usuaris.
• Facilitat de gestió dels usuaris.
• Autoservei per als usuaris.
• Automatització de processos.
• Integració de serveis i repositoris de dades dels usuaris.
• Consistència en les dades.

Inconvenents de SSO

• Incrementa el risc de seguretat si un usuari maneja una sola contrasenya per a totes les aplicacions.
• Els errors en els processos d'autenticació i autorització afectaran a totes les aplicacions.
• Requeriment de reestructuració de processos i model operatiu de les organitzacions.
• Inversió en temps i recursos.

Components d'una Solució IAM

• Servei de Directori
• Directoris Virtuals
• Gestió d'identitats
• Gestió de rols

Preguntes d'Examen

• El protocol LDAP no fa servir protocols OSI, sinó TCP/IP.
• Els serveis de directori organitzen els elements d'una xarxa, com ara usuaris, equips i altres dispositius.

Serveis de Directori

• Un servei de directori (SD) és una base de dades especialitzada que emmagatzema informació sobre objectes i està optimitzada per a operacions de consulta.

• Un SD ofereix una capa d’abstracció entre els usuaris i els recursos compartits, com ara impressores, permetent als administradors gestionar l’accés dels usuaris a la xarxa.

• Un SD està optimitzat per a operacions de lectura i per a emmagatzemar informació relativament estàtica.

• La informació emmagatzemada en un SD segueix una estructura jeràrquica, no suporta transaccions, requereix una consistència menys estricta i pot tenir atributs multivalorats.

• Els serveis de directori utilitzen el protocol LDAP per a la comunicació, que és un protocol simplificat i optimitzat per a aplicacions simples i petites.

• Els patrons de disseny de les bases de dades relacionals no són aplicables als serveis de directori.

Utilitats del Servei Directori

• Un SD permet trobar i gestionar informació, com ara informació del dispositiu físic, informació pública i privada dels empleats, i informació de contractes o comptes.

• Un SD també pot oferir funcions d’autenticació, com ara autenticació simple o forta, mitjançant l'ús de contrasenyes de compte o claus de xifratge.

• L'ús d’un SD comú, multiplataforma, accessible mitjançant protocol i API estàndard, permet als programadors desenvolupar aplicacions sense necessitat de crear directoris específics.

• Un SD facilita el control dels riscos d’error per inconsistència de dades.

Serveis Directori Globals

• Un SD satisfa les necessitats d’una àmplia varietat d’aplicacions i proporciona un protocol estàndard i interfases de programació d’aplicacions (API) per a l'accés a la informació.

• El protocol LDAP s'utilitza per a la comunicació amb els Serveis de Directori Globally.

Arquitectura dels Serveis de Directori

• Els Serveis de Directori se solen implementar seguint el model client-servidor.

• Es poden implementar com a serveis centralitzats, amb un únic servidor que subministra tot el servei, o com a serveis distribuïts, amb diversos servidors que proporcionen el servei.

Disseny dels Serveis de Directori

• Els serveis de directori i els clients han d'implementar un protocol comú per a la comunicació.

• L’usuari s’autentica una sola vegada mitjançant el servei de directori per accedir a diversos recursos autoritzats.

• El servei de directori pot garantir la transparència de l'inici de sessió.

Single Sign-On (SSO)

• El SSO és un sistema que permet als usuaris iniciar sessió una sola vegada per a accedir a múltiples aplicacions.

• Els usuaris només necessiten recordar una sola contrasenya.

Tipologia de SSO

• Hi ha diversos tipus de SSO, com ara: E-SSO, Web SSO, Kerberos, Identitat federada i OpenID.

• Els sistemes E-SSO (enterprise SSO) operen com una autenticació primària, interceptant els requisits d’autenticació dels sistemes secundaris.

• Els sistemes Web SSO (web SSO) treballen només amb aplicacions i recursos accessibles via web.

• Kerberos és un mètode popular de SSO que utilitza un servidor central per a autenticar els usuaris.

• Identitat federada és una solució de gestió d'identitat que permet fer ús de les credencials d'un sistema extern.

• OpenID és un SSO distribuït i descentralitzat que s’utilitza per a validar la identitat d'un usuari.

Avantatges del SSO

• Increase in productivity.
• Administration of users, resources and policies.
• Self-service for users.
• Automation of processes.
• Integration of services and data repositories.
• Data consistency.

Inconvenients del SSO

• Un únic punt de fallo.
• Risc de seguretat major amb una sola contrasenya.
• Requereix una reestructuració de processes.
• Costos inicials alts.

