CHANGELOG
v3.2.2 - 2023-10-02
API
- Se ajusta el comportamiento respecto del mail alternativo para recuperación de contraseña, compatibilizando con el comportamiento del IDM
- Se eleva la versión de API a
v2.3
IdP
- Se producía un error que no permitía registrar el log de acceso de aplicaciones que no utilizan el atributo SAML
RelayState
IdM
- Las cuentas de email muestran un ícono que permite ver el estado de la cuenta (si el usuario pudo realizar el proceso de verificación de que posee control de dicha cuenta)
- Se ajusta comportamiento del indicador del uso de un mismo mail para la recuperación de contraseña
v3.2.1 - 2023-06-01
API
- Agrega configuración para la lectura de variable de entorno
IDP_URL_PERFIL
- Se ajusta el valor por defecto cuando la variable
IDP_SESSION_DURACION
no esta seteada o tiene un valor erroneo
IdP
- Se corrige comportamiento cuando la variable
IDP_SESSION_DURACION
no esta seteada o tiene un valor erroneo - Se corrige comportamiento cuando la etiqueta de la aplicacion posee acentos
IdM
- La actualización del usuario no validaba correctamente el uso de mail repetidos
- Se corrige typo en leyenda de menú
- Se ajusta comportamiento de edición del sello por defecto en ABM de Usuarios
- Se ajusta redireccion del boton "Mi Cuenta"
- Se ajusta comportamiento de la solapa "Persona" en ABM de Usuarios
v3.2.0 - 2023-01-05
General
- Optimiza hidratación innecesaria de atributos del usuario en diferentes puntos
- Soporte a PHP 7.4. Actualización de imagenes docker a la version de PHP compatible
- Se modifica el valor por defecto del tamaño maximo de imagenes de usuario, ajustable mediante
IMAGE_MAX_SIZE_USUARIO
. - Se permite configurar la expresión regular que valida el formato de la password mediante la variable
SEGURIDAD_CHECK_PASS
- Permite autenticar contra LDAP mediante
Bind
y el algoritmoBcrypt
API
- Se limita con el usuario indicado las consultas a recursos
v2/sesiones
yv2/sesiones/{uid}/accesos
- Devuelve error correcto en endpoint que valida el cambio de password cuando esta ya fué utilizada
- Corrige validación de token en endpoint
v2/sesion-info
IdP
- En el token SAML se agrega el atributo
idPersona
que contiene el UID de arai-personas - No recuperaba bien el token generado por sesión (uuid, para acceso vía API), que se envía en el atributo
token
de SAML. - Se permite configurar la duración de la sesión del IDM con la variable
IDP_SESSION_DURACION
- Si hay problemas al leer una imagen del usuario, producía un error en el log del IDP
IdM
- Se identifica en forma explícita la aplicación que opera como IDM
- Corrige inconsistencias en ABM usuarios al crear o editar uno, cuando se producen validaciones varias
- Agrega comandos para inicializar/actualizar la base de Arai-Personas
- Agrega pestaña para gestionar la
Persona
y susSellos
en la operaciónUsuarios
- Corrige la visualización de la pestaña
Segundo Factor
en la creación de un usuario
v3.1.13 - 2023-02-14
IdM
- La actualización del usuario no validaba correctamente el uso de mail repetidos
- Se corrige typo en leyenda de menú
v3.1.12 - 2022-08-11
IdM
- El registro de accesos ahora obtiene la fecha desde el servidor del aplicativo, anteriormente se utilizaba el motor de base de datos por lo que se podían producir discrepancias en caso de tener configurados distintos husos horarios.
