martes, 7 de julio de 2015

Video: Integration piece (Change Auditor and D1IM)

After writing five months ago about “Auditor and D1IM better together” now you can see it and touch it if you want (send me an email and I’ll send you the Connected Identity package).In video you can watch what is the step by step to configure (Change Auditor side and D1IM side) and how works. It’s to easy to implement and it’s the way to near audit out process from D1IM inside D1IM using attestation policies.

video
 


I hope this helps!

martes, 23 de junio de 2015

Federación: Utilizar ADFS como IdP en Cloud Access Manager

imageUno de lo escenarios que cada vez se nos está repitiendo allá donde hablamos sobre Web Single Sign-On es el escenario donde se quiere publicar servicios pero la identidad no se encuentra en el proveedor de servicios sino en otro repositorio como es Active Directory Federation Services (ADFS). Ante esta situación, surge la la pregunta de ¿puede Cloud Access Manager (CAM) consultar el repositorio de identidades de ADFS?. La respuesta es , CAM puede actuar tanto como IdP (proveedor de identidades) como de SP (Proveedor de servicios).

A continuación vamos a mostrar en 6 simples pasos configurar CAM como SP y un ADFS como IdP (está previamente configurado según la guía “cómodo” e “intuitiva” de Microsoft)

A) Configuración Autenticación Front-End en CAM

  • Desde el portal de CAM, pulsar Add New en la sección Front-end Authentication

image

  • Seleccionar SAML Federated, pulsar Next

image

image

image

  • Pulsar Next. Añadir un nombre a la nueva configuración

image

  • Pulsar Finish y posteriormente No, Close This Dialog

image

B) Configuración relaying Party (RP) en ADFS

  • Desde la consola de ADFS, Trus Relationships | Relaying Party, botón de la derecha Add Relaying Party Trust…

image

image

  • Pulsar Next. En Display Name añadir CAM STS (Proxy), pulsar Next
  • Permitir el acceso a todos los usuarios, pulsar Next

image

  • Pulsar Next y Close
  • Pulsar Add Rule…Seleccionar Send LDAP…, pulsar Next

image

  • Añadir la siguiente configuración de Claims y pulsar Finish

image

image

C) Configuración de Roles de acceso

  • Desde el portal de CAM, pulsar Roles

image

image

  • Pulsar Save
  • Una vez configurado, acceder al portal de CAM y aparecerá la pantalla del ADFS
image image
Pulsar el botón Sign In

image

 

Espero que os sirva de ayuda

Quiero dar las gracias a Pablo Sanchez y Javier Alonso porque sin su ayuda hubiera sido imposible no sólo el montarlo sino entender que estaba haciendo.

viernes, 12 de junio de 2015

Application Password Management (APM)

imageCuando se habla de seguridad referente al ciclo de vida de las contraseñas siempre nos referimos a aquellas cuentas privilegiadas de cada una de las plataformas con permisos de administración y gestión que utilizan los usuarios de nuestra organización (empleados, internos, externos, estudiantes…etc). En plataformas como el directorio activo, aquellas cuentas que pertenecen a Domain Admin,  Administrators, Account Operators, Enteprise Admin son de carácter privilegiado ya sus autorizaciones y permisos son elevados. Pasa lo mismo en la plataforma linux / Unix, siempre están presente los root, oracle, apache…en dispositivos de red aparecen las cuentas root, admin…para base de datos, parecen los SYS, SYSTEM, SYSDBA en los Oracle y la cuenta sa y cuentas miembros del rol de sysadmin en SQL Server.
Hasta aquí parece todo normal y “fácil” de gestionar a través de Dell Privileged Password Manager pero me surge una pregunta y es: ¿qué pasa con esas contraseñas que utilizan las aplicaciones de negocio y que son privilegiadas o más que las anteriores (por la información que manejan) y que están en un fichero de configuración?. También le podemos dar respuesta con Dell Privileged Password Manager, módulo Application Password Management (APM).


