Aspectos de Segurança Autenticação e Controle de Acesso Ricardo Cavalcanti Jobson Ronan

Slides:



Advertisements
Apresentações semelhantes
Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel
Advertisements

Sistemas distribuídos Metas de Projeto Prof. Diovani Milhorim
Curso: Banco de Dados I Análise de Sistemas PUC Campinas
Novos serviços da ASP.Net 2.0
Personalização Objecto Profile. 1 O objecto Profile O objecto Profile permite armazenar informação única de um utilizador. Quando o utilizador visita.
Trabalho 6 – Tecnologias e Ferramentas para garantir a Segurança
Segurança em Redes - Código Seguro
Prof. João Bosco M. Sobral
Segurança da Camada de Transporte
1 Segurança em Redes Elmar Melcher Universidade Federal de Campina Grande
Criptografia e Segurança em Rede Capítulo 1
Linguagem PHP Prof.: Sergio Pacheco Prof.: Sergio Pacheco 1 1.
Daniel Paulo Conceitos de Banco de Dados - Processamento de Transações de Dados - Gerenciamento de dados OLAP/OLTP - Alto desempenho.
Código de Prática para a Gestão de Segurança de Informação.
Fundação Aplicações de Tecnologias Críticas - Atech
Introdução a EJB 3.0 Eduardo Martins Guerra Instituto Tecnológico de Aeronáutica Curso de Pós-Graduação em Engenharia de Software Programação Distribuída.
Arquitetura de Sistemas Eduardo Martins Guerra Desenvolvimento de Soluções WEB.
Sistemas Distribuídos
DESCRIÇÃO/OBJETIVOS O Controle de Acesso Nacional foi desenvolvido para suprir a necessidade de maior segurança e controle da informação administrada pelos.
Curso de extensão em Desenvolvimento Web
Segurança Aplicações Java EE Utilizando JAAS
LP II Autenticação em ASP.NET
+ Java Web XIV Jornada de Cursos. Você pode: copiar, distribuir, exibir e executar a obra criar obras derivadas fazer uso comercial da obra Sob as seguintes.
Public Key Infrastructure PKI
Interface Básica para um Servidor Universal
Sistemas Distribuídos
Gestão de Segurança em Comércio Eletrônico
Chamada Remota de Procedimentos
Processo Entidade dinâmica e efêmera
Normas para Segurança da Informação
Segurança e Auditoria de Sistemas
CERTIFICADO DE ATRIBUTOS
Aplicações Web com Orientação a Objetos
PROGRAMAÇÃO ORIENTADA A OBJETOS
Elementos de um Sistema de Agentes Móveis Agentes e Places Comportamento de Agentes Comunicação Padronização OMG/MASIF.
Controle de Acesso Kerberos
Conceitos da arquitetura
Tópicos Avançados em Redes de Computadores Prof. Fabiano Sabha.
Princípios Fundamentais e Secundários
Políticas de Segurança
WSJET são serviços que ficam disponíveis na Internet para os clientes autorizados pela Jet Tecnologia, ou seja, são Web Services. Os Web Services são.
Prof.°: João Henrique Disciplina: SOR II
Teste.
Sistema de Gestão de Segurança da Informação
Projeto de Banco de Dados Prof.Ms.Rodrigo Luiz Comitante Leão.
A Internet, hoje. Transações financeiras  Consulta de saldos, transferências…
Tópicos Especiais J2EE Prof. Cristina Valadares Curso de Ciência da Computação.
Ultimos recursos Jobson Ronan
Segurança da Informação e seus Critérios
Universidade Federal de Alagoas Instituto de Computação - IC Redes de Computadores 2 Serviços Web Felipe Santos José Oswaldo.
Criptografia Assimétrica e Autenticação de Mensagens
Objetivos da Segurança da Informação
Hibernate + JBoss Mapeamento O-R em aplicações corporativas Ricardo Cavalcanti Jobson Ronan
Programação com Objetos Distribuídos (Vânia R. Sávio Rodenas) 1 Transações com EJB 3.0 Vânia Regina Sávio Rodenas.
Transações em J2EE Mara Denise Coutinho da Silva Sandra Luzia Cortinovi Universidade Federal do Rio Grande do Sul Instituto de Informática Web e Sistemas.
Aluno: Fillipe Oliveira Lima
VISÃO GERAL DA ÁREA DE SEGURANÇA DA INFORMAÇÃO  ESTÁ RELACIONADA COM A PROTEÇÃO DE UM CONJUNTO DE INFORMAÇÕES, NO SENTIDO DE PRESERVAR O VALOR QUE POSSUEM.
Sistema Almirante Gabriel Junji Ito Giuliano Diego Barbarra.
Talita Amaral. Introdução Atualmente, há outras formas para comprovar a autenticidade de documentos expressar concordância com determinados procedimentos,
Globalcode – Open4Education 1 EJB3 Interceptors Ricardo Limonta.
CONTROLE DE ACESSO Requisitos de cada aplicação Identificação de todas as informações Políticas de disseminação e autorização de informações - Saber apenas.
Aplicativos para Internet Prof. Wolley W. Silva
UCSal – Tecnologia em Análise e Desenvolvimento de Sistemas Programação para Aplicações WEB Profa. Semíramis Assis
Tecgraf PUC-Rio maio de 2011 Introdução ao Openbus.
Fundamentos de EJB Componentes do framework Ricardo Cavalcanti Jobson Ronan
Desenvolvimento WEB II Professora: Kelly de Paula Cunha Apresentação baseada no material didático elaborado pelo Prof. Pasteur Ottoni de Miranda Junior.
Sistemas Operacionais Sistemas de Arquivos Prof. José Queiroz - ZEQUE.
Segurança em Comércio Eletrônico Comércio tradicional realizado de maneira centralizada cercado de restrições legais Comércio eletrônico realização de.
Aspectos de performance EJB Performance tuning Ricardo Cavalcanti Jobson Ronan
Segurança de Rede Prof. Sales Filho Infra-estrutura de chaves públicas.
Transcrição da apresentação:

