SIU-Arai/usuarios

De SIU
Saltar a: navegación, buscar
Siu-arai iso.png

SIU-Araí: Usuarios

Arai-Usuarios es un Identity Provider e Identity Manager.

Provee identidad (usuarios y sus cuentas) junto con un login centralizado (Single-Sign-On) implementado con el protocolo SAML. A su vez mantiene una base de datos común de usuarios, mientras que provee una interfaz de gestión, una API de acceso a los usuarios y herramientas de auditoría.

Componentes

Arai-Usuarios ofrece diferentes componentes:

  • Un IdP implementado con un SimpleSAMLPhp con un único authsource (la base de datos común de usuarios)
  • Un IdM como aplicación denominado gestion que ofrece
    • ABMs de usuarios
    • Configuración de políticas de acceso y seguridad
    • Auditoría de edición y acceso a las diferentes aplicaciones del repositorio
  • Una API Rest de gestión de usuarios, para que los diferentes sistemas puedan interactuar
  • Implementado sobre OpenLdap, que brinda compatibilidad con sistemas legacy mediante el acceso LDAP
  • Dentro del paquete de datos que ofrece, se encuentra el que espera la librería js-app-launcher que ayuda a la uniformidad de comportamientos del usuario dentro dentro de las diferentes aplicaciones.
  • Una Base de datos común de Usuarios, con scripts y utilidades para integrar aplicaciones existentes.

La siguiente imagen resume el conjunto componentes, su integración e interacción en la plataforma:

Usuarios.png

Protocolo SAML

El protocolo SAML es el estándar utilizado para realizar la integración de login entre las distintas aplicaciones. Es lo que nos permite implementar Single Sign-On y Single Logout.

Saml.png

En la imagen se observa los pasos que se producen normalmente para el login:

  1. el usuario accede a una aplicación desde el navegador(que se lo conoce como Service Provider o SP)
  2. el SP redirige hacia el IdP con un token SAML para autenticarse
  3. el IdP vailda el token SAML y como no existe, lo redirige al usuario a un formulario donde ingresar sus credenciales
  4. el Idp redirige al usuario al SP con el nuevo token SAML
  5. el SP regresa al usuario con los resultados del acceso al recurso (la página web)

Una vez que exista un token válido, el usuario puede ingresar a cualquier aplicación o SP registrada en la plataforma SIU-Araí. Este intento de acceso tomará el token SAML, lo validará y si está vigente simplemente el usuario tendrá acceso instantaneo a dicho SP.

Una característica es que, al cerrar sesión el usuario, se invalida el token SAML en el IdP. Sucesivos intentos de ingreso con dicho token provocará que nos envíe al usuario a la página de login.

Guias prácticas de uso


<Volver