Simplifiez les déploiements OAuth avec CA API

Simplifiez les déploiements OAuth
avec CA API Gateway OAuth Toolkit
Authentification et autorisation pour les API Web et mobiles
OAuth s’impose de plus en plus comme une norme essentielle de gestion des accès avec les API RESTful. Entre autres avantages,
OAuth se caractérise par son format léger (pour les applications mobiles OTA) et ouvert pour empêcher la dépendance vis-à-vis d’un
fournisseur ou une intégration incertaine. Cette norme peut également être optimisée pour permettre aux utilisateurs de bénéficier d’une
authentification unique avec des propriétés Web intégrées via les API RESTful. Malheureusement, la configuration d’OAuth peut s’avérer
complexe étant donné le nombre d’acteurs, de formats de jeton, de systèmes de transport et de mécanismes de sécurité requis.
Une solution « tout-en-un » pour implémenter OAuth afin de sécuriser les
services et les API
CA API Gateway OAuth Toolkit simplifie la mise en œuvre
de la norme OAuth pour les API Web et mobiles en centralisant
son implémentation. Cette solution hautement évolutive offre
les atouts suivants :
Grâce au toolkit OAuth, les entreprises peuvent mettre en œuvre
des contrôles STS des règles et des identités pour gérer une
multitude de types d’informations d’identification et d’opérations
de jeton OAuth, dont les suivants :
•Un serveur d’autorisation OAuth qui délivre des jetons d’accès
dans les scénarios OAuth à deux ou trois piliers
•Les méthodes de signature HMAC-SHA1/SHA2 (SHA-256)
ou RSA-SHA1/SHA2 (SHA-256) et SAML
•Un serveur de ressources OAuth pour le contrôle d’accès
des API et l’application de règles
•Les combinaisons et les mises en correspondance de méthodes
d’implémentation OAuth avec SAML afin de traiter des cas
d’utilisation types comme l’autorisation d’accès aux API accordée
à un utilisateur ou l’authentification unique fédérée interdomaine
allouée aux utilisateurs de sites Web
•Des modèles personnalisables pour les implémentations
OAuth côté client et utilisateur
•L’intégration à toutes les solutions de gestion des identités
et des accès (IAM) et d’authentification unique (SSO)
•Une fonctionnalité de pont entre OAuth et d’autres normes
de contrôle d’accès comme XACML et WS-Trust
•La prise en charge des algorithmes de signature RSA et de hachage
sécurisé HMAC
•Une règle et une logique d’exécution personnalisables permettant
aux utilisateurs d’adapter le comportement en fonction
de chaque service
•Une solution indépendante du format de jeton, compatible
avec les jetons XML (SAML) ou REST (OAuth)
•La possibilité d’utiliser OAuth dans un portail API axé sur
les développeurs
•L’intégration de nouvelles méthodes de signature et d’identification
sans modifier les API
•La personnalisation des implémentations OAuth pour créer un pont
entre les versions des spécifications et les mises en œuvre
différentes des partenaires
Simplifiez les déploiements OAuth avec CA API Gateway OAuth Toolkit
www.ca.com/fr
La solution de CA Technologies :
Ressource protégée
La procédure suivante permet de déployer aisément un protocole
OAuth à trois piliers avec CA API Gateway OAuth Toolkit :
1. Le client doit pouvoir accéder à la ressource protégée
et la rediriger vers l’utilisateur.
7
Gestion des
identités et
des accès
2. L’utilisateur entre ses informations d’identification qui sont
ensuite validées par CA API Gateway au moyen d’un système
de gestion des identités et des accès (IAM).
CA
den
s d’i
Client
5
ay *
2
Pare-feu
Zone DMZ
Pare-feu
tion
6
5. CA API Gateway transmet un jeton d’accès OAuth chiffré
et signé au client.
6. Le client envoie le jeton d’accès OAuth à la ressource protégée.
tew
rma
4
Info
4. Le client utilise le code OAuth et la clé API pour demander
un jeton OAuth à CA API Gateway.
Ga
tité
3. Si les informations d’identification sont validées, CA API Gateway
redirige l’utilisateur vers le client avec un code OAuth.
I
AP
3
1
Utilisateur
*Assure le rôle de service
d’autorisation et de
serveur de ressources
Fonctionnalités clés
Toolkit OAuth
• Support d’implémentations OAuth à deux et trois piliers
Scénarios pris en charge
• Prise en charge de chaque étape du flux de protocole OAuth (utilisateur, client, serveur d’autorisation, validation des jetons d’exécution,
gestion des jetons administratifs)
• Support de divers algorithmes de hachage et types d’octroi de jeton, notamment implicite, code d’autorisation, SAML, etc.
