Recomendaciones de seguridad de SSO
Esta sección contiene recomendaciones para ayudar a proteger el sistema enterprise Single Sign-On (SSO).
Con el sistema SSO (Inicio de sesión único), los usuarios se pueden conectar a diferentes sistemas con un solo conjunto de credenciales. Host Integration Server usa el sistema SSO como almacén para información confidencial. Aunque se instala automáticamente cada vez que instala el entorno de ejecución de Host Integration Server, también puede instalar Enterprise Single Sign-On como un componente independiente, independientemente del entorno de Host Integration Server. Se recomienda seguir estas directrices para proteger e implementar los servicios y recursos de SSO enterprise en su entorno.
Recomendaciones generales para implementar SSO
Debe tener un servidor de hora en el entorno para garantizar que todos los servidores SSO estén sincronizados. Si los relojes de los servidores SSO no están sincronizados, esto podría poner en peligro la seguridad de su entorno.
Teniendo en cuenta que solo hay un servidor secreto maestro en todo el entorno, se usa una configuración de clúster activo-pasivo para el servidor secreto maestro. Para obtener más información sobre la agrupación en clústeres del servidor secreto maestro, consulte Agrupación en clústeres del servidor secreto maestro.
El servidor secreto maestro contiene la clave de cifrado que usa el sistema SSO para cifrar la información de la base de datos de SSO. Se recomienda no instalar ni configurar ningún otro producto o servicio en este equipo.
Nota
El equipo donde instale y configure el servidor secreto principal no tiene que ser un servidor.
El servidor secreto principal debe tener acceso a un medio extraíble o a la carpeta del sistema de archivos NTFS para poder realizar copias de seguridad y restaurar el secreto principal. Si usa medios extraíbles, asegúrese de tomar las medidas adecuadas para proteger los medios extraíbles. Si realiza una copia de seguridad del secreto maestro en un sistema de archivos NTFS, asegúrese de proteger el archivo y la carpeta. Sólo el administrador de SSO debería tener acceso a este archivo.
Debe realizar una copia de seguridad del secreto principal en cuanto lo genera el servidor secreto principal, Esto es para que pueda recuperar los datos de la base de datos de SSO en caso de que se produzca un error en el servidor secreto maestro. Para obtener más información sobre la copia de seguridad del secreto maestro, consulte Managing the Master Secret.
Realice una copia de seguridad del secreto actual o genere un nuevo secreto regularmente, por ejemplo, una vez al mes. Sin el secreto, no puede recuperar la información de la base de datos de SSO. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el secreto maestro, consulte Administración del secreto maestro.
Recomendaciones de seguridad para grupos y cuentas de SSO
Se recomienda usar grupos de Windows y no cuentas de usuario únicas, especialmente para los grupos administrador de SSO y administrador de afiliados de SSO. Estos grupos deben tener al menos dos cuentas de usuario como miembros del grupo en todo momento.
Las cuentas de servicio de tiempo de ejecución de SSO y las cuentas de usuario de administrador de SSO deben ser diferentes, incluso si son miembros del mismo grupo de administradores de SSO. Los usuarios de administrador de SSO que realizan tareas administrativas, como generar y realizar copias de seguridad del secreto, deben ser administradores de Windows, mientras que las cuentas de servicio en tiempo de ejecución de SSO no necesitan ser administradores de Windows.
Importante
Los derechos de usuario del administrador de Windows no reemplazan los derechos de usuario del administrador de SSO. Para realizar cualquier tarea de nivel de administración de SSO, debe ser miembro del grupo Administradores de SSO incluso si ya es administrador de Windows.
Si utiliza la característica de vales de SSO, debe usar cuentas de dominio que reconozcan los equipos del dominio de procesamiento (donde están los servidores de SSO).
Se recomienda usar una cuenta de servicio única para el servicio SSO correspondiente al servidor secreto maestro.
