CHANGELOG
v3.1.0 - 2021-02-18
General
- Nuevo nivel de seguridad: autenticación por segundo factor (2FA). Flujo de registro inicial por mail y compatible con FreeOTP, Google Authenticator, etc. Por ahora el soporte 2FA está activo por defecto. Futura integración desde Huarpe
- Documentación para actualizar de versión 3.0 a 3.1. Mejora información para manipular el esquema LDAP
- Se renombra la variable de configuración
IDP_CACHE_BACKEND
aCACHE_BACKEND
. Se generaliza a todos los módulos el acceso a caché - Nuevo flujo para realizar la verificación de las cuentas de mail del usuario. El proceso es iniciado por el usuario únicamente. Futura integración desde Huarpe
- Nueva estrategia sobre que vínculo existe entre el mail del usuario y el IDP. En situaciones donde el mail autentica contra el IDP, poder establecer un mail de recuperación de contraseña alternativo. Nueva variable
VINCULACION_MAIL_PPAL
- Documentación para realizar una autenticación unificada entre protocolos SAML y LDAP
- Actualiza algoritmos de claves existentes, eliminando el soporte para hasheo de claves con SHA-1 y MD5 sin salt
- Filtra y excluye caracteres especiales en los campos identificador de un usuario, que causaba inconsistencias
IdP
- Flag para especificar si el IDP se considera un ambiente de producción o no. Nueva variable
IDP_MODO_PRODUCCION
. Se ejecutan controles varios dependiendo de esto para mejorar la seguridad - Se registra en forma automática como confiables los dominios de los SP cargados como aplicaciones, que definan un conector SAML
- Corrige error al iniciar la recuperación de contraseña con un mail que no existe en la base de usuarios
- Replica el template de mail para recuperar contraseña desde el IDM, de modo tal que si el usuario inicia una recuperación de contraseña o lo hace el admin, se generan mail identicos
- Corrige errores en el temlate de login respecto a archivos de traducción o locales
- Al iniciar la sesión, se registra el agente del usuario (cliente web en uso)
IdM
- Si una aplicación NO requiere cuenta, desde la pestaña Cuentas de un usuario NO permite seleccionar dicha aplicación
- Nuevo filtro en ABM Usuarios, permite listar usuarios que sean miembros de un grupo
- Es posible especificar que un usuario, cuenta o aplicación requiere acceso obligado mediante un segundo factor (2FA)
- El administrador puede eliminar un registro de segundo factor (2FA) de un usuario
- Al actualizar la información de un conector SAML de una aplicación, se invalida correctamente la caché de configuración (usada por el IDP)
- Mejoras al comando
proyecto:verificar
para controlar el estado de las dependencias - Mejoras al comando
proyecto:boostrap
, además de actualizar la contraseña del administrador, permite resetear su registro 2FA y opcionalmente cambiar configuración de conexión SAML del IDM - Al establecer un vencimiento de clave, el formulario no permitía eliminarlo
API
- Las versiones de API activas y soportadas son: 1.0 y 2.1
- Nuevo endpoint
/sesiones
para ver el estado de las sesiones de un usuario. Lleva la versión de la API a 2.1. Futura integración desde Huarpe.
v3.0.5 - 2020-12-03
General
- Actualiza documentación
IdM
- Se corrige problema en la importación inicial de usuarios con identificadores repetidos
IdP
- Cuando se vencía la clave del usuario, fallaba el workflow de recuperación que podía seguir el usuario
v3.0.4 - 2020-10-14
General
- Actualiza documentación
API
- Se mejora la actualizacion de clientes en el archivo
parameters.yml
al usaraarai-registry
- Se corrige el endpoint de la version v1 al sincronizar con
arai-registry
IdM
- Se corrige generación del identificador de archivo al cargar una imagen de usuario
- Se corrige mecanismo de migracion de SP de 2.3 a 3.0
- Se agregan templates de integridad referencial en LDAP
- Se elimina la variable de entorno
IDM_USUARIO_TEMPLATE_MAIL
- Se hace relativa al directorio del modulo la ruta al template para mail de cambio de contraseña
- Se visualiza el campo
Nro Empleado
y se ajusta filtro en ABM Usuarios
IdP
- Se expone en la metadata para SPs el formato esperado en varios campos
- Se eliminan llamadas incorrectas en
AraiFirebaseAuth
Core
- Se elimina el parametro
template_mail
de la configuración - Se agrega flag para fallar si el atributo
AppLauncherData
tiene datos incorrectos - Se salva caso donde la no existencia de grupos generaba un fatal error
v3.0.3 - 2020-06-25
API
- El usuario creado no podía autenticarse en el IDP. No creaba el atributo
login
- Al actualizar un atributo del usuario, no fallaba la validación si se mandaba una cadena vacía como valor
IdM