API
- Se corrige bug de ordenamiento en endpoint
v1/usuario
yv2/usuario
. - Se agrega filtro
bloqueado
para seleccionar un grupo específico en endpointsv1/usuario
yv2/usuario
. - Se eleva la version de API a
v1.1
yv2.2
respectivamente
Core
- Se corrige bug de ordenamiento en el driver para LDAP
IdM
- Importar usuarios ahora puede usar
employeeNumber
como criterio de comparación
v3.1.11 - 2022-07-18
IdM
- Corrige validación del tamaño de imágen de aplicación
- Corrige bug al cambiar de página en ABM de usuarios y aplicar un filtro, no mostraba resultados esperados
IdP
- No mostraba correctamente el mensaje de error en login si la conexión LDAP fallaba
v3.1.10 - 2022-05-22
IdP
- Se corrige el procesamiento de configuración para templates de login legacy
IdM
- Se corrige la importación de cuentas de usuario sin aplicación asignada
v3.1.9 - 2022-04-22
IdP
- El mecanismo de carga de templates de login legacy debe ser opcional
v3.1.8 - 2022-04-07
General
- Corrige documentacion de personalización de login.
IdM
- Corrige discrepancias de texto (encoding) en dashboard de inicio
- Corrige bug en ABM de Grupos
IdP
- Se restaura mecanismo de carga de templates de login via templates-login.yml
v3.1.7 - 2022-02-14
IdM
- Corrige discrepancias de texto en mail de recuperación de clave respecto del IdP.
- Corrige importador vía cli de sp.yml (para migrar de 2.x a 3.x)
API
- Mejora performance en endpoint
v1/aplicaciones/{identificador}/cuentas
para no generar timeout. - Suma límite y paginación de resultados a endpoints GET
/aplicaciones
,/usuarios
,/grupos
y/sesiones
. - Corrige bug que no recuperaba correctamente los atributos extendidos en el endpoint
v2/usuarios
v3.1.6 - 2021-12-20
IdM
- Al resetear la clave del usuario administrador via cli, se elimina el vto de clave
- Al importar usuarios via cli, si el mail principal es inválido se descarta al ignoreList
IdP
- Se agrega mensaje de error faltante para el caso del usuario bloqueado
v3.1.5 - 2021-12-14
IdM
- Al importar usuarios via cli, duplicaban las personas ante la re-importación con el uso de modificadores especificos
- Al importar usuarios via cli, no se separaban correctamente las cuentas de mail y generaba un error
- Al editar las cuentas del usuario, generaba un error si no se encontraba la aplicacion del IDM
v3.1.4 - 2021-06-16
IdM
- Al editar el perfil del usuario, se desactiva validación de obligatorio al mostrar atributos extra que no permitía su edición
IdP
- Corrige pantalla de login que mostraba un mensaje de texto que no corresponde
- Agrega la publicación de un
AttributeNameID
en formatounspecified
para integrar aplicaciones tipo basadas en Pentaho
v3.1.3 - 2021-05-10
IdM
- Se reemplaza sanitización automática del
identificador
de usuario por validación en ABM usuarios. - Se reemplaza sanitización automática del
identificador
de usuario por validación en importación de usuarios.
API
- Se corrige documentación en endpoint
vX/usuario/{identificador}/cuentas
- Se corrige bug en endpoint
v1/usuario/{identificador}/cuentas
con identificador numérico. - Se reemplaza sanitización automática del
identificador
de usuario por validación y correspondiente error en API/v2.
Core
- Se crea metodo para validar los caracteres presentes en el
identificador
de usuario.