• Support des paramètres de session de jeton d’accès OAuth (portée, ID client, ID abonné, type d’octroi, jeton d’actualisation associé,
identification initiale, données d’utilisation et champs définis par l’utilisateur)
• Serveur d’autorisation OAuth pour la génération des jetons de demande et des jetons d’accès
• Intégration aux principaux systèmes d’identité, d’accès, d’authentification unique et de fédération d’Oracle, de Sun, de Microsoft,
de CA Technologies, d’IBM Tivoli et de Novell
Cycle de vie OAuth
complet
• Validation de l’exécution des jetons d’accès pour les serveurs de ressources
• Modèles OAuth clients personnalisables pour les scénarios sortants de test et d’intégration OAuth
• Modèles utilisateurs personnalisables pour l’authentification unique sur des clients OAuth externes
• Gestion complète des jetons (affichage, supervision, gestion et annulation des jetons OAuth générés)
• Intégration automatique à CA Layer 7 API Portal afin de mapper les clés API générées avec les jetons OAuth
Fédération et intégration
• Intégration simple aux implémentations OAuth publiques populaires (Salesforce.com, LinkedIn, Twitter, Google, etc.)
• Intégration d’OAuth à l’émetteur STS SAML assurant la prise en charge des règles basées sur les attributs, d’authentification SAML 1.1/2.0
et d’autorisation, ainsi que des jetons de sécurité
Simplifiez les déploiements OAuth avec CA API Gateway OAuth Toolkit
www.ca.com/fr
Mise en œuvre de la sécurité au niveau des identités et des messages
• Chaînage et remappage des informations d’identification, support des identités fédérées
Gestion de la sécurité
au niveau des relations
interdomaines et B2B
• Support de l’authentification de base HTTP, Digest, par certificat côté client via SSL, Microsoft SPNEGO, etc.
• Moteur ICP CA intégré dédié au déploiement et à la gestion des certificats côté client, ainsi qu’à l’évaluation des risques intégrée aux autorités
de certification externes
• Support du protocole SAML, des certificats X.509, du protocole LDAP, etc.
• Capacité de contrôler l’accès aux interfaces de manière sélective, jusqu’à un niveau opérationnel
Sécurité des interfaces
REST, WSDL et POX
• Support prêt à l’emploi des interfaces Cloud et SaaS populaires (SFDC, Amazon, etc.)
• Capacité de création à la volée de vues WSDL composites personnalisées en fonction des demandeurs
• Publication et recherche de services à l’aide de WSIL et UDDI
Audit des transactions
• Consignation des informations sur les transactions au niveau des messages
• Capacité de mise en file d’attente des données à consigner vers les systèmes de gestion et de stockage des données externes
Protection contre les menaces
• Validation et filtrage configurables des en-têtes HTTP, des paramètres et des données de formulaire
Filtrage du contenu
• Détection des signatures arbitraires/mots classés avec processus de nettoyage/refus/rédaction ultérieur
• Identification et suppression des fuites d’informations sensibles (numéros de sécurité sociale, numéros de carte de crédit, etc.)
• Support des services REST, XML, POX et autres services basés sur XML
• Protection contre les scripts intersites (XSS), l’injection de code SQL, les virus et les menaces de contenu/structure XML
Prévention des intrusions
et des attaques
• Capacité de création de profils de menace personnalisés étendant le filtrage à la structure des messages et aux menaces XML
• Suivi des échecs d’authentification et/ou des violations de règles pour identifier les schémas et menaces potentielles
• Validation des paramètres HTTP, REST Query/POST, structures de données JSON, schémas XML, etc.
Facteurs de forme
Matériel
• Lecteurs échangeables à chaud, configurables en cluster actifs-actifs avec mise en miroir, serveur 1U multicœur
Logiciel
• Solaris 10 pour x86 et Niagara, SUSE Linux, Red Hat Linux 4.0/5.0
Appareil virtuel
• VMware/ESX (certification VMware Ready)
Cloud
• AMI d’Amazon EC2
Normes supportées
XML, SOAP, REST, PCI-DSS, AJAX, XPath, XSLT, WSDL, XML Schema, LDAP, SAML, XACML, OAuth 1.0a, OAuth 2.0, PKCS, FIPS 140-2, Kerberos, certificats X.509, signature XML,
chiffrement XML, SSL/TLS, SNMP, SMTP, POP3, IMAP4, HTTP/HTTPS, FTP/FTPS, MQ Series, JMS, Raw TCP, Tibco EMS, WS-Security, WS-Trust, WS-Federation, WS-Addressing,
WSSecureConversation, WS-I BSP, WS-MetadataExchange, WS-Policy, WS-SecurityPolicy, WS-PolicyAttachment, WS-SecureExchange, WS-I, WSIL, UDDI, WSRR, MTOM, IPv6, WCF
Pour plus d’informations, rendez-vous sur le site www.ca.com/fr/api.
CA Technologies (NASDAQ : CA) crée des logiciels qui alimentent la transformation des entreprises et leur permettent de saisir toutes
les opportunités de l’économie des applications. Le logiciel est au cœur de chaque activité et de chaque industrie. De la planification
au développement, en passant par la gestion et la sécurité, CA Technologies collabore avec des entreprises partout dans le monde afin
de transformer la façon dont nous vivons, interagissons et communiquons, dans les environnements mobiles, de Cloud public et privé,
distribués et mainframe. Pour en savoir plus, rendez-vous sur www.ca.com/fr.
Copyright © 2014 CA. Tous droits réservés. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document
demeurent la propriété de leurs détenteurs respectifs. CS200–87756–1014