A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Recife, 6 de agosto de 2004 1 MACA: uma solução para autenticação de usuários e autorização de acesso em ambientes abertos e distribuídos Gustavo Motta.

PublicouVítor Raposo Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Recife, 6 de agosto de 2004 1 MACA: uma solução para autenticação de usuários e autorização de acesso em ambientes abertos e distribuídos Gustavo Motta."— Transcrição da apresentação:

1 Recife, 6 de agosto de 2004 1 MACA: uma solução para autenticação de usuários e autorização de acesso em ambientes abertos e distribuídos Gustavo Motta Departamento de Informática-UFPB

2 Recife, 6 de agosto de 20042 Sumário Introdução Introdução Conceitos de controle de acesso Conceitos de controle de acesso Modelo de autorização contextual - MACA Modelo de autorização contextual - MACA Arquitetura e implementação Arquitetura e implementação Resultados Resultados Conclusão Conclusão

3 Recife, 6 de agosto de 20043 Introdução Prontuário Eletrônico do Paciente - PEP Prontuário Eletrônico do Paciente - PEP Avanços nas tecnologias de computação e comunicação Avanços nas tecnologias de computação e comunicação PEP distribuído PEP distribuído Maior potencial de acesso à informações clínicas Maior potencial de acesso à informações clínicas Benefícios para o paciente Benefícios para o paciente Ameaças à privacidade e à confidencialidade Ameaças à privacidade e à confidencialidade Desafio Desafio O controle de acesso ao PEP não pode prejudicar o atendimento ao paciente, tampouco deve facilitar a violação de sua privacidade O controle de acesso ao PEP não pode prejudicar o atendimento ao paciente, tampouco deve facilitar a violação de sua privacidade Dilema Dilema Permissividade Severidade Permissividade Severidade Quais políticas adotar? Quais políticas adotar?

4 Recife, 6 de agosto de 20044 Introdução Aspectos computacionais do acesso ao PEP Aspectos computacionais do acesso ao PEP Confidencialidade e a privacidade do paciente Confidencialidade e a privacidade do paciente Responsabilidade também compartilhada pelos SIHs Responsabilidade também compartilhada pelos SIHs Desafios para aplicação no PEP distribuído Desafios para aplicação no PEP distribuído Como implementar políticas de acesso ad hoc Como implementar políticas de acesso ad hoc Formuladas com o único objetivo de atender as necessidades de controle de acesso de uma organização, levando em conta o seu ambiente e a sua cultura Formuladas com o único objetivo de atender as necessidades de controle de acesso de uma organização, levando em conta o seu ambiente e a sua cultura Administrar políticas de autenticação, de autorização e impor o controle de acesso Administrar políticas de autenticação, de autorização e impor o controle de acesso PEP composto por segmentos distribuídos PEP composto por segmentos distribuídos Bases de dados distintas Bases de dados distintas Múltiplas aplicações Múltiplas aplicações Plataformas heterogêneas Plataformas heterogêneas Serviços de segurança estanques Serviços de segurança estanques Solução Controle de acesso Controle de acesso Centrado em papéis – autoridade e responsabilidade Centrado em papéis – autoridade e responsabilidade Perspectiva do modelo organizacional Perspectiva do modelo organizacional Autorizações contextuais Autorizações contextuais Arquitetura aberta e distribuída Arquitetura aberta e distribuída Administrar políticas de autenticação, autorização e impor a autenticação e o controle de acesso de modo unificado e coerente Administrar políticas de autenticação, autorização e impor a autenticação e o controle de acesso de modo unificado e coerente Acesso padronizado a partir de sistemas distintos em plataformas e linguagens de programação heterogêneas Acesso padronizado a partir de sistemas distintos em plataformas e linguagens de programação heterogêneas