v3.1.2 - 2021-04-07
General
- Se corrige problema en migración v2.3 a v3.x de la base Toba
IdM
- Se salva caso de importación de usuarios con mail inválido
IdP
- Se corrige problema con mensaje de error al intentar loguear sin especificar usuario
- Soporte para configurar conexión al exterior vía proxy mediante
HTTP_PROXY
yHTTPS_PROXY
en consumo de reCAPTCHA
Core
- Soporta reCAPTCHA detrás de un proxy HTTP
- Agrega mensaje informativo cuando no se encuentra seteada
IDM_FORMATO_UID
v3.1.1 - 2021-03-11
IdM
- Se corrige faltante de actualizacion de vto de clave al modificarla desde el IDM
API
- Se corrige faltante de actualizacion de vto de clave al modificar un usuario desde la API v1 y v2
IDP
- El token SAML expone valores de atributos
tipoDocumento
ynumeroDocumento
v3.1.0 - 2021-02-18
General
- Nuevo nivel de seguridad: autenticación por segundo factor (2FA). Flujo de registro inicial por mail y compatible con FreeOTP, Google Authenticator, etc. Por ahora el soporte 2FA está activo por defecto. Futura integración desde Huarpe
- Documentación para actualizar de versión 3.0 a 3.1. Mejora información para manipular el esquema LDAP
- Se renombra la variable de configuración
IDP_CACHE_BACKEND
aCACHE_BACKEND
. Se generaliza a todos los módulos el acceso a caché - Nuevo flujo para realizar la verificación de las cuentas de mail del usuario. El proceso es iniciado por el usuario únicamente. Futura integración desde Huarpe
- Nueva estrategia sobre que vínculo existe entre el mail del usuario y el IDP. En situaciones donde el mail autentica contra el IDP, poder establecer un mail de recuperación de contraseña alternativo. Nueva variable
VINCULACION_MAIL_PPAL
- Documentación para realizar una autenticación unificada entre protocolos SAML y LDAP
- Actualiza algoritmos de claves existentes, eliminando el soporte para hasheo de claves con SHA-1 y MD5 sin salt
- Filtra y excluye caracteres especiales en los campos identificador de un usuario, que causaba inconsistencias
IdP
- Flag para especificar si el IDP se considera un ambiente de producción o no. Nueva variable
IDP_MODO_PRODUCCION
. Se ejecutan controles varios dependiendo de esto para mejorar la seguridad - Se registra en forma automática como confiables los dominios de los SP cargados como aplicaciones, que definan un conector SAML
- Corrige error al iniciar la recuperación de contraseña con un mail que no existe en la base de usuarios
- Replica el template de mail para recuperar contraseña desde el IDM, de modo tal que si el usuario inicia una recuperación de contraseña o lo hace el admin, se generan mail identicos
- Corrige errores en el temlate de login respecto a archivos de traducción o locales
- Al iniciar la sesión, se registra el agente del usuario (cliente web en uso)
IdM
- Si una aplicación NO requiere cuenta, desde la pestaña Cuentas de un usuario NO permite seleccionar dicha aplicación
- Nuevo filtro en ABM Usuarios, permite listar usuarios que sean miembros de un grupo
- Es posible especificar que un usuario, cuenta o aplicación requiere acceso obligado mediante un segundo factor (2FA)
- El administrador puede eliminar un registro de segundo factor (2FA) de un usuario
- Al actualizar la información de un conector SAML de una aplicación, se invalida correctamente la caché de configuración (usada por el IDP)
- Mejoras al comando
proyecto:verificar
para controlar el estado de las dependencias - Mejoras al comando
proyecto:boostrap
, además de actualizar la contraseña del administrador, permite resetear su registro 2FA y opcionalmente cambiar configuración de conexión SAML del IDM - Al establecer un vencimiento de clave, el formulario no permitía eliminarlo
API
- Las versiones de API activas y soportadas son: 1.0 y 2.1
- Nuevo endpoint
/sesiones
para ver el estado de las sesiones de un usuario. Lleva la versión de la API a 2.1. Futura integración desde Huarpe.
