DOCUMENTO TÉCNICO

Simplificar el inicio de sesión único con F5 BIG-IP APM y Active Directory

Updated May 25, 2011
  • Share via AddThis

Introducción

Además de simplificar la infraestructura de gestión de identidades y acceso, dos ventajas clave del inicio de sesión único (SSO) son el aumento de la productividad de los usuarios y la reducción de los costes operativos, todo gracias a la disminución de las llamadas al servicio de asistencia técnica en relación con la autenticación y a la eliminación de los almacenes redundantes de credenciales de usuario. Con el SSO, los usuarios no necesitan tener credenciales para varios sistemas ni introducirlas por separado en cada aplicación, y cuentan con menos restablecimientos de contraseñas u otros problemas relacionados con la gestión del acceso. Aprovechando una fuente de autoridad centralizada para la gestión del acceso y la autenticación se reducen las posibilidades de cuentas huérfanas y duplicadas. Con un enfoque unificado para dar soporte a la autenticación y la autorización de las aplicaciones web, las organizaciones pueden consolidar la infraestructura de gestión identidades y acceso, y lograr una mayor seguridad a un coste operativo reducido.

Para proporcionar SSO en todas las aplicaciones implementadas en plataformas heterogéneas se requiere la estandarización de un marco común de gestión de identidades y acceso. Uno de estos estándares es Kerberos, aclamado durante mucho tiempo como el método más seguro para proporcionar servicios de gestión de identidades entre amplias secciones de aplicaciones y sistemas. Los almacenes de gestión de identidades suelen admitir la autenticación y la autorización de Kerberos como medio para permitir la integración en entornos heterogéneos, pero esto no siempre se traduce en el resultado deseado. Los esfuerzos de una organización de TI por estandarizar Microsoft Active Directory y su compatibilidad subyacente de autenticación y autorización basada en Kerberos encontrarán un obstáculo en su incapacidad para utilizar la autenticación de Active Directory con el fin de autorizar aplicaciones, clientes y sistemas que no sean de Microsoft. Esto resulta cada vez más problemático para las organizaciones que pretenden cumplir la promesa de una TI como servicio (ITaaS) mediante la arquitectura de un centro de datos dinámico, ya que en los últimos años se ha producido una explosión en el crecimiento de la diversidad de dispositivos y la mayoría de ellos no son compatibles con Active Directory ni Kerberos. Las arquitecturas resultantes necesarias para implementar el SSO en estos entornos heterogéneos son un complejo conjunto de interconexiones entre soluciones dispares que son frágiles y no se adaptan fácilmente para admitir la tecnología y los dispositivos emergentes, como los smartphones y las tabletas. La versión 11 de F5 BIG-IP Access Policy Manager (APM) permite a las organizaciones implementar el inicio de sesión único basado en Kerberos con Active Directory en aplicaciones heterogéneas, al mismo tiempo que proporciona una gestión de acceso web flexible y altamente escalable. El resultado es una arquitectura simplificada y consolidada que proporciona los servicios de gestión de identidades y acceso que requiere un centro de datos dinámico.

Compatibilidad para Kerberos de BIG-IP APM

La compatibilidad con la autenticación de Kerberos no es nueva para F5 ni para sus soluciones. Lo que es nuevo en BIG-IP v11 es la inclusión de la autenticación de Kerberos en BIG-IP APM, que permite a las organizaciones ofrecer SSO y gestión de acceso web para un conjunto cada vez más diverso de clientes, plataformas y aplicaciones. La capacidad de aprovechar tanto la autenticación avanzada de clientes como la gestión de acceso, combinada con la programabilidad innata de la plataforma BIG-IP fundamental mediante iRules, permite crear un entorno más sencillo, flexible y seguro que mejora la productividad de los usuarios. La compatibilidad con la autenticación de Kerberos de BIG-IP APM incluye dos nuevas funciones: Kerberos Single Sign-On y Kerberos End-User Logon.

Kerberos Single Sign-On

El objetivo principal de Kerberos Single Sign-On es proporcionar una autenticación sin fisuras a los servidores web o de aplicaciones una vez que se ha establecido la identidad del usuario. Un usuario que inicie sesión en su escritorio de Windows, por ejemplo, puede contar con ser autenticado y autorizado de forma transparente en cualquier aplicación habilitada para SSO mediante Kerberos. Como los usuarios introducen sus credenciales una sola vez en lugar de hacerlo para cada aplicación, su productividad mejora y se dan menos incidentes de credenciales perdidas u olvidadas que llevan a las costosas llamadas de asistencia.