5 Recife, 6 de agosto de 20045 Introdução Objetivo Objetivo Apresentar o MACA - Middleware de Autenticação e Controle de Acesso Apresentar o MACA - Middleware de Autenticação e Controle de Acesso Modelo de autorização contextual Modelo de autorização contextual Controle de Acesso Baseado em Papéis - CABP/NIST Controle de Acesso Baseado em Papéis - CABP/NIST Arquitetura de software Arquitetura de software LDAP Security Services

6 Recife, 6 de agosto de 20046 Conceitos de controle de acesso A utenticação, autorização, controle de acesso e auditoria

7 Recife, 6 de agosto de 20047 Conceitos de controle de acesso Controle de acesso baseado em papéis Controle de acesso baseado em papéis Acesso regulado segundo os papéis exercidos Acesso regulado segundo os papéis exercidos Um papel denota uma função organizacional Um papel denota uma função organizacional Autoridade e Responsabilidade Autoridade e Responsabilidade Adequado para aplicação ao PEP em organizações de saúde Adequado para aplicação ao PEP em organizações de saúde Processos de negócio complexos Processos de negócio complexos Equipes multiprofissionais Equipes multiprofissionais Suporta o princípio da necessidade de saber/fazer Suporta o princípio da necessidade de saber/fazer Um usuário somente deve ter os privilégios necessários para desempenhar suas funções Um usuário somente deve ter os privilégios necessários para desempenhar suas funções Politicamente neutro Politicamente neutro

8 Recife, 6 de agosto de 20048 Conceitos de controle de acesso Controle de acesso baseado em papéis Controle de acesso baseado em papéis Separação de responsabilidades Separação de responsabilidades Distribui tarefas críticas por múltiplos usuários Distribui tarefas críticas por múltiplos usuários Minimiza conflitos de interesses Minimiza conflitos de interesses Favorece a administração da política de acesso Favorece a administração da política de acesso Visão organizacional Visão organizacional Facilita procedimentos de Facilita procedimentos de Admissão/demissão Admissão/demissão Realocação funcional Realocação funcional Reduz o tempo para gerenciar contas e atribuição/revogação de privilégios Reduz o tempo para gerenciar contas e atribuição/revogação de privilégios Para uma empresa com 100.000 empregados, produz um benefício estimado da ordem de US$934.321,00/ano Para uma empresa com 100.000 empregados, produz um benefício estimado da ordem de US$934.321,00/ano Reduz ociosidade entre a contração de um empregado e a concessão de seus privilégios Reduz ociosidade entre a contração de um empregado e a concessão de seus privilégios Para uma empresa com 100.000 empregados, produz um benefício estimado da ordem de US$3.436.966,00/ano; Para uma empresa com 100.000 empregados, produz um benefício estimado da ordem de US$3.436.966,00/ano; Reduz a gravidade e a freqüência das violações de segurança nas organizações, particularmente a fraude financeira com a definição de políticas de separação de responsabilidades Fonte: NIST Reduz a gravidade e a freqüência das violações de segurança nas organizações, particularmente a fraude financeira com a definição de políticas de separação de responsabilidades Fonte: NIST

9 Recife, 6 de agosto de 20049 Relação pa Médico, Prescrever, PEP ; Diretor Clínico, VerLogAuditoria, PEP ; Auxiliar de Enfermagem, VerPrescrição, PEP ; Modelos de controle de acesso Esquema do modelo de referência para o CABP do NIST

10 Recife, 6 de agosto de 200410 Modelo de autorização contextual – MACA Motivação Motivação Políticas de acesso ad hoc para o PEP Políticas de acesso ad hoc para o PEP Enfermeiras somente podem ver registros de pacientes internados em sua enfermaria ou que lá estiveram nos últimos 30 dias Enfermeiras somente podem ver registros de pacientes internados em sua enfermaria ou que lá estiveram nos últimos 30 dias Médicos que são membros de uma equipe somente podem ver registros de pacientes sob os cuidados de algum membro da equipe Médicos que são membros de uma equipe somente podem ver registros de pacientes sob os cuidados de algum membro da equipe Necessárias para estabelecimentos de saúde com atendimentos em níveis secundário e terciário Necessárias para estabelecimentos de saúde com atendimentos em níveis secundário e terciário Paciente cuidado por equipes multiprofissionais e multidisciplinares Paciente cuidado por equipes multiprofissionais e multidisciplinares Inviáveis nos modelos tradicionais de controle de acesso e no modelo de referência para CABP NIST Inviáveis nos modelos tradicionais de controle de acesso e no modelo de referência para CABP NIST