v3.0.11 - 2021-04-27
IdP
- Soporte para configurar conexión al exterior vía proxy mediante
HTTP_PROXY
yHTTPS_PROXY
en consumo de reCAPTCHA
v3.0.10 - 2021-04-14
API
- Corrige problema al eliminar una cuenta de usuario en
v1
v3.0.9 - 2021-04-05
Core
- Deshace cambio que afectaba la visualización del lanzador de aplicaciones
v3.0.8 - 2021-03-29
General
- Se corrige problema en migración v2.3 a v3.x de la base Toba
IdP
- Se corrige problema con mensaje de error al intentar loguear sin especificar usuario
Core
- Se corrige problema que derivaba en visualización incorrecta del lanzador de aplicaciones
v3.0.7 - 2021-03-08
IdM
- Se corrige faltante de actualizacion de vto de clave al modificarla desde el IDM
API
- Se corrige faltante de actualizacion de vto de clave al modificar un usuario desde la API v1 y v2
IDP
- El token SAML expone valores de atributos
tipoDocumento
ynumeroDocumento
v3.0.6 - 2021-03-01
General
- Actualiza documentación
IdM
- Se corrige problema en creación del usuario admin sin especificar password
IdP
- Se actualiza
AraiFirebaseAuth
según cambios internos enAraiAuth
Core
- Se evita agregar configuracion de SP's cuya configuración no posee un JSON correcto
v3.0.5 - 2020-12-03
General
- Actualiza documentación
IdM
- Se corrige problema en la importación inicial de usuarios con identificadores repetidos
IdP
- Cuando se vencía la clave del usuario, fallaba el workflow de recuperación que podía seguir el usuario
v3.0.4 - 2020-10-14
General
- Actualiza documentación
API
- Se mejora la actualizacion de clientes en el archivo
parameters.yml
al usaraarai-registry
- Se corrige el endpoint de la version v1 al sincronizar con
arai-registry
IdM
- Se corrige generación del identificador de archivo al cargar una imagen de usuario
- Se corrige mecanismo de migracion de SP de 2.3 a 3.0
- Se agregan templates de integridad referencial en LDAP
- Se elimina la variable de entorno
IDM_USUARIO_TEMPLATE_MAIL
- Se hace relativa al directorio del modulo la ruta al template para mail de cambio de contraseña
- Se visualiza el campo
Nro Empleado
y se ajusta filtro en ABM Usuarios
IdP
- Se expone en la metadata para SPs el formato esperado en varios campos
- Se eliminan llamadas incorrectas en
AraiFirebaseAuth
Core
- Se elimina el parametro
template_mail
de la configuración - Se agrega flag para fallar si el atributo
AppLauncherData
tiene datos incorrectos - Se salva caso donde la no existencia de grupos generaba un fatal error
v3.0.3 - 2020-06-25
API
- El usuario creado no podía autenticarse en el IDP. No creaba el atributo
login
- Al actualizar un atributo del usuario, no fallaba la validación si se mandaba una cadena vacía como valor
IdM
- Asignar una cuenta a un usuario para que acceda a la gestión del IDM, no permitía que el usuario acceda a dicha aplicación. Para corregir usuarios con cuentas existentes, se debe eliminar la cuenta y volver a vincular nuevamente
- Corrige errores en el template y envío de mail para forzar cambio de clave
v3.0.2 - 2020-06-23
General
- Actualiza documentación
- En imagenes Docker mejora configuración de seguridad de Apache por defecto, evitando exponer información sensible
API
- Al recuperar un usuario, mapeaba incorrectamente el campo nombre
IdM
- Edicion de conectores SAML en aplicaciones actualizaba mal por la clave
- Exportar XLS desde listado de logs daba error
- Importar usuarios no creaba las columnas
login
yloginMethod
- Mejora el reporte de logs de sesiones
Core
- Agrega un límite al tamaño de imágenes de usuario y aplicaciones. Nuevas ENV para configurar
v3.0.1 - 2020-06-10
General
- Actualiza documentación y proceso de publicación
IdP
- Personaliza página de error 500 del SimpleSAMLPHP y permite extenderla mediante un theme
- Corrige ruta de de certificados en la imagen Docker
- Corrige ruta de assets en la imagen Docker
IdM
- Fix instalación/actualización manual falla en último paso
- Corrige redirección de API legacy a v1
