RBAC4WFSYS: Modelo de Acceso para Sistemas Workflow basado en RBAC

RBAC4WFSYS: Modelo de Acceso para

Sistemas Workflow basado en RBAC

Contenido

• 

Introducción

• 

Problema

• 

Objetivos

• 

Estado del Arte

• 

Solución

• 

DEMO

• 

Evaluación

• 

Conclusiones y Trabajos Futuros

RBAC4WFSYS: RBAC For WorkFlow SYStems

Introducción

• 

El panorama actual…

▫ 

Hoy en día las organizaciones cuentan con sistemas heterogéneos

que hacen uso de una mezcla de aplicaciones desarrolladas a

través del tiempo, incluyendo; aplicaciones desarrolladas en la

empresa, soluciones desarrolladas por terceros (outsourcing),

aplicaciones comerciales y ERPs.

• 

En SOA (Arq. Orientada a Servicios) los servicios web

pueden comunicarse entre ellos, esto representa mayor

complejidad que arquitecturas como Cliente-Servidor.

RBAC4WFSYS: RBAC For WorkFlow SYStems

Problema (cont.)

CEO

Ejecutivo

de Ventas

Director

Recursos Humanos

?

Roles

Recursos

• 

…y ¿Qué pasa si los recursos

son Servicios Web?

RBAC4WFSYS: RBAC For WorkFlow SYStems

definición

• 

Servicios Web.

“Son sistemas de software diseñados para

soportar interacciones interoperables

máquina a máquina sobre una red.”

ejemplo

• 

Además… los Servicios Web deben poder

integrarse.

RBAC4WFSYS: RBAC For WorkFlow SYStems

Proyecto Integrador de Tecnologías Computacionales – SEM AGO-DIC ‘09

definición

• 

Workflow.

En términos simples un Workflow o Flujo de

Trabajo es el movimiento de documentos y

tareas a través del proceso de negocio.

ejemplo

• 

Workflow en un Sitio eCommerce.

…

• 

En resumen…

  Un problema con tres caras.

RBAC4WFSYS: RBAC For WorkFlow SYStems

Proyecto Integrador de Tecnologías Computacionales – SEM AGO-DIC ‘09

Problema (cont.)

Servicios Web

Y

SOA

Integración

de Servicios

(Workflows)

Control de

Acceso a

Composiciones

de Servicios

(RBAC)

Objetivos

• 

Definir un modelo de acceso para sistemas Workflow basado en

RBAC en término de las entidades, relaciones y restricciones que lo

componen, detallando sus características y funciones.

• 

Desarrollo de una arquitectura de sistema para la implementación

del modelo de control de acceso propuesto sobre un Sistema de

Administración de Workflows (WFMS).

• 

Desarrollo de una aplicación que implemente la arquitectura sobre

• 

Evolución de la Computación Distribuida

RBAC4WFSYS: RBAC For WorkFlow SYStems

• 

Integración de Servicios Web

En ciertos casos un requerimiento funcional (y/o no

funcional) deseado puede no ser satisfecho enteramente

por un solo servicio web pero podría ser satisfecho de

forma apropiada integrando y componiendo un

conjunto disponible de servicios.

• 

Sistemas Workflow.

Los Sistemas de Administración Workflow

(WFMS) proveen soporte para los servicios que definen el flujo de trabajo, para la

creación de procesos, la promulgación del flujo de trabajo y monitoreo de procesos

involucrados.

RBAC4WFSYS: RBAC For WorkFlow SYStems

RBAC: Control de Acceso Basado en Roles.

• 

Define como a usuarios individuales se les pueden

asignar roles, de dicho modo a un usuario no se le

asignan operaciones o tareas como tal.

• 

En vez de esto, se asignan permisos a los roles, a través

de los cuales se activan los permisos y los usuarios

RBAC Central.

RBAC4WFSYS: RBAC For WorkFlow SYStems

RBAC Restricto.

RBAC4WFSYS: RBAC For WorkFlow SYStems

El modelo tradicional RBAC, no puede expresar

las restricciones complejas de seguridad en el

control de acceso de un Workflow.

RBAC4WFSYS: RBAC For WorkFlow SYStems

• 

El contexto juega un papel muy importante en

los procesos de negocio por lo que el mecanismo

de control de acceso DEBE considerarlo.

• 

Requerimientos de Control de Acceso Sensibles

al Contexto.

1.  Mínimo Privilegio

2.  Orden de Eventos

• 

1. Mínimo Privilegio Estricto (LP). Requiere que a

un usuario no se le dé más privilegio que el

necesario para llevar a cabo un trabajo.