- Asignar una cuenta a un usuario para que acceda a la gestión del IDM, no permitía que el usuario acceda a dicha aplicación. Para corregir usuarios con cuentas existentes, se debe eliminar la cuenta y volver a vincular nuevamente
- Corrige errores en el template y envío de mail para forzar cambio de clave
v3.0.2 - 2020-06-23
General
- Actualiza documentación
- En imagenes Docker mejora configuración de seguridad de Apache por defecto, evitando exponer información sensible
API
- Al recuperar un usuario, mapeaba incorrectamente el campo nombre
IdM
- Edicion de conectores SAML en aplicaciones actualizaba mal por la clave
- Exportar XLS desde listado de logs daba error
- Importar usuarios no creaba las columnas
login
yloginMethod
- Mejora el reporte de logs de sesiones
Core
- Agrega un límite al tamaño de imágenes de usuario y aplicaciones. Nuevas ENV para configurar
v3.0.1 - 2020-06-10
General
- Actualiza documentación y proceso de publicación
IdP
- Personaliza página de error 500 del SimpleSAMLPHP y permite extenderla mediante un theme
- Corrige ruta de de certificados en la imagen Docker
- Corrige ruta de assets en la imagen Docker
IdM
- Fix instalación/actualización manual falla en último paso
- Corrige redirección de API legacy a v1
- Control en cuentas de Aplicaciones, opción permitir acceso a usuarios autenticados sin requerir cuenta o membresía de grupo
Core
- Corrige validación de la política para vencimiento de claves
v3.0.0 - 2020-06-05
General
- Reorganización de toda la plataforma. Se hace independiente el módulo IDP, IDM y API de la plataforma SIU-Araí: Usuarios
- Se sube el requerimiento mínimo de la plataforma a PHP 7.3
- Nuevas imágenes Docker
idp
,idm
yapi
para cada uno de los módulos - Se depreca el soporte a la instalación manual y al uso de SIU-Arai: Registry. En futura versión ya no estarán disponibles
IdP
- Integra el repositorio del módulo Araí de SimpleSAMLPHP junto con los fuentes del IDP
- Soporte al protocolo OpenID Connect 1.0
- Al ingresar, el usuario verá en el menú de aplicaciones todas a las cuales tiene acceso (vía cuenta, grupo o acceso directo)
- Corrige formato del atributo SAML
jpegPhoto
, ahora es el base64 de la imágen. Se adicionajpegPhotoUrl
para dar acceso mediante URL a la imágen de perfil del usuario - Nuevo mecanismo para apliar themes a la pantalla de login, los módulos actuales quedan deprecados aunque funcionales
IdM
- Nuevo comando
toba proyecto agregar_app
para crear una aplicación manualmente - Mejoras visuales mediante el uso de boostrap y reorganización de los atrubutos en ABM's
- Se introduce el registro y seguimiento de versiones, mediante una tabla en la base PostgreSQL
- Nuevos campos en el esquema LDAP, para mejorar la gestión del atributo
uid
y la gestión de campos delogin
, entre otros - Cambio del formato del campo de usuario
uid
, ahora es un campo con valoruuid
. Require migración al actualizar - Opción para configurar que una aplicación se muestre o no en el menú de aplicaciones
- Se permite redireccionar logs del IDM (funcionando en Toba) hacia stdout. Util en ambientes Docker
- Al importar usuarios, si tienen espeficicada la pertenencia a un grupo, este se crea si no existe
- El ABM de grupos ahora filtra el identificador para que no contenga caracteres especiales
- Nuevo comando
instalador proyecto:bootstrap
que permite inicializar la aplicación IDM y la cuenta administrador. Útil en ambientes Docker - Nuevo comando
toba proyecto exportar_usuarios_arai
, para exportar de la base LDAP todos los usuarios y cuentas. Permite luego importarlo en otra instalación - Nuevo comando
instalador migrar:3.0
para realizar la migración de SP's y LDAP en una actualización de la versión2.3
a3.0
API
- Se introduce versionado en la API. La API existente se conoce como
v1
. - Al usar arai-registry, el endpoint de api sigue estando en el IDM y apunta a la
v1
, para mantener BC con clientes existentes - Se introduce la API
v2
. Esta cambia el manejo para manipular usuarios, delidentificador
aluid
. Este uid ahora tiene un formatouuid
- Nuevo recurso en v2 para convertir un
identificador
(de API legacy o v1) a formatouuid
. Útil para migración de datos - Versión actualizada del cliente de API Swagger
- Permite filtrar usuarios por documento en recurso
/usuarios
- Nuevo recurso
/info
que devuelve la versión de la aplicación y de la API - La configuración de API se realiza mediante variables de entorno
Core
- Se modulariza el Core de la plataforma SIU-Araí: Usuarios
- Se instroducen pruebas de integración
v2.3.1 - 2020-06-04
- Al migrar la configuración del IDP, dejaba mal configurado
config/idp.yml
yconfig/sp.yml