Aspectos de Segurança Autenticação e Controle de Acesso Ricardo Cavalcanti Jobson Ronan

2 Introdução  Um sistema seguro garante que  Nenhum evento danoso pode ocorrer com seus recursos (base de dados, processos etc.)  Segurança não é apenas TI  Envolve controles físicos (portas e cadeados)  Políticas de não compartilhamento de senha  É difícil dizer se um sistema é seguro ou não  Segurança de um sistema, na verdade, visa à segurança do sistema  Não pretende chegar num estado de segurança absoluta  IMPORTANTE: não se empolgue desenvolvendo seus próprios sistemas de segurança.

3 Conceitos Fundamentais  Autenticação  Principal: a entidade autenticada  Login e senha; assinatura digital;  Autorização  Checar a os privilégios do Principal para o uso dos recursos  Proteção à Integridade dos Dados  Prevenir ou pelo menos detectar modifição nos dados (i.e. através de um canal de comunicação)  Proteção à confidencialidade dos Dados  Prevenir divulgação imprópria da informação

4 Segurança em Webapps  Autenticação: descrita no web.xml  HTTP Básico e Disgest, Form-Based ou HTTPS  Autorização  Declarativa no web.xml  Programática isUserInRole e getUserPrincipal  Confidencialidade e Integridade  De alto nível no web.xml

5 Segurança em EJB  Resume-se a Autenticação e Autorização  Até EJB 1.1 não havia uma maneira portável de Autenticação  Desde EJB 2.0 é possível utilizar a API JAAS – Java Authentication and Authorization Service  Controle de acesso  Através de security policies  Programática ou declarativa

6 JAAS – Visão geral  Permite autenticação e autorização de usuários em java  Permite o log on de usuários no sistema sem distinção do sistema de segurança de baixo nível  A implementação (i.e. do servidor de aplicação)determina se suas credenciais são autênticas  O suporte a sistemas de segurança mais avançados depende do servidor  Independentemente, não altera o código da aplicação

7 Candidatos à utilização de JAAS  Uma aplicação stand alone que faz acesso a um EJB, cujo usuário deve prover credenciais ao sistema.  Uma aplicação web na qual o usuário fornece as credenciais através de HTTP Básico e Disgest, Form-Based, HTTPS ou um Certificado  Uma vez autenticado através de JAAS o cliente pode fazer chamadas aos métodos seguramente

8 Rede Autenticação com JAAS Cliente (programador) Servidor J2EE LoginContext (container) Configuration (container) Subject (container) Config File (programador) Um ou mais LoginModule (programador) 1:new() 7:login() 5:new() 6:inicialize() 8:login() 9:commit() 10:add Credentials 2:getConfiguration() 3:getAppConfigurationEntry() 4:return a list of loginModules ()

9 Autorização com JAAS  Após a autenticação, o cliente necessita se autorizar para ter acesso aos métodos do bean  Pode ser declarativa ou programática  É necessário definir security roles  Apenas Declarativamente  Papeis que relacionam permissões de operações e usuários

10 Secutiry Roles  As permissões de executar operações são associadas a roles.  Papéis desempenhados por usuários  Um usuário vinculado a uma role recebe todas as permissões atribuídas a esta role.

11 Autorização Programática 1. Escrever lógica de segurança  Métodos isCallerInRole e getCallerPrincipal a partir do EJBContext 2. Declarar as Security Roles abstratas que o bean irá utilizar  No Deployment descriptor e dentro do nó do bean. 3. Mapear Abstract Roles em Actual Roles  O deployer deve definir os nomes reais dos Roles  dentro do nó do bean e dentro de

12 Autorização declarativa 1. Declare as permissões dos métodos  Dentro de 2. Declare as Security Roles  Semelhante ao método Programático 3. Mapear Abstract Roles em Actual Roles  Semelhante ao método Programático

13 Exemplo... administrators BankEJB * managers BankEJB changeAccount String managers...

14 Propagação da segurança  A identidade do Principal é propagada por todos os beans  A identidade do cliente é ignorada e outra é propagada (...) admin

15 Declarativa ou Programática?  Declarativa  Vantagem: Simplicidade e menor acoplamento  Desvantagem: menor controle  Programática  Quando maior controle é necessário  Instance level Authorization: saegurança ligada à regra de negócio

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.