com background em projetos de e-commerce e mercado imobiliário, desde 2009 com interesses focados para o desenvolvimento de interfaces móveis e aplicações corporativas. Me chama lá... http://about.me/jacksonfdam http://linkedin.com/in/jacksonfdam @jacksonfdam
uma entidade por um sistema e a autenticação é um processo que verifica a identidade de um usuário, dispositivo ou outra entidade em um sistema de computador, geralmente como um pré-requisito para permitir o acesso a recursos em um sistema.
por um processo de autenticação para que esteja devidamente identificado e habilitado a utilizar o sistema, antes de permitir o acesso deste usuário à rede.
de identificar múltiplos usuários. Tradicionalmente, este processo é realizado através do envio de uma senha (password) durante o login. No entanto, o envio de senhas através da rede não é seguro, uma vez que elas podem ser interceptadas por alguém que esteja vigiando a rede, com o objetivo de se fazer passar pelo usuário.
autenticações providas por uma máquina cliente, onde se encontra o usuário. Um serviço seguro de rede não se baseia apenas na integridade e veracidade de informações fornecidas somente por uma máquina cliente.
as autenticações utilizando criptografia. Dessa forma, não há o fornecimento de informações para pessoas que estejam intencionadas a adquirir a identidade de outra. Alguns protocolos questionam e autenticam a identidade de um usuário toda vez em que este fizer a requisição de um serviço da rede, podendo aceitar ou negar a utilização do serviço pela máquina cliente.
todo esta apresentação: SAML: Security Assertion Markup Language IdP: Identity Provider (provedor de identidade) SP: Service Provider (provedor de serviço) AS: Authorization Server ADFS: Serviços de Federação do Active Directory ADCs: Application Default Credentials (Credenciais padrão do aplicativo)
Object (Objeto de Política de grupo) Realms: Domínios Roles: Funções Rules: Regras ABAC: Attribute-based access control RBAC: Role-based access control
/ o que alega estar usando uma senha, biometria como impressão digital ou comportamento distinto como um padrão de gesto em uma tela sensível ao toque. Autorização: gerenciando informações de autorização que definem quais operações uma entidade pode executar no contexto de um aplicativo específico. Por exemplo, um usuário pode estar autorizado a inserir um pedido de vendas, enquanto um usuário diferente está autorizado a aprovar a solicitação de crédito para esse pedido.
ou outras funções. Os usuários recebem funções frequentemente relacionadas a um trabalho ou função específica. As funções recebem autorizações, efetivamente autorizando todos os usuários aos quais foi concedida a função. Por exemplo, uma função de administrador do usuário pode estar autorizada a redefinir a senha do usuário, enquanto uma função de administrador do sistema pode ter a capacidade de atribuir um usuário a um servidor específico.
locais realizem modificações no sistema sem um administrador global ou que um usuário permita que outro execute ações em seu nome. Por exemplo, um usuário pode delegar o direito de gerenciar informações relacionadas ao escritório. Intercâmbio: os protocolo OpenID, OAuth2 e SAML são um meio importante usado para trocar informações de identidade entre dois domínios de identidade.
para permitir que qualquer pessoa localize organizações, indivíduos e outros recursos, como arquivos e dispositivos em uma rede, na Internet pública ou na intranet corporativa. A versão atual é LDAPv3, especificado em uma série de RFC como mostra o RFC 4510
desenvolvido pela Microsoft para redes de domínio do Windows. Uma equipe pode acessar os recursos com contas gerenciadas em um domínio do Active Directory.
entre sistemas de informação. Apache é um servidor web que usa o protocolo HTTP. LDAP é um protocolo de serviços de diretório. Active Directory é um servidor de diretório que usa o protocolo LDAP. Active Directory é apenas um exemplo de um serviço de diretório que suporta LDAP.
padrão que define esquema e protocolo para gerenciamento de identidade. O SCIM está surgindo como um padrão para gerenciamento de usuários e grupos e geralmente é usado no lugar do protocolo LDAP tradicional.
implementações de REST HTTP, entre empresas e de aplicativo em nuvem. Como muitos serviços de nuvens não oferecem uma interface LDAP, é possível usar o SCIM independente dos protocolos subjacentes.
de credencial concedida ao usuário pelo AS, parte do KDC, do Kerberos. Este usuário precisa do TGT para fazer requisições de serviços específicos. Quando o programa que ele está usando faz uma requisição de um ticket para um servidor Kerberos, este irá solicitar o login e a senha do usuário. Ticket Granting Ticket (TGT)
ticket enviando o ticket- granting- ticket. Dessa forma, somente este usuário é capaz de decriptar o TGT. O ticket granting ticket expira algumas horas após sua concessão, para evitar invasões e falsificações, e é necessário para que o usuário tenha acesso ao Ticket Granting Server, TGS.
