Usando TrustedX para gestionar el acceso a Google Apps
Cada vez más empresas de sectores públicos y privados están migrando sus aplicaciones de correo y colaboración a Google Apps, un servicio de Google que ofrece las aplicaciones ofimáticas más habituales en la Nube. Para estas organizaciones es fundamental una buena protección de los datos almacenados en la Nube y por ello requieren el despliegue de mecanismos de autenticación fuertes, que incluso puedan gestionar por su cuenta.
Google Apps es una suite de aplicaciones web de correo y colaboración que se ofrecen en la modalidad de Software as a Service (SaaS). Con esta modalidad de software, las organizaciones clientes no necesitan instalar ningún software ni hardware de alojamiento adicional, y sólo deben llevar a cabo unos procedimientos de administración mínimos, lo que puede suponer un ahorro de costes sustancial. Para el acceso a las aplicaciones Google Apps dispone de una gestión propia de usuarios, pero también provee de herramientas para poder configurar otros proveedores de identidad.
Para aquellas organizaciones que deseen gestionar por su cuenta los procesos de autenticación de sus usuarios finales, Google Apps proporciona el servicio Single Sign-On, que usa el estándar de federación SAML (Security Assertion Markup Language) para integrar servidores de validación de credenciales de terceros. El escenario es el siguiente: las aplicaciones se encuentran alojadas en la nube pública de Google, los usuarios pueden conectarse a estas aplicaciones desde redes públicas o corporativas, y en cualquier caso la autenticación de los usuarios la realiza la organización cliente de Google Apps.
De esta forma, la organización cliente puede usar contraseñas almacenadas en sus propios directorios LDAP, o bien decantarse por otros mecanismos de autenticación fuerte como certificados digitales, contraseñas de un solo uso generadas por tokens hardware o software, credenciales biométricas, etc. Por lo tanto, la organización cliente de Google Apps tiene la posibilidad de actuar de proveedor de identidad o incluso puede delegar esta función a una tercera entidad.
Safelayer ha realizado una prueba de concepto de este escenario usando a TrustedX como proveedor de identidad y su aplicación experimental QR-Scan OTP como mecanismo de autenticación fuerte. Para ello, se debe configurar la opción de autenticación con el servicio Google Single Sign-On en el panel de administración de Google Apps, así como los datos del proveedor de identidad, que son principalmente la URL de acceso y el certificado para la autenticación del servidor.
El proceso es simple y se desencadena cuando el usuario intenta acceder a una de las aplicaciones corporativas en Google Apps (1). El servicio Google Single Sign-On genera una petición de autenticación SAML y la redirige al proveedor de identidad configurado (2). El proveedor de identidad, formado por TrustedX y un agente de autenticación externo, interpreta esta petición de autenticación e inicia el proceso de autenticación del usuario con el mecanismo QR-Scan OTP (3, 4, 5). El proveedor de identidad valida la credencial del usuario y liga la autenticación a una identidad de un servicio de directorio LDAP (6, 7). Tras la validación, el proveedor de identidad construye la respuesta SAML y la redirige a Google Apps (8) a través del navegador del usuario.
En esta prueba de concepto, el uso del mecanismo de autenticación QR-Scan OTP ofrece mayores garantías que una contraseña estática dado que se está utilizando un mecanismo fuerte multifactor que involucra el uso de tecnologías de clave pública. No obstante, el esquema de federación provisto por TrustedX como proveedor de identidad es versátil y puede soportar otros mecanismos.