Cómo funciona
Funciona como si un usuario solicitará la contraseña de una cuenta desde el portal de TPAM pero en vez de ser interactivo es vía aplicación. Esta, se conecta al Appliance, autenticandose previamente con un certificado de usuario proporcionado por TPAM, y posteriormente solicita la contraseña de una cuenta asociada a un sistema.
La solicitud de contraseña, desde el punto de vista de programación, se puede realizar de 3 modos distintos:
  • API
image
  • Command Line Interface (CLI)
image
  • Web Service
Las peticiones API/CLI se realizan sobre el Appliance y/o DPA (Veremos en detalle en el próximo artículo). La petición Web Service se realiza al componente denominado Cache Server. Este servidor tiene como objetivo el de cachear en memoria las contraseña para que el rendimiento sea óptimo.


Pasos a seguir en el desarrollo de una aplicación de acceso a un servidor de Cache:

0) Crear un usuario de tipo User Cache

image

1) Descargarse el WSDL desde TPAM

image

2) Añadir el fichero WSDL a la solución a través del menú Ádd Service Reference del proyecto.
Nota: Para cargar el fichero WSDL será necesario acceder vía file://C:\<ruta del fichero WSDL>
image
3) Líneas de código de la aplicación
‘ Librerias
Imports System.Net
Imports System
Imports System.ServiceModel
Imports System.Configuration
Imports System.Net.Security
Imports System.Security.Cryptography.X509Certificates
Dim pwd As String = String.Empty
'
btn.Enabled = False
Cursor.Current = Cursors.WaitCursor
' Binding de conexión
Dim WSBinding As New BasicHttpBinding(BasicHttpSecurityMode.Transport)
WSBinding.Security.Transport.ClientCredentialType = HttpClientCredentialType.Certificate
Try
‘ URL de conexión
    Dim ea As New EndpointAddress("https://" & txtCacheServer.Text & "/HandlePWRequestService/HandlePWRequest")

    Dim objParcache As New wsparcache.HandlePWRequestClient(WSBinding, ea)
    objParcache.ClientCredentials.ClientCertificate.Certificate = New X509Certificate2(txtCertificatePath.Text, txtPasswordCert.Text)
    Dim startTick As Long = DateTime.Now.Ticks()
    objParcache.handleRequestWS(pwd, txtSystemName.Text, txtAccount.Text)
    Dim endTick As Long = DateTime.Now.Ticks()
    Dim tick As Long = endTick - startTick
    Dim milliseconds As Long = tick / TimeSpan.TicksPerMillisecond
    txtPassword.Text = pwd
    txtTime.Text = milliseconds.ToString()
Catch ex As Exception
    Cursor.Current = Cursors.No
    MsgBox(ex.Message.ToString(), MsgBoxStyle.Critical, "Control")
End Try
Cursor.Current = Cursors.No
btn.Enabled = True

Nota: Para mejorar el rendimiento, añadir los siguientes parámetros en el fichero de configuración de la aplicación. En mi caso en el fichero App.Config

<system.net>
    <defaultProxy> 
 <proxy bypassonlocal="true" usesystemdefault="false" />
    </defaultProxy>
  </system.net>


Aspecto final de la aplicación de test

image


En el siguiente video podéis ver cómo funciona la aplicación desarrollada en .NET que permite solicitar la contraseña de una cuenta de aplicación


video
Espero que os sirva de ayuda

Gracias a Javier Alonso por ayudarme con este tema (y muchos más)

domingo, 20 de julio de 2014

SDK and API: New era - TPAM integrated in ChangeAuditor

Silence in my blog during 3 months, It’s a long time I know but I have had working hard to understand all new products, all new features, doing a new presentations with one idea/challenge…Integrate, integrate and integrate all products because the customer need solutions they don’t need products or just ideas (It’s my personal opinion)

For this reason, last week I wrote this tweet

image

The first thing to achieve this challenge it’s all product should have SDK / API because It’s need to use a language to talk together to integrate them.

