Las aplicaciones Web se están imponiendo cada vez más en los entornos empresariales gracias a sus dos grandes ventajas, la facilidad de despliegue y de actualización. Aunque todavía son muchos los aspectos que están en su contra. Uno de los más importantes tiene que ver con la autenticación de los usuarios. Al no requerir de una instalación previa, la mayoría de las aplicaciones Web protege el acceso a sus recursos mediante un usuario y contraseña. De esta forma, si en una organización conviven aplicaciones de diferentes fabricantes, muy probablemente los usuarios se verán forzados a recordar usuarios y contraseñas de todos los sistemas que utilicen. Esto puede provocar problemas de seguridad ya que los usuarios tenderán a repetir las contraseñas de un sistema a otro o, incluso, pueden estar tentados a apuntarlas en algún sitio. A todo esto se le suma la incomodidad de tener que ir entrando en todos los sistemas.

En entornos 100% Microsoft, se puede conseguir de forma relativamente sencilla configurar un Single Sign-on utilizando los usuarios del Active Directory para acceder a las aplicaciones Web. Pero, ¿qué pasa en los entornos donde conviven diferentes plataformas de servidores? En estos escenarios, Sun Microsystems ha sabido aportar una solución brillante, el Sun OpenSSO Enterprise.

Gracias a este producto, Sun Microsystems permite configurar por un lado una página Web de login para que los usuarios se identifiquen en el sistema y, por otro, permite securizar el acceso a recursos Web que se encuentren en servidores de una extensa variedad de plataformas. Este último paso se ha conseguido implementado diferentes agentes para esas plataformas.

Integración del OpenSSO con IIS

En el caso concreto de ABSIS, nos encontramos una instalación multiplataforma (Microsoft/Sun) y se usó el agente para resolver el Single Sign-on . Durante la integración nos hemos encontrado con la limitación que el agente protege un WebSite entero. Este funcionamiento es más un inconveniente que una ventaja para nuestras aplicaciones ya que todas ellas incorporan nuestro propio sistema de control de acceso. De esta forma, tener dos sistemas que hacen lo mismo, sólo contribuye a hacer más lento el funcionamiento de la aplicación, ya que cualquier operación que se haga, será verificada por duplicado, primero analizando las credenciales que añade el OpenSSO y posteriormente por la aplicación.

Como el objetivo de utilizar el OpenSSO es identificar a los usuarios para evitar que tengan que entrar mediante usuario y contraseña, se ha optado por crear un WebSite sólo para loginear a los usuarios mediante las credenciales de OpenSSO. Este WebSite tendrá instalado el agente y, por tanto, cualquier acceso a sus recursos requerirá la identificación previa del usuario. Una vez validado se utilizará su código de usuario para iniciar una sesión en el WebSite que tiene las aplicaciones instaladas y se le re-direccionará a ese entorno. De esta forma se consigue entrar en el sistema saltándose el login mediante usuario/contraseña y no se penaliza el rendimiento posterior de la aplicación.

Evidentemente, el hecho de tener dos WebSites, uno con las aplicaciones y otro de login, posibilita que los usuarios puedan entrar en el sistema de dos formas. Utilizando las credenciales de OpenSSO si acceden al WebSite de login, o mediante un usuario y contraseña si lo hacen al que tiene las aplicaciones instaladas. De esta forma se garantiza que en caso de caer la infraestructura que sostiene al OpenSSO, los usuarios siempre podrán acceder a las aplicaciones con sus usuarios y contraseñas.

Enlaces de interés:

Página principal del OpenSSO Enterprise en Sun:

http://www.sun.com/software/products/opensso_enterprise/index.xml 

Lista de agentes para OpenSSO:

http://www.sun.com/download/index.jsp
?cat=Identity%20Management&tab=3&subcat=Policy%20Agents 

Proyecto OpenSource creado a partir de código fuente cedido por Sun:

https://opensso.dev.java.net/ 


Francesc Bosch

Analista del área de I+D+i