Segundo Factor de Autenticación
Una de las problemáticas mas recurrentes a la hora de asegurar la autenticación de un usuario, involucra asegurar que la persona que accede es quien dice ser y no alguien que esta impersonándola porque robo sus datos.
Para proteger sistemas sensibles es factible requerir un segundo factor de autenticación, de manera que la persona deba ingresar al momento de acceder no solo su usuario y contraseña, sino un código externo provisto por un dispositivo externo a la aplicación.
Consideraciones iniciales
Es necesario contar con una instalación de SIU-Araí: Usuarios en la versión 3.1.
Es necesario que los usuarios posean el mail principal registrado en SIU-Araí: Usuarios y que puedan acceder libremente al mismo.
Es necesario que los usuarios cuenten con un dispositivo físico que pueda generar códigos de verificación a partir del escaneo de un codigo QR.
Flujo de Segundo Factor
Durante el procedimiento de login, se verificará si el usuario puede proseguir normalmente o si es necesario que el mismo ingrese un segundo factor de autenticación.
En dicha situación si el usuario ya posee un dispositivo registrado para el caso, se redirigirá automáticamente al mismo para solicitar el código, el cual sólo permitirá el acceso luego de ser confirmado exitosamente.
Si no existiere dispositivo registrado para el usuario, el mismo será derivado al procedimiento de registro haciendo uso de su mail principal para iniciar el mismo.
Cuando se accede al mail de registro dicho link llevará al usuario hasta una pantalla, donde se le solicitará un identificador para el dispositivo a registrar de manera que pueda distinguirlo de otros que tenga registrado previamente.
Al avanzar se visualizará una imagen de un codigo QR la cual sirve para trasladar la configuración de generación de códigos hacia el dispositivo físico del cliente, con el cual deberá escanear la imagen y una vez tenga registrada correctamente la información necesaria proceder a la siguiente pantalla.
Luego de registrado exitosamente el dispositivo, el usuario se encuentra en condiciones de acceder efectivamente a la aplicación navegando nuevamente hacia su URL y completando el código cuando le sea solicitado.
Requiriendo el Segundo Factor de Autenticación
Dentro de SIU-Araí: Usuarios existen al momento tres maneras (incluyentes) en las que se puede configurar para solicitar un segundo factor a un usuario, estas son:
- A nivel de aplicación específica
- A nivel de cuenta en una aplicación específica
- A nivel de usuario
Esto nos brinda una gran flexibilidad para corroborar el acceso a lugares sensibles que requieren mayor grado de certitud.
Protegiendo la aplicación
Supongamos que tenemos una aplicación muy sensible la cual requiere que todas las personas que se autentiquen en la misma tengan una segunda verificación para prevenir el mal uso de los datos.
Dentro de SIU-Araí: Usuarios entonces, nos dirigimos a la operación de Aplicaciones y seleccionamos aquella en que deseamos requerir un segundo factor.
Una vez seleccionada la aplicación, marcamos el campo Requiere Segundo Factor y presionamos Guardar.
El próximo usuario que autentique para acceder a la aplicación ingresara automáticamente en el flujo de segundo factor.
Protegiendo la cuenta
En algunos casos no deseamos restringir a todos los usuarios de una aplicación, sino que necesitamos que ciertos usuarios puntuales que poseen un nivel de permisos con acceso a operaciónes sumamente delicadas tengan un segundo factor, en dicho caso realizamos lo siguiente:
Nos dirigimos hacia la operación Usuarios y seleccionamos la persona cuya cuenta deseamos proteger, luego nos dirigimos hacia la pestaña Cuentas y elegimos la aplicación sobre la cual deseamos que se solicite el segundo factor.
Marcamos entonces el checkbox correspondiente y luego presionamos Modificar y Guardar.
En el próximo pedido de autenticación para acceder a la aplicación el usuario ingresará automáticamente en el flujo de segundo factor.
Protegiendo el usuario
Finalmente, existe el caso de los usuarios administradores o con un nivel de responsabilidad tal que es necesario que cuenten con una protección extra en todos sus ingresos. En dicho caso, configuramos el pedido de segundo factor directamente en la persona.