11 Recife, 6 de agosto de 200411 Modelo de autorização contextual – MACA Estende o CABP do NIST Estende o CABP do NIST Autorizações contextuais Autorizações contextuais Incorporam regras relacionando informações do contexto relevantes para decisão de permitir ou proibir o acesso Incorporam regras relacionando informações do contexto relevantes para decisão de permitir ou proibir o acesso Positivas ou negativas Positivas ou negativas Conflitos Conflitos Fortes ou fracas Fortes ou fracas Fortes políticas estritas Fortes políticas estritas Fracas políticas permissivas Fracas políticas permissivas +, VerLaudo, PEP, fraca, VerLaudo, PEP, fraca

12 Recife, 6 de agosto de 200412 Modelo de autorização contextual – MACA Hierarquia de papéis Hierarquia de papéis Árvore invertida Árvore invertida Separação de responsabilidades Separação de responsabilidades Conflitos entre autorizações Conflitos entre autorizações Ativação automática de papéis Ativação automática de papéis CABP transparente para o usuário final CABP transparente para o usuário final

13 Recife, 6 de agosto de 200413 Modelo de autorização contextual – MACA Contexto Contexto Qualquer informação usada para caracterizar uma entidade considerada relevante para interação entre um usuário e uma aplicação Qualquer informação usada para caracterizar uma entidade considerada relevante para interação entre um usuário e uma aplicação Tipos Tipos Variáveis valores atômicos Variáveis valores atômicos usuárioCtx.registro_profissional, dtCtx.dia_semana usuárioCtx.registro_profissional, dtCtx.dia_semana Conjuntos coleção de valores determinados e diferenciáveis Conjuntos coleção de valores determinados e diferenciáveis dtCtx.dias_úteis, pacCtx.pacientes_internados dtCtx.dias_úteis, pacCtx.pacientes_internados Funções estabelece relações entre entidades e novos valores Funções estabelece relações entre entidades e novos valores pacCtx.assistido_por(umCodPac, usuárioCtx.registro_profissional) pacCtx.assistido_por(umCodPac, usuárioCtx.registro_profissional) Expressam entidades e relacionamentos do ambiente e da cultura organizacionais Expressam entidades e relacionamentos do ambiente e da cultura organizacionais

14 Recife, 6 de agosto de 200414 Modelo de autorização contextual – MACA Regras de autorização Regras de autorização Relacionam contextos em expressões lógicas para especificar uma política de acesso Relacionam contextos em expressões lógicas para especificar uma política de acesso Valores booleanos, inteiros, textos, conjuntos, Valores booleanos, inteiros, textos, conjuntos, Operadores aritméticos, de conjunto, relacionais, booleanos Operadores aritméticos, de conjunto, relacionais, booleanos Novos valores e operadores definidos em contextos Novos valores e operadores definidos em contextos Regras parametrizadas Regras parametrizadas Exemplo de política de acesso Exemplo de política de acesso Enfermeiros e seus auxiliares somente podem acessar prescrições de pacientes internados quando estão em seu turno de trabalho Enfermeiros e seus auxiliares somente podem acessar prescrições de pacientes internados quando estão em seu turno de trabalho

15 Recife, 6 de agosto de 200415 Auxiliar de Enfermagem, exp-abs(umCodPac) { umCodPac in pacCtx.pacientes_internados & usuárioCtx.está_no_turno_de_trabalho }, VerPrescrição, PEP, fraca Auxiliar de Enfermagem, exp-abs(umCodPac) { umCodPac in pacCtx.pacientes_internados & usuárioCtx.está_no_turno_de_trabalho }, VerPrescrição, PEP, fraca Modelo de autorização contextual – MACA Regras de autorização Regras de autorização