- Se desactiva la validación estricta de certificados en el IDM, mediante
verifyPeer=0
v2.3.0 - 2020-01-16
- Normalización del atributo
uid
en el token SAML, nuevo atributodefaultUserAccount
con la cuenta por defecto, de las que figuran enuserAccounts
- Valida intentos fallidos de login, luego de
n
intentos activa verificación de ReCaptcha - Registro en auditoría de intentos de acceso infructuosos, a partir de
n
intentos - Soporte a esquemas varios de caché, en archivo, memoria APC y Memcached. Configurable vía
ARAI_USUARIOS_CACHE_HANDLER
- Permite activar manejo de sesiones en memoria, con Memcached. Configurable vía
ARAI_USUARIOS_SESSION_HANDLER
- Mejoras en la creación de imágenes Docker para producción
- Nuevos comandos para manejar la reconfiguración del proyecto
- Actualización de la versión del instalador y de librerías
- Al importar cuentas vía CLI, no agregaba información de grupos
- Actualización a SimpleSAMLPHP versión 1.18 para solucionar CVE detectados
- Al realizar un login, si el usuario está bloqueado o su clave está vencida, quedan regitros en el log de acceso
- Nuevo archivo de configuración
sp.yml
para alojar específicamente los Service Providers registrados en el IDP - Soporte a generar un alias en el VirtualHost donde publicar los assets de usuarios y aplicaciones
- Migra la configuración del IDP para el template de login y de los SP registrados manualmente
- Corrige la importación y vinculación de cuentas, cuando referencian a una aplicación que se crea a posterior
v2.2.6 - 2019-10-21
- El esquema LDAP 2.2 presentaba un error de formato que provocaba la falla de su carga en OpenLDAP
v2.2.5 - 2019-10-11
- Corrige la validación de atributos numéricos en el recurso
/usuarios/{id}/atributos/{id}
, tanto para POST como DELETE - Corrige error de login introducido en versión
v2.2.4
- Se fija la versión de
onelogin/php-saml
debido a que afectaba a despliegues basados en proxy reversos con SSL Offloading
v2.2.4 - 2019-10-08
- Al importar cuentas vía CLI, no agregaba información de grupos
- Opción para delegación de autenticación en Firebase y bypass de Araí
v2.2.3 - 2019-09-20
- Se corrige error al utilizar salida de logs en
syslog
- Cuando la cuenta estaba vencida y/o su clave, fallaba en mostrar el mensaje de error
- Corrige errores de visualización de caracteres en ABM de usuarios
v2.2.2 - 2019-08-05
- Corrige error en el ABM de Grupos, en la pantalla de vincular usuarios existentes
v2.2.1 - 2019-06-05
- No se permite modificar en producción el perfil funcional "administrador", pues no estaba actualizando el perfil con nuevas operaciones
- Se reorganiza el menú de operaciones
v2.2.0 - 2019-06-03
- Nuevo comando
toba proyecto vencer_passwords
para inicializar vencimiento de passwords (con posible ciclo cada password_duracion_dias) - Se agrega campo en ABM de usuarios para especificar vencimiento de password puntual
- Soporte a Graylog como manejador de logs. Configurable vía
GRAYLOG_XXX
- Nuevos métodos en REST
/aplicaciones
para crear y actualizar aplicaciones - Se modifica el código de respuesta para errores de carga de imágenes en
/usuarios
y/aplicaciones
- Nuevo atributo en token SAML denominado
token
, permite identificar a posteriori un usuario - Nuevo atributo en ABM de usuarios y disponible en token SAML como vía api REST, denominado
cuit
y permite registrar el número de CUIL/CUIT - Nuevo recurso REST
/sesion-info
que permite consultar información asociada a un token de sesión proveniente de un token SAML - Arai-Usuarios ahora configura la url del perfil del usuario a partir de la URL provista por SIU-Huarpe al momento de registrarse en Arai-Registry
- Es posible filtrar por aplicaciones en el listado de usuarios. Permite identificar que usuarios poseen cuenta de acceso a una aplicación determinada
- Se corrige conversión de encoding en la interacción de api REST, mediante funciones Toba
v2.1.4 - 2019-05-27
- Se corrige el formato de respuesta del recurso REST
/usuarios/{identificador}/cuentas
para el método POST, se marcan como deprecados algunos atributos
v2.1.3 - 2019-02-06
- Se corrige proceso de actualización de versión, aplicaba incorrectamente el SQL
- No migraba configuraciones de
templates
ni las entradascustom
de los SP registrados de forma manual
v2.1.2 - 2019-01-29
- Se corrige error en el proceso de forzar cambio de clave
v2.1.1 - 2019-01-04
- Se corrige migración de assets (imágenes de usuarios y aplicaciones)
- Actualiza documentación para realizar la actualización
- Controla que la URL de los assets no coincida con la del IDP, al ser distinta a la de Araí-Usuarios
- Actualización de seguridad para SimpleSAMLPHP