Diferencia entre revisiones de «SIU-Arai/usuarios»

De SIU
Saltar a: navegación, buscar
m
m
Línea 8: Línea 8:
 
La siguiente imagen resume el conjunto componentes, su integración e interacción en la plataforma:
 
La siguiente imagen resume el conjunto componentes, su integración e interacción en la plataforma:
  
[[Archivo:Usuarios.png|no|miniaturadeimagen|716x716px]]
+
[[Archivo:Usuarios.png|no|miniaturadeimagen|716x716px|Componentes que integran '''SIU-Araí: Usuarios''']]
 
=== Componentes ===
 
=== Componentes ===
 
Arai-Usuarios ofrece diferentes componentes:
 
Arai-Usuarios ofrece diferentes componentes:
Línea 21: Línea 21:
 
* Una Base de datos común de Usuarios, con scripts y utilidades para integrar aplicaciones existentes.
 
* Una Base de datos común de Usuarios, con scripts y utilidades para integrar aplicaciones existentes.
 
== Autenticación centralizada vía Protocolo SAML ==
 
== Autenticación centralizada vía Protocolo SAML ==
El protocolo SAML es el estándar utilizado para realizar la integración de login entre las distintas aplicaciones. Es lo que nos permite implementar '''Single Sign-On''' y '''Single Logout'''.   
+
El protocolo ''SAML'' es el estándar utilizado para realizar la integración de login entre las distintas aplicaciones. Es lo que nos permite implementar '''Single Sign-On''' y '''Single Logout'''.   
  
[[Archivo:Saml.png|no|miniaturadeimagen|800x800px]]
+
[[Archivo:Saml.png|no|miniaturadeimagen|800x800px|Flujo de autenticación basado en el protocolo SAML]]
  
 
En la imagen se observa los pasos que se producen normalmente para el login:
 
En la imagen se observa los pasos que se producen normalmente para el login:
# el usuario accede a una aplicación desde el navegador(que se lo conoce como Service Provider o SP)
+
# el usuario accede a una aplicación desde el navegador(que se lo conoce como ''Service Provider'' o ''SP'')
# el SP redirige hacia el IdP con un token SAML para autenticarse
+
# el ''SP'' redirige hacia el ''IdP'' con un token ''SAML'' para autenticarse
# el IdP vailda el token SAML y como no existe, lo redirige al usuario a un formulario donde ingresar sus credenciales
+
# el ''IdP'' vailda el token SAML y como no existe, lo redirige al usuario a un formulario donde ingresar sus credenciales
# el Idp redirige al usuario al SP con el nuevo token SAML
+
# el ''Idp'' redirige al usuario al SP con el nuevo token ''SAML''
# el SP regresa al usuario con los resultados del acceso al recurso (la página web)
+
# el ''SP'' regresa al usuario con los resultados del acceso al recurso (la página web)
Una vez que exista un token válido, el usuario puede ingresar a cualquier aplicación o SP registrada en la plataforma SIU-Araí. Este intento de acceso tomará el token SAML, lo validará y si está vigente simplemente el usuario tendrá acceso instantaneo a dicho SP.
+
Beneficios del uso de un protocolo de Single Sign-On, una vez que exista un token SAML válido
 
+
* el usuario puede ingresar a cualquier aplicación o ''SP'' registrada en la plataforma SIU-Araí, sin pasar por el login. Este intento de acceso tomará el token ''SAML'', lo validará y si está vigente simplemente el usuario tendrá acceso instantaneo a dicho ''SP''.
Una característica es que, al cerrar sesión el usuario, se invalida el token SAML en el IdP. Sucesivos intentos de ingreso con dicho token provocará que nos envíe al usuario a la página de login.
+
* al cerrar sesión por acción del usuario o por expiración del tiempo de duración, se invalida el token ''SAML'' en el ''IdP''. Sucesivos intentos de ingreso con dicho token provocará que nos envíe al usuario a la página de login.
  
 
== Guias prácticas de uso ==
 
== Guias prácticas de uso ==

Revisión del 15:14 18 abr 2018

Siu-arai iso.png

SIU-Araí: Usuarios

Arai-Usuarios es un Identity Provider e Identity Manager.

Provee identidad (usuarios y sus cuentas) junto con un login centralizado (Single-Sign-On) implementado con el protocolo SAML. A su vez mantiene una base de datos común de usuarios, mientras que provee una interfaz de gestión, una API de acceso a los usuarios y herramientas de auditoría.

La siguiente imagen resume el conjunto componentes, su integración e interacción en la plataforma:

Componentes que integran SIU-Araí: Usuarios

Componentes

Arai-Usuarios ofrece diferentes componentes:

  • Un IdP implementado con un SimpleSAMLPhp con un único authsource (la base de datos común de usuarios)
  • Un IdM como aplicación denominado gestion que ofrece
    • ABMs de usuarios
    • Configuración de políticas de acceso y seguridad
    • Auditoría de edición y acceso a las diferentes aplicaciones del repositorio
  • Una API Rest de gestión de usuarios, para que los diferentes sistemas puedan interactuar
  • Implementado sobre OpenLdap, que brinda compatibilidad con sistemas legacy mediante el acceso LDAP
  • Dentro del paquete de datos que ofrece, se encuentra el que espera la librería js-app-launcher que ayuda a la uniformidad de comportamientos del usuario dentro dentro de las diferentes aplicaciones.
  • Una Base de datos común de Usuarios, con scripts y utilidades para integrar aplicaciones existentes.

Autenticación centralizada vía Protocolo SAML

El protocolo SAML es el estándar utilizado para realizar la integración de login entre las distintas aplicaciones. Es lo que nos permite implementar Single Sign-On y Single Logout.

Flujo de autenticación basado en el protocolo SAML

En la imagen se observa los pasos que se producen normalmente para el login:

  1. el usuario accede a una aplicación desde el navegador(que se lo conoce como Service Provider o SP)
  2. el SP redirige hacia el IdP con un token SAML para autenticarse
  3. el IdP vailda el token SAML y como no existe, lo redirige al usuario a un formulario donde ingresar sus credenciales
  4. el Idp redirige al usuario al SP con el nuevo token SAML
  5. el SP regresa al usuario con los resultados del acceso al recurso (la página web)

Beneficios del uso de un protocolo de Single Sign-On, una vez que exista un token SAML válido

  • el usuario puede ingresar a cualquier aplicación o SP registrada en la plataforma SIU-Araí, sin pasar por el login. Este intento de acceso tomará el token SAML, lo validará y si está vigente simplemente el usuario tendrá acceso instantaneo a dicho SP.
  • al cerrar sesión por acción del usuario o por expiración del tiempo de duración, se invalida el token SAML en el IdP. Sucesivos intentos de ingreso con dicho token provocará que nos envíe al usuario a la página de login.

Guias prácticas de uso


<Volver