After working 3 days with SDK in ChangeAuditor and API provide by TPAM, I integrated both platforms (beta version) to run together. This integration adds new features/capabilities:

  • Real time activity in ChangeAuditor from TPAM
  • Fine granular auditing
  • Full audit and connected to real identity trail
  • Correlate events with any platform monitored by ChangeAuditor (Active Directory, Exchange, SharePoint, SharePoint Portal Server…so on)
  • Granular control over when an alert is issued (in TPAM environment)

Screenshot below you can see the plug-in user interface I have developed (It’s professional, isn’t it?). It’s information about coordinator server, user, password, TPAM ip address…configuration parameters

image

In this video you can see an example when users are managing information in TPAM

(Note: when you click on CAforTPAM.exe file new program icon in the notification area will be show it)

New post, I’ll write in this week with new features that Bryan Patton suggested me (good ideas, thanks Bryan!!!)

I hope this helps!

I want to thank you, Tim Sedlack, for helping me with this challenge.

jueves, 3 de abril de 2014

Video: WebSSO in PAM using QESSO

Most of the customers when you speak with them about Privileged Account Management (PAM), Controlling and Auditing Super-user Access always ask the same question: Does it possible to manage my corporative applications without IT staff know the password, I mean, provide session with Single Sign-On (WebSSO and Legacy SSO) in all applications (Tomcat, Windows, Redhat, NetApp, EMC…etc)?. That way, I will reduce and mitigate risk

The answer is: Sure!! No problem!!!

This video demonstrate how you will be available to provide SSO in all customer’s applications. Just need to combine with PAM other tool: Enterprise Single Sign-On. It’s easy and helpful.

WebSSO in ALL Customer applications with PAM

 

I hope this helps!

miércoles, 26 de febrero de 2014

Step 1: Catching WMI alert from ChangeAuditor

Last post I wrote was about ChangeAuditor and Dell One Identity Manager integration (ChangeAuditor and D1IM better together). After 2 days looking into ChangeAuditor How to manage the alerts, database schema, views, tables…so on. I got it!!.

These scripts and forms developed in this post are Beta 1 version but when I have more time (night time) I’d like to create a vb.net program with real service and GUI to manage this information…I think it's enough to show how it works (I’m presales guy not developer guy !!!)

Lab’s Scenario:

  • Domain Controller with ChangeAuditor Agent
  • Server with ChangeAuditor Coordinator and ChangeAuditor Add-on v.1.0 Beta version (image below) and fake “services”

image

 

Configure Real time Monitoring

  • Click over “Add Real-Time monitoring” button

image

  • Configuration parameters:
    • All WMI Alerts configured in ChangeAuditor
    • Add filter to Alert:
      • Who / What / Where
    • Trigger a script (command line textbox) and/or call Identity Manager Web Services
  • Click Add to save data

 

Manage Alerts

  • Click over “View Real-Time monitoring” button

image

Information about alerts configured (enabled or disabled status, parameters configuration…)

  • Click Close

 

ChangeAuditor

Alert configuration in ChangeAuditor choose Alerts and WMI checked

image

 

“Services”

Running script in background to detect any WMI alert trigger by ChangeAuditor

image

image

I’ll record a video with total sequence

Hope this helps you

jueves, 6 de febrero de 2014

ChangeAuditor and D1IM better together

Reading rabbit icon by Flameia DesignAfter checking many events and alerts in platforms such as Active Directory, Windows Files & Folders, Mailboxes, SharePoint, the registry changes since different Service Packs and/or HotFixes has been applied…. I might say that ‘the whole environment is under control with ChangeAuditor’… but we have to verify that those accesses are the right ones. And by referring to ‘right access’ I mean that the action done by the user/employee is the appropriate one because is her/his job, it is within their duties and expectations from the organization. It is truly a breach in Compliance and a gap in Enterprise Governance when an audit system does not talk/use/consume real and real-time information from an identity management solution. The IAM platform becomes the real and only one repository since the organization has an identity catalog around the entity ‘employee’ and fully understand entitlements, roles, requests, policies, approvals, etc.

The way to do this is through the integration of Dell One Identity Manager (D1IM) and ChangeAuditor (auditing platform) in order to control and monitor what users can do and are actually doing in the environment. The unique combination of these applications will provide insights on what one is entitled to do, what is being done and will highlight any inconsistency for business matters.

Actual Scenario

image

Integration Scenario ChangeAuditor – D1IM

image

 

I hope this helps!