- Control en cuentas de Aplicaciones, opción permitir acceso a usuarios autenticados sin requerir cuenta o membresía de grupo
Core
- Corrige validación de la política para vencimiento de claves
v3.0.0 - 2020-06-05
General
- Reorganización de toda la plataforma. Se hace independiente el módulo IDP, IDM y API de la plataforma SIU-Araí: Usuarios
- Se sube el requerimiento mínimo de la plataforma a PHP 7.3
- Nuevas imágenes Docker
idp
,idm
yapi
para cada uno de los módulos - Se depreca el soporte a la instalación manual y al uso de SIU-Arai: Registry. En futura versión ya no estarán disponibles
IdP
- Integra el repositorio del módulo Araí de SimpleSAMLPHP junto con los fuentes del IDP
- Soporte al protocolo OpenID Connect 1.0
- Al ingresar, el usuario verá en el menú de aplicaciones todas a las cuales tiene acceso (vía cuenta, grupo o acceso directo)
- Corrige formato del atributo SAML
jpegPhoto
, ahora es el base64 de la imágen. Se adicionajpegPhotoUrl
para dar acceso mediante URL a la imágen de perfil del usuario - Nuevo mecanismo para apliar themes a la pantalla de login, los módulos actuales quedan deprecados aunque funcionales
IdM
- Nuevo comando
toba proyecto agregar_app
para crear una aplicación manualmente - Mejoras visuales mediante el uso de boostrap y reorganización de los atrubutos en ABM's
- Se introduce el registro y seguimiento de versiones, mediante una tabla en la base PostgreSQL
- Nuevos campos en el esquema LDAP, para mejorar la gestión del atributo
uid
y la gestión de campos delogin
, entre otros - Cambio del formato del campo de usuario
uid
, ahora es un campo con valoruuid
. Require migración al actualizar - Opción para configurar que una aplicación se muestre o no en el menú de aplicaciones
- Se permite redireccionar logs del IDM (funcionando en Toba) hacia stdout. Util en ambientes Docker
- Al importar usuarios, si tienen espeficicada la pertenencia a un grupo, este se crea si no existe
- El ABM de grupos ahora filtra el identificador para que no contenga caracteres especiales
- Nuevo comando
instalador proyecto:bootstrap
que permite inicializar la aplicación IDM y la cuenta administrador. Útil en ambientes Docker - Nuevo comando
toba proyecto exportar_usuarios_arai
, para exportar de la base LDAP todos los usuarios y cuentas. Permite luego importarlo en otra instalación - Nuevo comando
instalador migrar:3.0
para realizar la migración de SP's y LDAP en una actualización de la versión2.3
a3.0
API
- Se introduce versionado en la API. La API existente se conoce como
v1
. - Al usar arai-registry, el endpoint de api sigue estando en el IDM y apunta a la
v1
, para mantener BC con clientes existentes - Se introduce la API
v2
. Esta cambia el manejo para manipular usuarios, delidentificador
aluid
. Este uid ahora tiene un formatouuid
- Nuevo recurso en v2 para convertir un
identificador
(de API legacy o v1) a formatouuid
. Útil para migración de datos - Versión actualizada del cliente de API Swagger
- Permite filtrar usuarios por documento en recurso
/usuarios
- Nuevo recurso
/info
que devuelve la versión de la aplicación y de la API - La configuración de API se realiza mediante variables de entorno
Core
- Se modulariza el Core de la plataforma SIU-Araí: Usuarios
- Se instroducen pruebas de integración
v2.3.1 - 2020-06-04
- Al migrar la configuración del IDP, dejaba mal configurado
config/idp.yml
yconfig/sp.yml
- Se desactiva la validación estricta de certificados en el IDM, mediante
verifyPeer=0
v2.3.0 - 2020-01-16
- Normalización del atributo
uid
en el token SAML, nuevo atributodefaultUserAccount
con la cuenta por defecto, de las que figuran enuserAccounts
- Valida intentos fallidos de login, luego de
n
intentos activa verificación de ReCaptcha - Registro en auditoría de intentos de acceso infructuosos, a partir de
n
intentos - Soporte a esquemas varios de caché, en archivo, memoria APC y Memcached. Configurable vía
ARAI_USUARIOS_CACHE_HANDLER
- Permite activar manejo de sesiones en memoria, con Memcached. Configurable vía
ARAI_USUARIOS_SESSION_HANDLER
