Políticas de Acceso
El manejo del acceso a los sistemas siempre es un tema importante y desde SIU-Araí: Usuarios brindamos un conjunto de opciones para llevarlo adelante.
Consideraciones iniciales
El documento estará dividido en dos secciones
Manejo de cuentas: desde el punto de vista del servidor existen a priori dos escenarios
- Se debe perder acceso a una aplicación puntual
- Se debe perder acceso a todas las aplicaciones
Manejo de claves: desde el punto de vista de la persona que accede existen dos escenarios
- Olvido su clave
- Se le solicita cambiar su clave
Solicitando la deshabilitación de acceso
A una aplicación
Normalmente cuando una persona debe perder acceso a una aplicación puntual alcanza con remover la asociación entre la cuenta del mismo y la aplicación.
Recordemos que esto no elimina la cuenta de la persona en la aplicación destino, simplemente evita que SIU-Araí: Usuarios acepte como válida la solicitud de autenticación para la misma.
Esto lo llevamos adelante via web, accediendo a la operacion Usuarios y básicamente los pasos serían:
- Seleccionar el
usuariode la persona que buscamos - Dirigirse a la pestaña
Cuentas - Seleccionar el registro para la aplicación y cuenta correspondiente
- Presionar
Eliminar - Presionar
Guardar
Completo
Hacer que una persona pierda acceso a todas las aplicaciones una por una, es un proceso tedioso y propenso a errores. Es mas sencillo si desactivamos el usuario para que no pueda realizar el ingreso, cuando esto se puede hacer de forma planificada nos aseguramos ademas que dicha persona pueda continuar operando hasta el último minuto que tenga permitido.
Esto lo llevamos adelante via web, accediendo a la operacion Usuarios y básicamente los pasos serían:
- Seleccionar el
usuariode la persona que buscamos - Dirigirse a la pestaña
Control de Acceso - Seleccionar el campo que indica la expiración de la cuenta de usuario (para SIU-Araí)
- Seleccionar la fecha e indicar la hora seleccionada hasta la cual se encontrará habilitada
- Presionar
Guardar
Luego de la fecha y hora indicados, el primer intento de autenticación de la persona generará un error y se bloqueará su usuario.
Tarea de bloqueo
Si no deseamos esperar a que la persona intente por alguno de los mecanismos autenticarse, lo que podemos hacer es ejecutar una tarea desde la consola de comandos del modulo 'idm' para bloquear aquellos usuarios cuya fecha de expiración haya pasado.
Esto se lleva adelante mediante el comando, reemplazando $VERSION por el valor adecuado
docker run --rm -it \
--env-file usuarios.env \
hub.siu.edu.ar:5005/siu-arai/arai-usuarios/idm:$VERSION \
bash -c "idm/bin/toba proyecto bloquear_expirados -p arai_usuarios"
Claves de usuario
Parámetros que controlan el comportamiento
Dentro del archivo config/parameters.yml se encuentran una serie de parametros los cuales controlan el comportamiento del sistema con las claves
| Variable | Valores permitidos |
|---|---|
| SEGURIDAD_ALGORITMO_SALT | Especifica cual sera el salt que se usará previo a hashear la clave |
| SEGURIDAD_ALGORITMO_PASS | Especifica el algoritmo a utilizar para el hasheo de la clave |
| SEGURIDAD_LARGO_PASS | Especifica la cantidad minima de caracteres que debe tener la clave para ser aceptada |
| SEGURIDAD_INFO_PASS | Leyenda que informa cual es el formato esperado para la clave |
| SEGURIDAD_DURACION_DIAS_PASS | Especifica cada cuantos dias será requerido que el usuario cambie su clave, para desactivarlo colocar 0 |
| SEGURIDAD_INTENTOS_ACTIVAR_RECAPTCHA | Especifica cuantos intentos fallidos de login son necesarios para que se pida completar el reCAPTCHA |
| SEGURIDAD_REINICIAR_TIEMPO_RECAPTCHA | Especifica por cuanto tiempo se guarda los intentos de login fallidos para mostrar el reCAPTCHA |
En todos los casos especificados a continuación, el valor del parámetro SEGURIDAD_DURACION_DIAS_PASS será contemplado para calcular la próxima fecha de vencimiento de clave si es mayor que cero.
Olvide mi clave
- Desde la página de login de la aplicación
- Hacer click en '¿Olvidaste tu contraseña?'
- Indicar el correo electrónico con que se registro y resolver el captcha
- Revisar la casilla de mail y seguir las indicaciones brindadas
Cambio via interface del Administrador
Esto lo llevamos a cabo desde la operación de Usuarios dentro de SIU-Araí: Usuarios.
En un dia especifico:
Accediendo a la pestaña
Control de Accesoy especificando la fecha exacta en la que deseamos se solicite el cambio de claveDe manera inmediata:
Desde la pestaña
Datos Generalespresionando el boton "Forzar Cambio de Clave"
En todos los casos, llegado el momento se dispara el envio de un mail el cual guía al usuario durante el proceso de cambio de contraseña. El mismo será dirigido a la dirección de mail especificada para el usuario, por lo cual es importante que dicho dato sea preciso.
Cambio masivo vía consola
Desde la consola de comandos del modulo 'idm' se puede solicitar que se inicialice el cambio de claves de forma masiva, este comando esta relacionado con el parametro password_duracion_dias y de acuerdo al valor del mismo se iniciará el ciclo de vencimientos, a menos que se especifique una cantidad de días, en cuyo caso quedará programado el vencimiento de las claves para dicha fecha.
Esto se lleva adelante mediante el comando, reemplazando $VERSION por el valor adecuado
docker run --rm -it \
--env-file usuarios.env \
hub.siu.edu.ar:5005/siu-arai/arai-usuarios/idm:$VERSION \
bash -c "idm/bin/toba proyecto vencer_passwords -p arai_usuarios [--dias cantidad]"
Obligación de completar el reCAPTCHA
El reCAPTCHA es un mecanismo para proteger el sistema ante ataques de spam y abuso.
Este mecanismo se pone en funcionamiento, cuando un usuario intenta acceder en forma infructuosa más veces que el valor
configurado en SEGURIDAD_INTENTOS_ACTIVAR_RECAPTCHA. Cuando esto sucede, se muestra en la pantalla de login en la forma:
El usuario, entonces, deberá aceptar el captcha e intentar ingresar nuevamente. Si el usuario espera un tiempo en segundos
mayor a SEGURIDAD_REINICIAR_TIEMPO_RECAPTCHA, el control para dicho usuario deja de exigir completar el reCAPTCHA.