▫ 

Toma en cuenta que algunos permisos o

privilegios pueden no ser apropiados en ciertas

instancias, de modo que busca reforzar el

principio para adaptarse al contexto dinámico de

los Workflows.

RBAC4WFSYS: RBAC For WorkFlow SYStems

• 

2. Orden de Eventos. Impone que uno o varios

privilegios o permisos no pueden ser autorizados

hasta que otros hayan sido activados, es decir debe

haber una secuencia u orden en la activación de

permisos.

▫ 

Toma en consideración el flujo de tareas de un

Workflow y el hecho de que no puede realizarse una

tarea hasta que su predecesora se haya completado.

• 

3. Separación de Tarea (SoD). Requiere que para un

conjunto particular de transacciones, un individuo

por sí solo no puede ejecutar todo el conjunto de

transacciones.

▫ 

Permite agregar restricciones que forman parte de las

reglas de negocio en las que un determinado usuario no

puede realizar una tarea por sí sólo, por ejemplo donde se

requieren múltiples invocaciones de tarea.

RBAC4WFSYS: RBAC For WorkFlow SYStems

Solución:

Modelo RBAC4WFSYS

(RBAC For WorkFlow SYStems)

RBAC4WFSYS: RBAC For WorkFlow SYStems

Proyecto Integrador de Tecnologías Computacionales – SEM AGO-DIC ‘09

Solución:

Modelo RBAC4WFSYS

Solución:

Modelo RBAC4WFSYS

RBAC4WFSYS: RBAC For WorkFlow SYStems

Proyecto Integrador de Tecnologías Computacionales – SEM AGO-DIC ‘09

Solución:

Modelo RBAC4WFSYS

Solución:

Modelo RBAC4WFSYS

RBAC4WFSYS: RBAC For WorkFlow SYStems

Proyecto Integrador de Tecnologías Computacionales – SEM AGO-DIC ‘09

Solución:

Modelo RBAC4WFSYS

RBAC4WFSYS: RBAC For WorkFlow SYStems

RBAC4WFSYS: RBAC For WorkFlow SYStems

Proyecto Integrador de Tecnologías Computacionales – SEM AGO-DIC ‘09

RBAC4WFSYS: RBAC For WorkFlow SYStems

Proyecto Integrador de Tecnologías Computacionales – SEM AGO-DIC ‘09

RBAC4WFSYS: RBAC For WorkFlow SYStems

Proyecto Integrador de Tecnologías Computacionales – SEM AGO-DIC ‘09

RBAC4WFSYS: RBAC For WorkFlow SYStems

• 

Métodos de Evaluación

  Análisis Estático.

  Evaluar que sí se pueden construir políticas de acceso con las

entidades y relaciones que conforman RBAC4WFSYS.

  Análisis Dinámico.

  Consiste en la realización y ejecución de casos de prueba

sobre el sistema implementado WFGuard, de modo que se

pongan a prueba los requerimientos de control de acceso

• 

Análisis dinámico.

• 

7 Casos:

▫  Prueba de restricción con condiciones de Orden de Eventos.

▫  Prueba de restricción con condiciones de Invocación máxima.

▫  Prueba de restricción con condiciones de Fecha y Hora.

▫  Prueba de Restricciones de Separación Estática de Tarea sobre Roles.

▫  Prueba de Jerarquía de Roles.

▫  Prueba de Restricciones de Separación Estática de Tarea (SSD) sobre

permisos

▫  Prueba de Restricciones de separación dinámica de tarea (DSD) sobre

permisos.

RBAC4WFSYS: RBAC For WorkFlow SYStems

RBAC4WFSYS: RBAC For WorkFlow SYStems

• 

Caso Experimental

RBAC4WFSYS: RBAC For WorkFlow SYStems

• 

Conclusiones de la evaluación.

• 

Los 7 casos probaron de forma satisfactoria la utilidad

de la implementación ya que se cumplieron y

ejercieron las restricciones tanto estáticas como

dinámicas.

• 

Los casos permitieron determinar que se ponen en

práctica los requerimientos planteados en el problema;

mínimo privilegio, separación de tarea y orden de

eventos.

RBAC4WFSYS: RBAC For WorkFlow SYStems

• 

Limitaciones de la Contribución

▫  Integración del servicio a un sistema WFMS que

realmente ejecute tareas.

▫  Manejo de Sesiones y aplicación de DSD entre Roles.

▫  Delegación de Roles

▫  Jerarquía de Permisos (Grupo de permisos a los que se

les asigna un grupo de restricciones)

• 

Trabajos Futuros

RBAC4WFSYS: RBAC For WorkFlow SYStems