La implementación de BIG-IP APM y Active Directory asume que la infraestructura subyacente implementa Kerberos, por ejemplo, utilizando Active Directory Domain Services (AD DS) y la autenticación integrada de Windows. AD DS almacena datos de directorio como credenciales de usuario, grupos y roles, y gestiona los procesos de inicio de sesión de los usuarios, la autenticación y las búsquedas en el directorio. La autenticación integrada de Windows utiliza la autenticación de Kerberos v5 y la autenticación NTLM, lo que obliga a los navegadores de los clientes a demostrar que reconocen las contraseñas mediante intercambios criptográficos en lugar de pasar contraseñas en texto plano. AD DS y la autenticación integrada de Windows proporcionan de forma transparente las capacidades de SSO ya que interactúan sin problemas para intercambiar las credenciales y los tokens correspondientes para la autenticación y autorización del acceso de los usuarios. Con el fin de mejorar la seguridad y la flexibilidad, una organización puede optar por utilizar el inicio de sesión único de Kerberos incluso si el método de autenticación implica contraseñas de texto plano.

BIG-IP APM actúa como proxy de Kerberos obteniendo las credenciales y autenticándolas para la aplicación solicitada en nombre del usuario. BIG-IP APM primero deriva las credenciales de Kerberos del usuario a partir de los datos obtenidos mediante el método de autenticación. A continuación, utilizando las extensiones adecuadas del protocolo de Kerberos (Protocolo Service for User and Constrained Delegation), BIG-IP APM utiliza las credenciales extraídas para obtener una incidencia de servicio tanto para sí mismo como para la aplicación a la que accede el usuario. Una vez que BIG-IP APM tiene una incidencia de servicio, inserta el encabezamiento de autorización HTTP correspondiente en la solicitud de la aplicación y autentifica al usuario de forma transparente. Este proceso permite a los clientes, aplicaciones y sistemas no habilitados para Kerberos y que no son de Microsoft participar en entornos SSO.

diagrama
Figura 1: Las funciones de Kerberos en BIG-IP APM v11 consolidan la gestión del acceso web y la autenticación mediante Active Directory

BIG-IP APM también admite la autenticación a través de certificados de cliente. Cuando se utilizan certificados, la autenticación del front-end para BIG-IP APM se realiza normalmente mediante OCSP (Online Certificate Status Protocol), lo que facilita a BIG-IP APM una visión más oportuna del estado de revocación del certificado presentado.

Entre las ventajas de Kerberos Single Sign-On en BIG-IP APM se incluye que:

  • Admite varios servidores virtuales y simplifica la configuración.
  • Hace que el diseño de los procesos de autenticación para las implementaciones de Active Directory resulte sencillo.
  • Reduce los costes operativos y la complejidad de la arquitectura al eliminar la necesidad de soluciones de gestión de acceso web por separado.
  • Consolida la gestión de autenticación a través de una solución unificada de transición del protocolo de Kerberos, mejorando la seguridad y reduciendo los costes de la estructura de compatibilidad asociados.

Kerberos End-User Logon

Los usuarios utilizan cada vez más dispositivos personales (tabletas, smartphones e incluso sus propios ordenadores personales) para acceder a los recursos corporativos. Esto requiere una infraestructura de autenticación y autorización de acceso web cada vez más consciente del contexto. La variedad de dispositivos conlleva un amplio abanico de diferencias en las capacidades de los clientes para autenticarse e interactuar posteriormente con los recursos corporativos.

En su afán por dar soporte a todo tipo de dispositivos sin aumentar significativamente los costes operativos ni la complejidad de las políticas de acceso, las organizaciones suelen recurrir al mínimo común denominador: un formulario de inicio de sesión basado en HTTP. Este ha sido esencial para admitir nuevos tipos de clientes sin incurrir en el coste y los retrasos asociados con la creación de nuevas políticas; pero para los usuarios internos, que tienen introducir las credenciales varias veces, puede afectar negativamente a su productividad. Esto debilita las iniciativas de SSO y puede hacer que se perciba que la TI ha fracasado.

Para solucionar esto, BIG-IP APM admite ahora dos alternativas al tradicional inicio de sesión basado en formularios HTTP: Kerberos/SPNEGO o el desafío de autenticación básica. La compatibilidad con estas alternativas es particularmente beneficiosa para los usuarios que ya están autenticados en el dominio local, ya que evita forzar una solicitud de credenciales adicional para el usuario. Con la función Kerberos End-User Logon, el usuario puede autenticarse en BIG-IP APM basándose en la autenticación básica HTTP o en la autenticación Kerberos/SPNEGO.

captura de pantalla
Figura 2: BIG-IP APM admite un amplio conjunto de mecanismos de autenticación para conseguir la máxima flexibilidad en el diseño de la arquitectura de gestión de identidades y acceso

Esto permite que los clientes que no son de Microsoft ni están habilitados para Kerberos se beneficien de una infraestructura de SSO unificada y con capacidad para Kerberos, ofreciendo al usuario la apariencia de un inicio de sesión único desde cualquier cliente con servicios transparentes de autenticación y autorización.