foi projetado para fornecer autenticação forte para aplicativos cliente / servidor usando criptografia de chave secreta. Uma implementação gratuita deste protocolo está disponível no Massachusetts Institute of Technology
protocolo de rede que fornece gerenciamento centralizado de Authentication, Authorization e Accounting (AAA ou Triple A) para usuários que conectam e usam um serviço de rede.
de dados padrão aberto e baseado em XML para a troca de dados de autenticação e autorização entre as partes, em particular, entre um provedor de identidade e um provedor de serviços. SAML é um produto do Comitê Técnico de Serviços de Segurança OASIS.
organização sem fins lucrativos OpenID Foundation. Um usuário deve obter uma conta OpenID através de um provedor de identidade OpenID (por exemplo, Google).
qualquer site (a parte confiável) que aceite a autenticação OpenID (pense no YouTube ou em outro site que aceite uma conta do Google como login). O padrão OpenID fornece uma estrutura para a comunicação que deve ocorrer entre o provedor de identidade e a terceira parte confiável.
significa que um aplicativo, chamado cliente, pode executar ações ou acessar recursos em um servidor de recursos em nome de um usuário, sem que o usuário compartilhe suas credenciais com o aplicativo.
sejam emitidos por um provedor de identidade para esses aplicativos de terceiros, com a aprovação do usuário. O cliente usa o token para acessar o servidor de recursos em nome do usuário.
gerenciamento de identidade é uma categoria de ferramentas de software que permite que empresas de todos os tamanhos gerenciem geralmente as identidades e os direitos de acesso de todos os seus funcionários. Essa é uma caracterização ampla e é intencionalmente: Existem muitas ferramentas diferentes que se enquadram no guarda-chuva de software de gerenciamento de identidades ou gerenciamento de acesso a identidades.
uma empresa façam login em todos seus serviços com um único clique. SSO usa um portal que centraliza e mostra todas as aplicações que sua empresa tem configurado para o Single Sign On Single Sign On - SSO
das senhas normais, que podem ser facilmente compartilhadas ou comprometidas. O MFA consiste em códigos únicos gerados por aplicativos no seu telefone ou em chaves físicas como Yubi Keys que você conecta à sua máquina e concedem acesso quando você tenta fazer login. Multi-factor authentication - MFA
que os administradores definam permissões de acesso ao software de gerenciamento de identidades com base no nível e grau de acesso que um funcionário específico possui. Quanto melhor o software, mais granulares as permissões podem ser definidas. Role based access - RBAC
decorrente da evolução da plataforma eBox, que começou a ser utilizada em 2004. Atualmente seu código base pertence à eBox Technologies, e o código fonte está disponível de acordo com os termos da licença pública geral GNU. Zentyal Server
estes grupos e algumas dessas funcionalidades. Mail: permite a interação com o Microsoft Outlook e possui compatibilidade com o Microsoft Active Directory (integração com Samba4.1). Controla o sistema de e-mails, calendários, contatos e webmail. Também é capaz de sincronizar dispositivos móveis com segurança, pois possui antivírus e AntiSpam. Zentyal Server
Network: lida com interfaces estáticas e DHCP, com filtro de pacotes e port forwarding. Possui firewall avançado, routing, traffic shaping e QoS, entre outras propriedades. Zentyal Server
e equipes em forma de árvore. Lida com autenticações, permissões e compartilhamentos de arquivos com o sistema operacional Windows. Também agrega Single Sign-On, unidades organizacionais múltiplas e gerenciamento de impressoras. Zentyal Server
você quer permitir que o usuário acesse após se autenticar no SSO Server. Cada Broker possui um ID e uma chave privada que é utilizada para fazer a conexão entre o Broker e o SSO Server. Quando uma nova requisição é feita por um Broker, este recebe do SSO Server um token referente a requisição, no ambiente em qual ele foi requisitado. Broker
possui credenciais de acesso a aplicação e elas que são utilizadas para autenticar no SSO Server. O funcionário só pode se autenticar através de algum Broker. Como funciona tudo isso?
via Browser, por ex., o Broker vai até o SSO Server e se autentica. Após se autenticar, ele devolve para o Client um Cookie com um hash único que o identifica, dentro daquela instância.
jacksonfdam
blueb
tohutohu
sonatard
sugamasao
oracle4engineer
eijikominami
ken5scal
yuki_ink
puhitaku
nssv
coincheck_recruit
lycorp_recruit_jp
orderedlist
nonsquared
samlambert
smashingmag
cromwellryan
tammielis
matthewcrist
tanoku
hatefulcrawdad
ufuk
keathley
mraible
![Qualquer dúvida, crítica ou sugestão só me procurar: @jacksonfdam [email protected]](https://files.speakerdeck.com/presentations/7f8d092989494a92a9025eafc0788123/slide_69.jpg){kind=link}