16 Recife, 6 de agosto de 200416 Hierarquia de papéis Hierarquia de papéis Estrutura de árvore invertida Estrutura de árvore invertida Herança de autorizações Herança de autorizações Adição de conceitos Adição de conceitos Revogação de autorizações Revogação de autorizações Mecanismos Mecanismos Sobreposição de autorizações Sobreposição de autorizações Definição de autorizações fortes Definição de autorizações fortes Disciplinado pelo tipo da autorização Disciplinado pelo tipo da autorização Forte irrevogável Forte irrevogável Fraca revogável Fraca revogável Autorizações válidas Autorizações válidas Autorizações associadas direta ou indiretamente a um papel e que não estão revogadas Autorizações associadas direta ou indiretamente a um papel e que não estão revogadas Únicas usadas para decidir um acesso Únicas usadas para decidir um acesso Modelo de autorização contextual – MACA Profissional de Saúde – PS Médico Médico Assistente Pesquisador Clínico Paramédico Auxiliar de Enfermagem Nutricionista Enfermeiro Cirurgião Médico Auditor Clínico, VerLaudo, PEP, fraca +, VerLaudo, PEP, fraca, VerLaudo, PEP, fraca, VerLaudo, PEP, forte, VerLaudo, PEP, fraca, VerLaudo, PEP, forte

17 Recife, 6 de agosto de 200417 Separação de responsabilidades Separação de responsabilidades Particiona compulsoriamente a responsabilidade e a autoridade para realizar ações em que há conflitos de interesses Particiona compulsoriamente a responsabilidade e a autoridade para realizar ações em que há conflitos de interesses Baseadas em conflitos entre autorizações Baseadas em conflitos entre autorizações Fortes denotam conflitos de interesses Fortes denotam conflitos de interesses Médico Assistente, +, Prescrever, PEP, forte Médico Auditor,, Prescrever, PEP, forte Médico Assistente, +, Prescrever, PEP, forte Médico Auditor,, Prescrever, PEP, forte Fracos representam diferentes necessidades funcionais Fracos representam diferentes necessidades funcionais Médico Assistente, +, VerDadosIdentificação, PEP, fraca Pesquisador Clínico,, VerDadosIdentificação, PEP, fraca Médico Assistente, +, VerDadosIdentificação, PEP, fraca Pesquisador Clínico,, VerDadosIdentificação, PEP, fraca Modelo de autorização contextual – MACA

18 Recife, 6 de agosto de 200418 Separação de responsabilidades Separação de responsabilidades Política de resolução de conflitos Política de resolução de conflitos Conflitos fortes prevalece a autorização que proíbe o acesso Conflitos fortes prevalece a autorização que proíbe o acesso Visa atender a separação de responsabilidades Visa atender a separação de responsabilidades Médico Auditor e Médico Assistente Médico Auditor e Médico Assistente, Prescrever, PEP, forte, Prescrever, PEP, forte Conflitos fracos prevalece a autorização que permite o acesso Conflitos fracos prevalece a autorização que permite o acesso Visa atender o princípio da necessidade de saber/fazer Visa atender o princípio da necessidade de saber/fazer Pesquisador Clínico e Médico Assistente Pesquisador Clínico e Médico Assistente +, VerDadosIdentificação, PEP, fraca +, VerDadosIdentificação, PEP, fraca Modelo de autorização contextual – MACA