La cuenta de administrador de SSO es una cuenta con privilegios elevados en el sistema de SSO, que también es la cuenta de administrador de SQL Server para el servidor SQL Server que tiene la base de datos de SSO. Debe tener cuentas dedicadas para administradores de SSO y no debe usar estas cuentas para otros fines. Debe limitar la pertenencia al grupo Administradores de SSO solo a las cuentas responsables de ejecutar y mantener el sistema SSO.
Recomendaciones de seguridad para una implementación de SSO
Si la red admite la autenticación de Kerberos, debería registrar todos los servidores SSO. Si usa la autenticación de Kerberos entre el servidor secreto principal y la base de datos de SSO, debe configurar nombres principales de servicio (SPN) en el servidor SQL donde se encuentra la base de datos de SSO.
Cuando ejecute Windows Server 2003, si el servidor secreto maestro está en un dominio diferente de los demás servidores de SSO y de la base de datos de SSO, debe deshabilitar la seguridad RPC (como se usa para la autenticación del Coordinador de transacciones de datos (DTC) entre equipos) en el servidor secreto maestro, en los servidores SSO (equipos de procesamiento en el dominio de procesamiento), y en la base de datos de SSO. La seguridad rpc es una nueva característica DTC en Windows Server 2003. Al deshabilitar la seguridad RPC, el nivel de seguridad de autenticación DTC para las llamadas RPC vuelve a uno disponible en Microsoft Windows. Para obtener más información sobre cómo deshabilitar la seguridad rpc, vea Ayuda y soporte técnico de Microsoft.
Los administradores de SSO deberían supervisar con regularidad el registro de sucesos del servidor secreto principal y los sucesos de auditoria de SSO del servidor de SSO.
Además de los firewalls, se recomienda usar la seguridad del protocolo de Internet (IPsec) o la capa de sockets seguros (SSL) entre todos los servidores de SSO y la base de datos de SSO. Para obtener más información sobre SSL, consulte Ayuda y soporte técnico de Microsoft.
Red perimetral
Si ejecuta los Servicios de Internet Information Server (IIS) e inicio de sesión único empresarial, siga estas recomendaciones:
Si IIS está en una red perimetral (también conocida como subred con pantalla), proporcione otro servidor que ejecute IIS detrás del firewall para conectarse al sistema SSO.
No abra el puerto de llamadas a procedimiento remoto (RPC) en IIS.
Obtener acceso a SQL Server
Todos los servidores SSO acceden a la base de datos de credenciales de SQL Server.
Microsoft recomienda usar capa de sockets seguros (SSL) o seguridad del protocolo de Internet (IPsec) para ayudar a proteger la transmisión de datos entre los servidores SSO y la base de datos de credenciales. Para obtener más información sobre el uso de SSL, vea Ayuda y soporte técnico de Microsoft.
Para habilitar SSL solo para la conexión entre el servidor SSO y la base de datos de credenciales, puede establecer la compatibilidad con SSL en cada servidor SSO mediante la utilidad ssoconfig. Esta opción permite que el inicio de sesión único use siempre SSL al acceder a la base de datos de credenciales. Para más información, consulte Habilitación del inicio de sesión único de SSL for Enterprise.
Contraseñas seguras
Es muy importante que use contraseñas seguras para todas las cuentas, especialmente aquellas que sean miembros del grupo de administradores de SSO, porque estos usuarios tienen control sobre todo el sistema SSO.
Cuentas de administrador de SSO
Se recomienda usar diferentes cuentas de servicio para los servicios de SSO que se ejecutan en equipos diferentes. No debería usar la cuenta de administrador de SSO que realiza operaciones de administrador como generar y crear copias de seguridad del secreto para el servicio SSO. Aunque las cuentas de servicio de SSO no deben ser administradores locales en ese equipo, el administrador de SSO que realiza operaciones de administración debe ser un administrador local en el equipo para algunas operaciones.
Servidor de secreto maestro
Se recomienda encarecidamente proteger y bloquear el servidor secreto maestro. No debe usar este servidor como servidor de procesamiento. El único propósito de este servidor debe ser contener el secreto principal. Debe garantizar la seguridad física de este equipo y sólo los administradores de SSO deberían tener acceso a este equipo.
