Por Juan Manuel Calderon & Pablo Franceskin
Publicado en agosto 2012
Una de las principales problemáticas de los departamentos de seguridad informática, es la administración de los usuarios y contraseñas de la amplia variedad de aplicativos de su ecosistema de IT. Problemática que se extiende a cada uno de los usuarios de la organización a la hora de acceder a sus aplicativos, transformándose en: bloqueos de clave, olvido de usuarios, agendas de papel, 'post its' en los escritorios y principalmente, angustia y disconformidad con la utilización de los sistemas por la complejidad en los accesos.
Un empleado de una organización mediana, accede en promedio de 5 a 10 aplicativos diariamente, - desde páginas web corporativas, e-mail, aplicaciones internas, ERPs, control de horas hasta aplicaciones personales - . Cada uno de estos aplicativos cuenta con su propio sistema de seguridad ('login – validación de credenciales'). Esta situación le exige al usuario a recordar y administrar usuarios y contraseñas para cada una de ellas. Como si la complejidad fuera poca, a esto se le suman las políticas de seguridad, donde cada aplicativo solicitara una longitud particular, caracteres especiales, números, histórico de contraseñas, no repetición de las mismas, caducidad y renovación periódica.
Dicha problemática tiene fuertes consecuencias en la satisfacción del usuario con la utilización de los sistemas, fuerte impacto en la horas de 'no-disponibilidad' de los aplicativos por bloqueos de contraseña o simplemente por olvidos, y una muy fuerte incidencia en los llamados y 'services request' al departamento de seguridad, obligándolo a tener personal disponible 7x24 solo para esta situación.
En organizaciones medianas con un ambiente heterogéneo de IT, la cantidad de aplicaciones puede escalar de 20 a 50 aplicativos.
Es aquí donde toma fuerza el concepto de Single Sign On, y Oracle se hace presente con la suite: Oracle Single Sign On.
Oracle Single Sign On tiene por objetivo primordial la administración centralizada de contraseñas, en su modulo Logon Manager. El mismo actúa como agenda virtual cifrada, que automatiza la gestión del usuario y contraseña de cada aplicativo. Su rol principal es reconocer cada uno de los aplicativos, conservar segurizada la contraseña y el usuario, y en cada acceso del usuario al aplicativo ingresar automáticamente las credenciales permitiendo su acceso inmediato sin necesidad de intervención manual. Asimismo, a la hora de caducidad de las contraseñas o validación de políticas, se encarga de buscar la correcta contraseña, sincronizarla con el aplicativo y con todos aquellos relacionados, garantizando así, futuros accesos.
Cada una de las credenciales de los aplicativos queda relacionada a un gestor principal (Logon Manager), el cual centraliza la información en el LDAP activo (ej. Active Directory). Esto permite trabajar con perfiles 'roaming' y con backup constante.
Queda entonces así resuelta la complejidad de las múltiples credenciales, y reducida a un único usuario y contraseña: el de acceso a la PC (usualmente de acceso a Windows).
Pero surge aquí una segunda problemática: que sucede si se pierde la contraseña principal (acceso a Windows)? Es aquí cuando entra en juego el segundo modulo: Oracle Password Reset.
Se trata de un modulo de autogestión de usuario y contraseña, a través del cual, el usuario de acceso a la PC (Msft. Windows – Active Directory) se asocia a un conjunto de preguntas personales con un peso ponderado. Al momento de olvido, bloqueo, o problemas con la contraseña o usuario, el modulo Oracle Password Reset, propondrá al usuario un conjunto de preguntas previamente revisadas en el momento de instalación o ingreso a la compañía, y le solicitara las respuestas correctas. Cada pregunta contendrá un puntaje, y una vez que el usuario logre el puntaje adecuado podrá rehabilitar o regenerar su contraseña.
Con la combinación de ambos módulos se agiliza al máximo la resolución de problemas con usuarios y contraseñas en la organización, logrando maximizar la disponibilidad de aplicativos y minimizar la generación de incidencias dentro del departamento de seguridad. Todos los pasos ejecutados en cada uno de los módulos, quedan auditados en históricos conservados en la base de datos de active directory, lo que permite un constante monitoreo y seguimiento.
Oracle Password Reset:
Es una aplicación Cliente / Servidor.
El servidor actúa en sociedad con el Active Directory, quien es el encargado de guardar la información dentro del perfil de cada usuario. Con esto se logra una centralizada organización de la información.
Aquí son configuradas las preguntas de seguridad, su peso específico, los usuarios con acceso y la resolución a tomar en caso de ser incorrectas.
En la primera configuración el servidor se encargara de exigir al usuario la carga incial, y luego será quien le permitirá responderlas cada vez que sea necesario o requerido por el usuario..
El cliente requerirá en primera instancia, responder las preguntas configuradas en el servidor, a fin de guardar cifrada su información personal. Este proceso se conoce como "Encuesta de enrolamiento".
Al momento de requerir rehabilitar la contraseña o una nueva, en el acceso a la PC se adicionara la barra a la ventana de "login"
El usuario solo tendrá que clickear la barra que se encuentra en el inicio de sesión y completar las preguntas de seguridad que se le realizaran como continuación.
Un ejemplo de formato de preguntas podría ser:
Una vez completadas correctamente todas las preguntas, el usuario tendrá la posibilidad de re generar su contraseña o bien desbloquear su cuenta:
El objetivo de este modulo es automatizar el acceso a los aplicativos, administrando las contraseñas y usuarios de cada uno de ellos.
Para realizar esta implementación es necesario especificar y configurar las aplicaciones a las que se requiere acceso:
Una vez configurado el aplicativo, se guarda en Active Directory y quedara disponibilizado para cualquier usuario de la organización que tenga permisos de acceso.
Al momento de utilización del modulo, al ingresar a la aplicación, Logon Manager reconocerá automáticamente los campos configurados e ingresara las credenciales:
Como ejemplo adicional, a la hora de renovar la contraseña por caducidad, Logon Manager reconocerá el proceso en el aplicativo, y se encargara de la gestión de la nueva contraseña:
Experiencias anteriores de implementación, permiten la definición de un plan modelo, expuesto a continuación.
La extensión del proyecto podrá variar según la magnitud de la organización. Generalmente se trabaja en un modelo iterativo, donde en cada iteración se incorporan nuevos sectores y aplicativos, permitiendo la rápida capacitación y aceptación en la compañía
Logon Manager User's Guide
http://docs.oracle.com/cd/E12472_01/password_reset/PWRUG.pdf
Password Reset User's Guide
http://docs.oracle.com/cd/E12472_01/password_reset/PWRUG.pdf
Publicado por Juan Manuel Calderon & Pablo Franceskin, consultores del partner de Oracle Interservices Consulting.