Components d’una solució IAM

• Servei de Directori
• Directoris Virtuals
• Gestió d’Identitats
• Gestió de Rols

Sistemes d'Autenticació Unificada

• Els sistemes d'autenticació unificada (Single Sign-On) permeten un accés unificat a diversos serveis amb un únic conjunt de credencials.

OpenID

• OpenID és un estàndard de identificació digital descentralitzat que permet als usuaris identificar-se a través d'una URL o XRI.

• Els usuaris no necessiten crear comptes nous en els llocs web que admeten OpenID, sinó que poden utilitzar un identificador creat a un servidor que verifica OpenID (proveïdor d'identitat).

• OpenID no especifica el mecanisme d'autenticació, la seguretat d'una connexió OpenID depèn de la confiança que el client OpenID tingui en el proveïdor d'identitat.

SAML

• SAML (Security Assertion Markup Language) és un estàndard obert que defineix un esquema XML per intercanviar dades d'autenticació i autorització.

• Els participants en l'intercanvi són un proveïdor d'identitat (IdP) i un proveïdor de serveis.

• SAML defineix tres rols: proveïdor d'identitat, proveïdor de serveis i receptor de confirmació.

OAuth

• OAuth (Open Authorization) és un protocol obert que permet una autorització segura d'una API per a aplicacions d'escriptori, mòbils i web.

• OAuth permet que un usuari d'un lloc A comparteixi la seva informació amb un lloc B (consumidor) sense compartir tota la seva identitat.

OATH

• OATH (Initiative for Open Authentication) és una arquitectura oberta d'autenticació robusta basada en tokens efímeros d'autenticació, en possessió de l'usuari i gestionats per hardware o software.

Liberty Alliance

• Liberty Alliance va ser una organització que va operar entre 2001 i 2009 per establir estàndards i bones pràctiques per a la gestió de la identitat en sistemes informàtics.

• Va definir marcs d'interoperabilitat per a la federació d'identitats.

Kantara

• Kantara és una associació professional sense ànim de lucre que fomenta els avenços en aspectes tècnics i legals relacionats amb la gestió digital de la identitat.

• Kantara engloba iniciatives anteriors com Liberty Alliance, DataPortability, Concordia, Internet Society, Information Card Foundation, OpenLiberty.org i XDI.org.

Microsoft Passport

• Microsoft Passport es compon de dos serveis: un servei d'inici de sessió únic i un servei de cartera.

• Ha evolucionat a Windows Live ID.

Windows CardSpace

• Windows CardSpace era un client de programari destinat a la gestió de la identitat.

• Es va cancel·lar, però era fort per la seva interfície d'usuari basada en targetes d'informació.

Identitats Digitals Diferenciades

• Les identitats digitals diferenciades permeten a les organitzacions gestionar l'accés dels usuaris de manera més granular, garantint que cada persona només tingui accés als recursos necessaris per al seu treball.

Gestionament d'Identitats i Accessos (IAM)

• IAM permet assignar permisos específics a cada usuari, en lloc d'atorgar els mateixos privilegis a tots. Això ajuda a reduir els riscos de seguretat.

Control d'Accés Basat en Rols (RBAC)

• RBAC facilita la configuració de permisos d'usuari basant-se en el seu paper i responsabilitats dins de l'organització.
• RBAC permet assignar privilegis específics a cada rol, com ara visualitzar configuracions, fer modificacions o accedir de manera administrativa.
• RBAC ajuda a evitar l'assignació de privilegis excessius, mitigant els riscos de seguretat.

Principi de Mínim Privilegi

• El principi de mínim privilegi estableix que els usuaris només haurien de tenir els privilegis necessaris per a la seva feina.
• Aquest principi s'associa a les estratègies de seguretat de confiança zero.
• Els sistemes IAM implementen mètodes per a gestionar el mínim privilegi, com ara la gestió d'accés privilegiat (PAM).

Gestió d'Accés Privilegiat (PAM)

• PAM centra la seva atenció en la seguretat de les comptes d'usuari amb privilegis elevats, com ara administradors de sistema.
• PAM implementa mecanismes com ara bóvedes de credencials i protocols d'accés "just a temps" per a protegir les credencials d'aquestes comptes.

Base de Dades Central

• La informació sobre els permisos de cada usuari es guarda a la base de dades central del sistema IAM.
• Aquesta informació permet al sistema IAM fer complir els diferents nivells de privilegis dels usuaris.

Description

Explora els serveis de directori i els protocols associats com X.500 i LDAP. Aprèn sobre l'arquitectura d'un servei de directori, la seva configuració i la importància de la connectivitat segura. Aquest qüestionari és ideal per a professionals de la tecnologia i xarxes.