Kerberos
El inicio de sesión único admite Kerberos y se recomienda configurar Kerberos para el inicio de sesión único. Para configurar Kerberos con SSO, debe registrar un nombre principal de servicio (SPN) para el servicio SSO. De forma predeterminada, al configurar Kerberos, el inicio de sesión único usa ese SPN para autenticar los componentes mediante el servicio SSO. Se recomienda configurar la autenticación Kerberos entre los subservicios administrativos de SSO y el servidor SSO. También puede usar la autenticación Kerberos entre los servidores SSO y entre los servidores SSO y el SQL Server donde está la base de datos de credenciales.
Para configurar y comprobar Kerberos, use las utilidades setspn y kerbtray.
Delegación
Cuando usa Windows Server 2003, puede usar la delegación restringida, pero se recomienda no usar la delegación para realizar las tareas del administrador de Sign-On único. Del mismo modo, se recomienda no delegar tareas ni derechos de usuario adicionales al administrador de single Sign-On.
Auditoría
La auditoría es un mecanismo crítico para mantener un seguimiento de la información en el entorno. Enterprise Single Sign-On (SSO) audita todas las operaciones realizadas en la base de datos de credenciales. SSO utiliza registros de sucesos y de auditoría de la propia base de datos. SSO proporciona dos niveles de auditoría para los servidores de inicio de sesión único:
Los niveles de auditoría positivos auditan las operaciones correctas.
Niveles de auditoría negativos operaciones de auditoría que producen un error.
Los administradores de SSO pueden establecer niveles de auditoría positivos y negativos que se ajusten a sus directivas corporativas.
Puede establecer auditorías positivas y negativas en uno de los niveles siguientes:
0 = Ninguno: este nivel no emite ningún mensaje de auditoría.
1 = Bajo
2 = Medio
3 = Alto: este nivel emite tantos mensajes de auditoría como sea posible.
El valor predeterminado para la auditoría positiva es 0 (ninguno) y para la auditoría negativa, 1 (bajo). Puede cambiar estos valores en función del nivel de auditoría que desee para su sistema SSO.
Importante
Enterprise Single Sign-On los mensajes de auditoría generados por el servicio Single Sign-On. No es una auditoría de seguridad y el sistema SSO no guarda la información en el registro de seguridad del registro de eventos. El sistema SSO guarda los mensajes de auditoría de SSO directamente en el registro de sucesos de aplicación.
Auditoría de la base de datos
Para la auditoría de nivel de base de datos, el sistema SSO realiza un seguimiento de las operaciones realizadas en la base de datos Credential de las tablas de auditoría de la base de datos. El tamaño de estas tablas de auditoría se define en el nivel del sistema de SSO. Puede auditar aplicaciones afiliadas eliminadas, asignaciones eliminadas y búsquedas de credenciales. De forma predeterminada, el tamaño de auditoría se establece en 1000 entradas. Los administradores de SSO pueden cambiar este tamaño para satisfacer sus directivas corporativas.
Uso de cuentas de Sign-On única de empresa
Esta sección contiene procedimientos recomendados cuando se usan grupos de dominio y locales y cuentas individuales en el sistema enterprise Single Sign-On (SSO).
Grupos y cuentas de dominio de Windows
Cuando trabaje con grupos de Windows de dominio, se aplican las siguientes recomendaciones:
Use grupos y cuentas de dominio.
Use un grupo de dominio para los administradores de SSO. No debe especificar una cuenta de dominio individual como administrador de SSO, puesto que no puede cambiar esta cuenta de una cuenta individual a otra individual.
Aunque puede especificar una cuenta de dominio individual como administrador afiliado de SSO, debe usar un grupo de dominios.
Si bien puede especificar una cuenta de dominio individual como administrador afiliado de SSO, debe usar un grupo de dominio.
Debe usar grupos de dominio para la cuenta de usuarios de la aplicación. La cuenta de usuarios de aplicaciones de SSO no admite una cuenta individual.
Consulte también
Auditoría del inicio de sesión único de Enterprise
Actualización de la base de datos de credenciales