Gestión de parámetros de autenticación

Los parámetros de autenticación son una apuesta importante en la seguridad de la cuenta, especialmente para garantizar la protección de los datos privados en relación con el RGPD.

Las contraseñas por sí solas se consideran obsoletas, por lo que Actito ofrece a los usuarios 'Administradores' de una licencia la posibilidad de configurar factores de autenticación adicionales.

Esto se hace a través de la aplicación 'autenticación' del portal de configuración de licencias.

images/download/thumbnails/631603325/image2022-3-1_10-55-11.png

Parámetros de la página de inicio de sesión

Para elegir el modo de autenticación de la página de inicio de sesión, haga clic en 'Editar' en la esquina superior derecha.

images/download/attachments/631603325/image2022-5-6_15-46-28.png

Esto permite que el usuario 'Administrador' seleccione uno de los 4 modos de autenticación posibles.

Básico

El modo de autenticación básico es el proceso estándar de conexión a través de un inicio de sesión (nombre de usuario) y una contraseña.

images/download/attachments/631603325/image2022-5-6_15-42-37.png

La contraseña debe tener un mínimo de diez caracteres e incluir al menos tres tipos de caracteres diferentes entre:

  • letras mayúsculas

  • letras minúsculas

  • números

  • caracteres especiales

Sin embargo, este método no se recomienda ya que no se considera lo suficientemente seguro en comparación con otros.

De hecho, las contraseñas pueden verse comprometidas (phishing, uso repetido de la misma contraseña,...), en cuyo caso el método básico no ofrece garantías adicionales.

Tip

Por razones de seguridad, la autenticación de dos factores se activa automáticamente al crear una nueva licencia.

Los usuarios 'Administradores' tienen la posibilidad de desactivarlo, aunque no recomendamos hacerlo.

Autenticación de dos factores ( SMS o e-mail)

El concepto de "autenticación de dos factores" (o 2FA) consiste en multiplicar las pruebas necesarias para permitir que un usuario inicie sesión.

images/download/attachments/631603325/image2022-3-1_11-42-11.png

Para ser eficiente, el método de autenticación debe combinar dos factores de diferente naturaleza:

  • Algo que el usuario sabe: el principio es idéntico a la autenticación estándar de un solo factor.Esta es una contraseña.

  • Algo que tiene el usuario: un código de un solo uso enviado a una herramienta de comunicación que pertenece al usuario.Debe proporcionarse después de la contraseña.

Hay tres opciones disponibles para enviar el código:

Email 2FA

El código se enviará a la dirección de correo electrónico asociada a la cuenta de usuario. Como le recomendamos encarecidamente que solo cree cuentas de Actito basadas en una dirección profesional, cualquier persona que necesite iniciar sesión en la licencia podrá recuperar fácilmente el código en su buzón profesional.

Como se requiere una dirección de correo electrónico en la creación de cualquier nuevo usuario, no hay requisitos previos adicionales para el uso del correo electrónico 2FA. Sin embargo, esto implica que el código se enviará al mismo recurso que el proceso de recordatorio de contraseña.

SMS 2FA

El código se enviará por mensaje SMS a un número de teléfono móvil asociado a la cuenta del usuario. Por lo tanto, sólo quien esté en posesión del teléfono podrá conectarse a la licencia. Como los teléfonos móviles generalmente se mantienen en uno mismo en todo momento, esto permite establecer una fuerte seguridad sin incomodar a los usuarios.

Prerrequisitos

Para activar la autenticación de dos factores por SMS, se debe vincular un número de teléfono móvil válido a cada usuario.

El administrador de licencias puede completar los usuarios existentes en la aplicación "Gestionar usuarios". Cada nueva cuenta de usuario debe tener un número de teléfono móvil válido.

Aplicación Móvil 2FA

El código se encuentra en la aplicación de autenticación móvil previamente instalada en el teléfono del usuario. Todas las aplicaciones de autenticación móvil son compatibles (Google, Sophos, etc.) con la aplicación móvil 2FA de Actito.

La 2FA por aplicación móvil es más segura que la 2FA por correo electrónico y sms porque no requiere la recepción de un código por correo electrónico o sms. Sin embargo, el usuario debe configurar primero una aplicación de autenticación móvil para poder iniciar la sesión. Además, como este método de autenticación no depende del envío de un código, no hay latencia en la recepción del código.

Al iniciar la sesión por primera vez, el usuario tendrá que escanear un código QR a través de la aplicación de autenticación con su teléfono móvil. A continuación, tendrá acceso a un código único. La próxima vez que el usuario se conecte, ya no tendrá que escanear un código QR. Sólo tendrá que ir a su aplicación de autenticación móvil para recuperar la contraseña e indicarla en la página de conexión de la licencia Actito.

En su aplicación de autenticación, la clave se llamará "login@licence".

Si tiene varias licencias con el mismo nombre en diferentes entornos (por ejemplo, en TEST), te sugerimos que cambie el nombre de la clave en consecuencia. En la mayoría de las aplicaciones, basta con mantener pulsada la tecla para acceder al botón "editar". De hecho, algunas aplicaciones no permiten tener dos llaves con el mismo nombre.

Restablecer el token

Para facilitar la gestión de la 2FA, el Administrador tiene visibilidad sobre el tipo de 2FA activado para cada usuario.

En la configuración de la licencia, el administrador tiene acceso a esta información aplicando el filtro "modo de autenticación" en las columnas o seleccionándolo en el menú desplegable de la izquierda de la pantalla.

images/download/attachments/631603325/image2022-5-6_15-12-55.png

El administrador tiene la capacidad de restablecer el token de un usuario. Esto puede ser útil en las siguientes situaciones: pérdida de un teléfono móvil, supresión de la ficha,?