- Mejoras en la creación de imágenes Docker para producción
- Nuevos comandos para manejar la reconfiguración del proyecto
- Actualización de la versión del instalador y de librerías
- Al importar cuentas vía CLI, no agregaba información de grupos
- Actualización a SimpleSAMLPHP versión 1.18 para solucionar CVE detectados
- Al realizar un login, si el usuario está bloqueado o su clave está vencida, quedan regitros en el log de acceso
- Nuevo archivo de configuración
sp.yml
para alojar específicamente los Service Providers registrados en el IDP - Soporte a generar un alias en el VirtualHost donde publicar los assets de usuarios y aplicaciones
- Migra la configuración del IDP para el template de login y de los SP registrados manualmente
- Corrige la importación y vinculación de cuentas, cuando referencian a una aplicación que se crea a posterior
v2.2.6 - 2019-10-21
- El esquema LDAP 2.2 presentaba un error de formato que provocaba la falla de su carga en OpenLDAP
v2.2.5 - 2019-10-11
- Corrige la validación de atributos numéricos en el recurso
/usuarios/{id}/atributos/{id}
, tanto para POST como DELETE - Corrige error de login introducido en versión
v2.2.4
- Se fija la versión de
onelogin/php-saml
debido a que afectaba a despliegues basados en proxy reversos con SSL Offloading
v2.2.4 - 2019-10-08
- Al importar cuentas vía CLI, no agregaba información de grupos
- Opción para delegación de autenticación en Firebase y bypass de Araí
v2.2.3 - 2019-09-20
- Se corrige error al utilizar salida de logs en
syslog
- Cuando la cuenta estaba vencida y/o su clave, fallaba en mostrar el mensaje de error
- Corrige errores de visualización de caracteres en ABM de usuarios
v2.2.2 - 2019-08-05
- Corrige error en el ABM de Grupos, en la pantalla de vincular usuarios existentes
v2.2.1 - 2019-06-05
- No se permite modificar en producción el perfil funcional "administrador", pues no estaba actualizando el perfil con nuevas operaciones
- Se reorganiza el menú de operaciones
v2.2.0 - 2019-06-03
- Nuevo comando
toba proyecto vencer_passwords
para inicializar vencimiento de passwords (con posible ciclo cada password_duracion_dias) - Se agrega campo en ABM de usuarios para especificar vencimiento de password puntual
- Soporte a Graylog como manejador de logs. Configurable vía
GRAYLOG_XXX
- Nuevos métodos en REST
/aplicaciones
para crear y actualizar aplicaciones - Se modifica el código de respuesta para errores de carga de imágenes en
/usuarios
y/aplicaciones
- Nuevo atributo en token SAML denominado
token
, permite identificar a posteriori un usuario - Nuevo atributo en ABM de usuarios y disponible en token SAML como vía api REST, denominado
cuit
y permite registrar el número de CUIL/CUIT - Nuevo recurso REST
/sesion-info
que permite consultar información asociada a un token de sesión proveniente de un token SAML - Arai-Usuarios ahora configura la url del perfil del usuario a partir de la URL provista por SIU-Huarpe al momento de registrarse en Arai-Registry
- Es posible filtrar por aplicaciones en el listado de usuarios. Permite identificar que usuarios poseen cuenta de acceso a una aplicación determinada
- Se corrige conversión de encoding en la interacción de api REST, mediante funciones Toba
v2.1.4 - 2019-05-27
- Se corrige el formato de respuesta del recurso REST
/usuarios/{identificador}/cuentas
para el método POST, se marcan como deprecados algunos atributos
v2.1.3 - 2019-02-06
- Se corrige proceso de actualización de versión, aplicaba incorrectamente el SQL
- No migraba configuraciones de
templates
ni las entradascustom
de los SP registrados de forma manual
v2.1.2 - 2019-01-29
- Se corrige error en el proceso de forzar cambio de clave
v2.1.1 - 2019-01-04
- Se corrige migración de assets (imágenes de usuarios y aplicaciones)
- Actualiza documentación para realizar la actualización
- Controla que la URL de los assets no coincida con la del IDP, al ser distinta a la de Araí-Usuarios
- Actualización de seguridad para SimpleSAMLPHP