Nos dirigimos entonces hacia la operación Usuarios y seleccionamos la persona que deseamos proteger en todos sus intentos de login, dentro de la pestaña Perfil marcamos entonces el checkbox correspondiente.
En el próximo pedido de autenticación el usuario ingresará automáticamente en el flujo de segundo factor.
¿Que sucede si el usuario administrador pierde su Segundo Factor?
En dicho caso se deberá hacer uso del procedimiento para modificar la contraseña del usuario administrador, el cual eliminará el segundo factor activo al realizar el cambio. Luego podra registrar un nuevo dispositivo para generar su Segundo Factor.
Registrando el dispositivo
Como mencionamos anteriormente, una vez se encuentra configurado el requerimiento de segundo factor el flujo para el mismo se iniciará durante el próximo pedido de autenticación del usuario, ya sea que el mismo se encuentre logueado o no.
La primera vez se necesita registrar un dispositivo fisico con el cual realizar la generación de los códigos, por lo tanto lo primero que se verá luego de autenticarse será una pantalla informativa explicando cuales son los pasos que se llevarán a cabo.
Luego de haber entendido cuales son los pasos a realizar, el usuario se confrontará con una pantalla en la cual se le indica a que cuenta de mail específicamente se envío el pedido de registro del dispositivo.
Es necesario que dicha cuenta de mail sea de acceso libre, ya que de estar su acceso restringido por la autenticación de SIU-Araí: Usuarios se generaría una imposibilidad de registro del dispositivo y por tanto de acceso.
Al clickear en el link enviado, el usuario será llevado a una pantalla donde se le solicitará una descripción para el dispositivo de forma que fácilmente pueda identificar a que organismo pertenece dicha configuración, esto en caso de que use un mismo dispositivo para generar códigos para diversas organizaciones.
Habiendo ingresado un identificador, se presenta la siguiente pantalla donde se encuentra la imagen con el codigo QR que debe ser escaneado para configurar adecuadamente el dispositivo fisico.
Es necesario verificar que el generador de códigos aceptó correctamente la configuración antes de pasar a la pestaña siguiente, de no hacerlo se recomienda utilizar una app compatible con Google Authenticator.. ya que una vez presentada la imagen la configuración se encuentra activa para el usuario y le será requerido ingresar el código luego de autenticarse, ya sea que su dispositivo haya quedado correctamente configurado o no.
Finalmente luego de ello, se le informa al usuario cuales son las condiciones en las cuales se trabajará con el segundo factor.
Usando el Segundo Factor
Ya completado el paso de registro del dispositivo físico, el usuario en cuestión ingresará con sus datos de autenticación básicos. Si el segundo factor está establecido para su usuario/cuenta/aplicación, será interpelado para que ingrese el código del segundo factor, hasta que el mismo no sea verificado no se considerará completada la etapa de login del usuario y por tanto no se le permitirá acceder a la aplicación en cuestión.
Como los códigos son válidos por un período de tiempo relativamente corto, es necesario que la demora entre la apertura del generador de códigos y el ingreso de la información sea mínimo, de lo contrario el dato ingresado no será considerado válido y se le solicitará uno nuevo.
Cabe destacar que según la metodología de configuración elegida por el administrador de SIU-Araí: Usuarios para el segundo factor, el mismo será requerido para todas las aplicaciones, para algunas o solo para una cuenta especifica en una aplicación.
Eliminando un Segundo Factor
Supongamos que el usuario pierde su dispositivo o no pudo configurarlo correctamente y por ende se quedo sin acceso, en dicho caso puede recurrir al usuario administrador para que le sea revocado el segundo factor de autenticación y pueda de esa forma generar uno nuevo.
Para ello, el usuario administrador deberá dirigirse a la operación de Usuarios y seleccionar a la persona en cuestión.
Luego se dirige a la pestaña Segundo Factor y procederá a anular el dispositivo activo tal como muestra la imagen.
Una vez completado este paso, el usuario volverá al primer punto del flujo de segundo factor debiendo generar una nueva configuración y trasladándola hacia su nuevo dispositivo.