19 Recife, 6 de agosto de 200419 sessão, Entrar, PEP, () ; sessão, VerDadosIdentificação, PEP, (2-I) ; sessão, Prescrever, PEP, (123456-H) ; Algoritmo de decisão de acesso Algoritmo de decisão de acesso Determina se o usuário de uma sessão tem permissão para acessar objetos protegidos a fim de executar uma operação específica Determina se o usuário de uma sessão tem permissão para acessar objetos protegidos a fim de executar uma operação específica Somente autorizações válidas Somente autorizações válidas Avaliação das regras no contexto da tentativa de acesso Avaliação das regras no contexto da tentativa de acesso Prioridade das autorizações fortes sobre as fracas Prioridade das autorizações fortes sobre as fracas Ativação automática de papéis independente da separação de responsabilidades Ativação automática de papéis independente da separação de responsabilidades Política de resolução de conflitos Política de resolução de conflitos Concilia o princípio da necessidade de saber/fazer com a limitação de acessos que resultem em conflitos de interesses Concilia o princípio da necessidade de saber/fazer com a limitação de acessos que resultem em conflitos de interesses Profissional de Saúde – PS Médico Médico Assistente Pesquisador Clínico Paramédico... Nutricionista Enfermeiro Cirurgião Médico Auditor Clínico Modelo de autorização contextual – MACA +, Entrar, PEP, fraca ; +, VerPrescrição, PEP, fraca ; +, VerDadosIdentificação, PEP, fraca, VerDadosIdentificação, PEP, fraca +, Prescrever, PEP, forte ;, GlosarPrescrição, PEP, forte ;, Prescrever, PEP, forte ; +, GlosarPrescrição, PEP, forte ;

20 Recife, 6 de agosto de 200420 Contribuições para aplicação ao PEP Contribuições para aplicação ao PEP Reforça o princípio da necessidade de saber/fazer Reforça o princípio da necessidade de saber/fazer Mais privacidade para o paciente Mais privacidade para o paciente Menos acessos supérfluos Menos acessos supérfluos Adaptação ao ambiente e a cultura das org. saúde Adaptação ao ambiente e a cultura das org. saúde Poder expressivo e flexibilidade das regras de autorização Poder expressivo e flexibilidade das regras de autorização Políticas de acesso ad hoc Políticas de acesso ad hoc Isola a lógica de autorização dos componentes do PEP Isola a lógica de autorização dos componentes do PEP Facilidade de uso do PEP Facilidade de uso do PEP CABP transparente para o usuário final CABP transparente para o usuário final Administração viável da política de acesso ao PEP Administração viável da política de acesso ao PEP Estruturas organizacionais – autonomia e descentralização Estruturas organizacionais – autonomia e descentralização Modelo de autorização contextual – MACA Profissional de Saúde – PS Médico Médico Assistente Pesquisador Clínico Paramédico Auxiliar de Enfermagem Nutricionista Enfermeiro Cirurgião Médico Auditor Clínico +, Entrar, PEP, fraca ; +, VerPrescrição, PEP, fraca ; +, VerDadosIdentificação, PEP, fraca, VerDadosIdentificação, PEP, fraca +, Prescrever, PEP, forte ;, GlosarPrescrição, PEP, forte ;, Prescrever, PEP, forte ; +, GlosarPrescrição, PEP, forte ;... exp-abs(umCodPac, umCodPresc){ pacCtx.plano_saude_presc(umCodPac, umCodPresc) in usuárioCtx.convenios }, VerPrescrição, PEP, fraca

21 Recife, 6 de agosto de 200421 Baseada em padrões abertos e distribuídos Baseada em padrões abertos e distribuídos Acesso para componentes do PEP em plataformas heterogêneas Acesso para componentes do PEP em plataformas heterogêneas Mais interoperabilidade Mais interoperabilidade Políticas de acesso e de autenticação unificadas e coerentes Políticas de acesso e de autenticação unificadas e coerentes Cliente/servidor multicamada Cliente/servidor multicamada Base de informações de gerência da segurança Base de informações de gerência da segurança Servidor de autenticação e de autorização Servidor de autenticação e de autorização Aplicações clientes componentes do PEP Aplicações clientes componentes do PEP Arquitetura e implementação Arquitetura de Software para integração do MACA