Kerberos End-User Logon en BIG-IP APM:

  • Proporciona una mayor flexibilidad en los mecanismos de inicio de sesión para adaptarse mejor a los requisitos operativos, de aplicaciones y de clientes de las organizaciones.
  • Elimina la autenticación explícita por parte de los usuarios del dominio cuando intentan acceder a recursos de aplicación web mediante BIG-IP APM.
  • Mejora la postura de seguridad de las organizaciones al eliminar la transmisión de contraseñas a BIG-IP APM con autenticación Kerberos/SPNEGO.

Gestión unificada de identidades y acceso

La ventaja de utilizar las capacidades de Kerberos en BIG-IP APM para permitir un entorno SSO sin fisuras está en poder llevar a cabo simultáneamente la aplicación de las políticas de acceso. BIG-IP APM es una plataforma de aplicación de políticas de acceso consciente del contexto que proporciona a las organizaciones de TI la flexibilidad que necesitan para implementar y aplicar políticas que rigen el acceso, desde una amplia variedad de dispositivos y ubicaciones hasta las aplicaciones y los recursos corporativos.

Mediante el uso de una solución de gestión de acceso web unificada como BIG-IP APM, las organizaciones de TI disponen de una ubicación centralizada desde la que aplicar políticas de acceso sensibles al contexto, como restringir el acceso a aplicaciones según el cliente, la ubicación o cualquier otra variable de red, cliente o recurso disponible. Esto permite a las organizaciones de TI identificar sin problemas a los usuarios y aplicar políticas en un punto estratégico de control, sin permitir nunca que los usuarios no autorizados traten siquiera de autenticarse en la aplicación o el recurso. Esto disminuye drásticamente el efecto de los ataques relacionados con el acceso, como los ataques de fuerza bruta y de diccionario, que pueden afectar negativamente al rendimiento de las aplicaciones puesto que consumen recursos innecesariamente.

El uso de BIG-IP APM tanto para el inicio de sesión único como para la gestión de acceso permite consolidar la infraestructura. Las soluciones tradicionales de gestión de acceso web suelen ser soluciones independientes que requieren una compleja integración con los sistemas de gestión de identidades, como Active Directory, y para las que, además, es necesaria la implementación de agentes del lado del servidor. Las soluciones basadas en agentes son limitadas en cuanto a la compatibilidad con plataformas de aplicaciones y presentan otro punto de fallo y mantenimiento que puede afectar negativamente a la eficiencia y disponibilidad de TI. Una solución única y centralizada que pueda proporcionar autenticación y autorización, así como gestión de políticas de acceso, minimiza los requisitos de implementación y gestión. También tiene la ventaja añadida de eliminar los múltiples puntos de integración a través de los que deben dirigirse las solicitudes, cada uno de los cuales viene con posibles problemas de rendimiento.

Conclusión

A medida que crece el número de dispositivos, diversas aplicaciones y servicios para los que la TI debe dar soporte, también crece la necesidad de una infraestructura simplificada de gestión de identidades y acceso. El uso de Kerberos para facilitar un marco de autenticación y autorización coherente mediante Microsoft Active Directory para todos los usuarios, independientemente de la ubicación o el dispositivo, tiene como resultado una reducción de los costes operativos y una mayor productividad de los usuarios.

Las organizaciones de TI que buscan ampliar un sistema de gestión de identidades de Active Directory a dispositivos y aplicaciones que no son compatibles de forma nativa con la integración de Kerberos o Microsoft hacen frente a retos que se pueden solucionar con la implementación de BIG-IP APM. Gracias a que ofrece un punto estratégico de control en el que los servicios estandarizados de autenticación y autorización de Kerberos pueden contar con un proxy, BIG-IP APM reduce la complejidad de la infraestructura subyacente y extiende un marco común de gestión de identidades y acceso que abarca a todos los usuarios y las aplicaciones.

Al consolidar la gestión de acceso a aplicaciones web y los servicios de autenticación con BIG-IP APM, las organizaciones pueden conseguir una infraestructura de gestión de identidades y acceso más cohesionada e integrada, que es flexible a la vez que mantiene una postura de seguridad muy positiva. La simplificación sigue siendo un componente clave del éxito. La simplificación de la arquitectura del centro de datos mediante consolidación del acceso web y la gestión de identidades hace que se reduzcan los costes asociados con la administración, las licencias y la implementación de hardware. Esta consolidación también proporciona opciones flexibles de aplicación de políticas, lo que facilita la adaptación de los nuevos dispositivos con los que los usuarios acceden a las aplicaciones y servicios. La simplificación de la experiencia del usuario mejora la productividad del mismo y, simultáneamente, reduce los costes de soporte técnico asociados a la gestión de identidades, como los servicios de restablecimiento de contraseñas tan caros.