22 Recife, 6 de agosto de 200422 Arquitetura e implementação Representação do MACA no LDAP: árvore de informações dn: cn=Médico,cn=Profissional de Saúde,cn=usuario,cn=Papeis,ou=Groups,dc=incor,dc=usp,dc=br objectClass: top objectClass: incorrole objectClass: incorgroup cn: Profissional de Saúde description: representa as funções e responsabilidades dos médicos. member: uid=maria.augusta,ou=people,dc=incor,dc=usp,dc=br member: uid=josé.antônio,ou=people,dc=incor,dc=usp,dc=br dn: cn=autorização 1,ou=usuario,ou=Authorizations,dc=incor,dc=usp,dc=br objectClass: top objectClass: incorauthorization incorprivilegetype: - incorprivilege: ler incorresourcedn: cn=Prescrição,cn=Serviço de Prescrição Médica,cn=PEP,ou=Resources,dc=incor,... incorauthorizationtype: weak incorroledn: cn=Usuario,cn=Papeis,ou=groups,dc=incor,dc=usp,dc=br cn: autorização 1

23 Recife, 6 de agosto de 200423 Servidor de Segurança Servidor de Segurança Autenticação e autorização Autenticação e autorização Implementação Implementação Java 2 SE 1.4 Java 2 SE 1.4 API JNDI API JNDI Manuais Manuais MACA: Guia de Instalação e Configuração MACA: Guia de Instalação e Configuração MACA Cliente: Guia do Programador MACA Cliente: Guia do Programador MACA Administrativo: Manual do Usuário MACA Administrativo: Manual do Usuário Disponível como software livre Disponível como software livre Licença GNU GPL – http://maca.sourceforge.net/ Licença GNU GPL – http://maca.sourceforge.net/ Arquitetura e implementação OpenLDAP 2.1.17 OpenLDAP 2.1.17 LDAP/TLS LDAP/TLS ORB JacORB 1.4 ORB JacORB 1.4 IIOP/TLS IIOP/TLS

24 Recife, 6 de agosto de 200424 Arquitetura e implementação Autenticação de usuário

25 Recife, 6 de agosto de 200425 Arquitetura e implementação - IDL para autenticação de usuário PrincipalAuthenticator - IDL para autenticação de usuário

26 Recife, 6 de agosto de 200426 Arquitetura e implementação - uso em Java PrincipalAuthenticator - uso em Java

27 Recife, 6 de agosto de 200427 Arquitetura e implementação – uso em Delphi PrincipalAuthenticator – uso em Delphi

28 Recife, 6 de agosto de 200428 Arquitetura e implementação Decisão e Controle de Acesso com o Resource Access Decision (RAD) Facility

29 Recife, 6 de agosto de 200429 Arquitetura e implementação – IDL para decisão de acesso AccessDecision – IDL para decisão de acesso

30 Recife, 6 de agosto de 200430 Arquitetura e implementação – uso em Java AccessDecision – uso em Java

31 Recife, 6 de agosto de 200431 Arquitetura e implementação Servidor de Segurança Servidor de Segurança Contextos implementados via CORBA IDL Contextos implementados via CORBA IDL Relaciona informações de plataformas distribuídas e heterogêneas Relaciona informações de plataformas distribuídas e heterogêneas module Contexts { interface Context { Any getValue (in string index); boolean inEvaluationin Any element, in Any aSet); Any functionApplication(in string functionName, in Vector argumentList); }; }; module Contexts { interface Context { Any getValue (in string index); boolean inEvaluation(in Any element, in Any aSet); Any functionApplication(in string functionName, in Vector argumentList); }; };

32 Recife, 6 de agosto de 200432 Disponibilidade do MACA Disponibilidade do MACA Avaliação de desempenho Avaliação de desempenho Tempo médio de resposta (TMR) para autorização e autenticação Tempo médio de resposta (TMR) para autorização e autenticação Observar a variação do TMR com o aumento da carga no servidor de autorização e autenticação Observar a variação do TMR com o aumento da carga no servidor de autorização e autenticação 0 a 700 usuários simultâneos, com a entrada progressiva de 60 agentes simulando usuários a cada 5 0 a 700 usuários simultâneos, com a entrada progressiva de 60 agentes simulando usuários a cada 5 TMR de 100 solicitações aferidos cada 50 novos usuários TMR de 100 solicitações aferidos cada 50 novos usuários Servidor Servidor 2 Pentium III 1,3GHz, 1GBytes MP, 100 Mbits/s, Linux Suse 8.0 2 Pentium III 1,3GHz, 1GBytes MP, 100 Mbits/s, Linux Suse 8.0 Clientes Clientes 4 Pentium III 500MHz, 196 MBytes MP, 100 Mbits/s, Win/2000 4 Pentium III 500MHz, 196 MBytes MP, 100 Mbits/s, Win/2000 Estação de medição Estação de medição 1 Pentium III 800MHz, 326 MBytes MP, 100 Mbits/s, Win/2000 1 Pentium III 800MHz, 326 MBytes MP, 100 Mbits/s, Win/2000 Resultados TMR aumentou 3,6 vezes no intervalo [50-700] Carga média aumentou 8,7 vezes no intervalo [50-700]

33 Recife, 6 de agosto de 200433 Resultados Aplicação ao PEP InCor-HC.FMUSP Aplicação ao PEP InCor-HC.FMUSP Dados de configuração Dados de configuração 2.036 contas – média de 1,3 papéis associados 2.036 contas – média de 1,3 papéis associados 66 papéis – média de 30,3 usuários vinculados – média de 3,1 autorizações diretamente associadas 66 papéis – média de 30,3 usuários vinculados – média de 3,1 autorizações diretamente associadas 205 autorizações – 79% positivas, 3% negativas, 18% regras, 99% fracas e 1% fortes 205 autorizações – 79% positivas, 3% negativas, 18% regras, 99% fracas e 1% fortes 83 objetos – 47 PEP 83 objetos – 47 PEP Java/JSP, Magic/Delphi e Oracle/Java Java/JSP, Magic/Delphi e Oracle/Java Dados de utilização do MACA Dados de utilização do MACA Média mensal de 442.368 solicitações de autorização – 10,2/min Média mensal de 442.368 solicitações de autorização – 10,2/min Média mensal de 42.768 solicitações de autenticação – 0,9/min Média mensal de 42.768 solicitações de autenticação – 0,9/min 1000 estações de trabalho 24 7 1000 estações de trabalho 24 7

34 Recife, 6 de agosto de 200434 Conclusão Modelo de autorização contextual para CABP Modelo de autorização contextual para CABP Considera as exigências de controle de acesso ao PEP Considera as exigências de controle de acesso ao PEP Concilia permissão de acesso ao PEP motivada pela necessidade de cuidado ao paciente com proibição e situações indevidas Concilia permissão de acesso ao PEP motivada pela necessidade de cuidado ao paciente com proibição e situações indevidas Regras baseadas em contextos programáveis Regras baseadas em contextos programáveis Controle de acesso preciso, de acordo com o direito e a necessidade de um usuário realizar uma tarefa Controle de acesso preciso, de acordo com o direito e a necessidade de um usuário realizar uma tarefa Utilização rotineira no PEP InCor-HC.FMUSP Utilização rotineira no PEP InCor-HC.FMUSP Exeqüibilidade do MACA, de sua implementação e de sua aplicação prática em casos reais Exeqüibilidade do MACA, de sua implementação e de sua aplicação prática em casos reais

35 Recife, 6 de agosto de 200435 Conclusão Contribuições Contribuições Extensão do modelo referência para CABP do NIST Extensão do modelo referência para CABP do NIST Regras de autorização e contextos implementados como interfaces CORBA Regras de autorização e contextos implementados como interfaces CORBA Políticas de acesso para o PEP e administrativas capazes de se adaptar ao ambiente e a cultura das organizações de saúde Políticas de acesso para o PEP e administrativas capazes de se adaptar ao ambiente e a cultura das organizações de saúde Ativação automática de papéis independente da SR Ativação automática de papéis independente da SR CABP transparente para o usuário do PEP facilidade de uso CABP transparente para o usuário do PEP facilidade de uso Conciliação do princípio da necessidade de saber/fazer com a SR na política de resolução de conflitos Conciliação do princípio da necessidade de saber/fazer com a SR na política de resolução de conflitos Distinção entre conflitos de interesses e conflitos casuais Distinção entre conflitos de interesses e conflitos casuais

36 Recife, 6 de agosto de 200436 Conclusão Contribuições Contribuições Disponibilidade da implementação do MACA Disponibilidade da implementação do MACA Produto estável e com bom desempenho Produto estável e com bom desempenho Soluções in-house para CABP demandam investimento de aprox. US$ 453,77 por usuário nos EUA Soluções in-house para CABP demandam investimento de aprox. US$ 453,77 por usuário nos EUA Integrado a uma arquitetura de padrões abertos e distribuída Integrado a uma arquitetura de padrões abertos e distribuída Disponibilidade de serviços para os componentes do PEP a partir de plataformas heterogêneas Disponibilidade de serviços para os componentes do PEP a partir de plataformas heterogêneas Capacidade de administrar e de impor políticas de acesso e de autenticação de modo unificado e coerente Capacidade de administrar e de impor políticas de acesso e de autenticação de modo unificado e coerente

Carregar ppt "Recife, 6 de agosto de 2004 1 MACA: uma solução para autenticação de usuários e autorização de acesso em ambientes abertos e distribuídos Gustavo Motta."

Apresentações semelhantes

Sistemas Distribuídos

Sistemas Distribuídos
Princípios de Organização Unidade IV

Princípios de Organização Unidade IV
Recife, 30 de janeiro de 2006 (C) 2006 Gustavo Motta 1/50000 MACA: uma solução para autenticação e autorização de usuários corporativos baseada no controle.

Recife, 30 de janeiro de 2006 (C) 2006 Gustavo Motta 1/50000 MACA: uma solução para autenticação e autorização de usuários corporativos baseada no controle.
Sistemas distribuídos Metas de Projeto Prof. Diovani Milhorim

Sistemas distribuídos Metas de Projeto Prof. Diovani Milhorim
O ambiente organizacional

O ambiente organizacional
Sistemas Distribuídos:Definições e Caracteristicas

Sistemas Distribuídos:Definições e Caracteristicas
Engenharia de Software

Engenharia de Software
Segurança em Redes - Código Seguro

Segurança em Redes - Código Seguro
Implementação do CIBAC no SIE usando SOA

Implementação do CIBAC no SIE usando SOA
Sistemas Distribuídos

Sistemas Distribuídos
Laboratório de Sistemas Integráveis

Laboratório de Sistemas Integráveis
Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE

Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE
Disciplina:Tópicos Avançados de Sistemas de Informação

Disciplina:Tópicos Avançados de Sistemas de Informação
Computação Distribuída

Computação Distribuída
Augusto César Ferreira Gustavo Demmer Marcela Santana Márcia Back

Augusto César Ferreira Gustavo Demmer Marcela Santana Márcia Back
Conceitos Básicos Dado: fato do mundo real que está registrado e possui um significado implícito no contexto de um domínio de aplicação Exemplos: endereço,

Conceitos Básicos Dado: fato do mundo real que está registrado e possui um significado implícito no contexto de um domínio de aplicação Exemplos: endereço,
1 Sistemas Distribuídos - SDI Caracterização de Sistemas Distribuídos. Introdução. Exemplos de Sistemas Distribuídos. Desafios.

1 Sistemas Distribuídos - SDI Caracterização de Sistemas Distribuídos. Introdução. Exemplos de Sistemas Distribuídos. Desafios.
Objetos Distribuídos Padrão CORBA

Objetos Distribuídos Padrão CORBA
O setor de saúde e suas relações – Um desafio para diversos atores

O setor de saúde e suas relações – Um desafio para diversos atores
Professor Victor Sotero

Professor Victor Sotero

Apresentações semelhantes

Anúncios Google