Para ello, deberá acceder a la página Configuración de licencias < Más < Restablecer token . Esta funcionalidad sólo existe para los usuarios que utilizan la aplicación móvil 2FA.

images/download/thumbnails/631603325/image2022-5-6_14-38-22.png

A continuación, se abrirá otra página en la que se pedirá la confirmación del inicio de sesión del usuario en cuestión.

images/download/attachments/631603325/image2022-5-6_15-18-22.png

Desde el punto de vista del usuario, habrá que escanear un nuevo código QR en el momento de la autenticación:

images/download/attachments/631603325/image2022-5-10_14-24-2.png

Jerarquía de los modos de autenticación

Dependiendo del modo de autenticación seleccionado por el Administrador de Licencias, los usuarios podrán elegir otro modo de autenticación. Sin embargo, no podrán seleccionar un modo menos seguro que el predefinido.

He aquí la clasificación de los modos de autenticación en Actito en orden creciente de seguridad:

  1. Básico

  2. Email 2FA

  3. SMS 2FA

  4. Aplicación móvil 2FA

Casos Prácticos

Estos son los casos prácticos:

  • Si el administrador deja el modo de autenticación como básico para la licencia, entonces el usuario podrá elegir un modo de autenticación más seguro o el mismo (básico, 2FA correo electrónico, sms o aplicación móvil).

  • Si el administrador configura el modo de autenticación en correo electrónico 2FA para la licencia, el usuario podrá elegir un modo de autenticación más seguro o idéntico (correo electrónico 2FA, sms o aplicación móvil), pero no podrá volver a un modo de autenticación menos seguro (básico).

  • Si el administrador configura el modo de autenticación a 2FA sms para la licencia, entonces el usuario puede elegir un modo de autenticación más seguro o idéntico (2FA sms o aplicación móvil) pero no puede volver a un modo de autenticación menos seguro (básico o 2FA email).

  • Si el administrador configura el modo de autenticación con la aplicación móvil 2FA para la licencia, el usuario sólo podrá elegir el mismo modo de autenticación (ya que es el modo más seguro) pero no podrá volver a cambiar a un modo de autenticación menos seguro (básico, correo electrónico 2FA o sms).

Iniciar la sesión

Para conectarse a su licencia después de activar "2FA", su autenticación se realizará en 2 pasos.

El primero seguirá siendo idéntico a la autenticación de un solo factor. Debe proporcionar:

  • El nombre de la licencia

  • Su nombre de usuario

  • Su contraseña (que todavía está vinculada a su dirección de correo electrónico)

images/download/attachments/631603325/image2022-3-10_13-26-34.png

Si la combinación de usuario y contraseña es correcta, recibirás un código por mensaje SMS o por correo electrónico y será dirigido a una segunda pantalla (donde se tee recordará el modo 2FA asociado a su cuenta).

Introduce el código para acceder a la licencia.

En caso de código incorrecto, volverás a la primera pantalla y deberás proporcionar tu contraseña nuevamente.

images/download/attachments/631603325/image2022-8-23_16-30-40.png

Tip

El código también actúa como una advertencia si alguien adquirió tu contraseña e intenta conectarse a tu cuenta.

Si recibes un mensaje SMS o un correo electrónico mientras no intentabas iniciar sesión, ponte en contacto con security@actito.com y el administrador de la licencia.

Validez del código

Una vez enviado, el código seguirá siendo válido durante 5 minutos o hasta la próxima solicitud (en cuyo caso solo es válido el nuevo código).

Es posible solicitar que se envíe el código nuevamente (una vez por minuto), pero requiere que vuelvas a introducir tu contraseña.

La entrada de varios códigos incorrectos seguidos bloqueará temporalmente la cuenta de usuario.

Desactivación

El modo 'Desactivado' significa que el acceso a través de la página de inicio de sesión estándar ya no es posible.

Puedes seleccionarlo solo si el inicio de sesión único (SSO) se ha activado y configurado en tu licencia. Si no es el caso, la opción aparecerá atenuada.

Para saber cómo activar SSO, consulta la siguiente sección.

images/download/attachments/631603325/image2022-5-13_11-51-59.png

Parámetros de conexión SSO (avanzado)

Activa los 'Parámetros avanzados' para acceder a la sección 'Parámetros de conexión SSO'.

images/download/attachments/631603325/image2022-5-6_14-12-41.png

Good to know

SSO es una función de pago.

Está atenuado antes de su activación. Si deseas utilizar SSO, comunícate con tu administrador de cuenta.

¿Qué es SSO?

Single Sign-On (SSO) (inicio de sesión único) es un esquema de autenticación que permite a un usuario iniciar sesión con una única ID y contraseña en cualquiera de varios sistemas de software relacionados, aunque independientes.

Actito solo es compatible con el protocolo SAML 2.0 y Actito es un proveedor de servicios (SP) de SAML, lo que significa que la autenticación se realiza de su lado y fuera de Actito . Luego, cuando el usuario llega a Actito, Actito preguntará a su proveedor de identidad SAML (IDP) para tener información de seguridad sobre el usuario y permitirle conectarse. Tanto los proveedores de Servicios como los de Identidad deben conocerse y confiar el uno en el otro, lo que significa que requiere cierta configuración técnica en ambos lados

images/download/attachments/631603325/image2022-3-1_15-43-36.png

Requisitos previos

Antes de comenzar la configuración de SSO, asegúrate de que su IDP sea compatible con nuestra implementación de SSO. Deberás confirmar los siguientes elementos con tu operador técnico:

  • Tu proveedor de identidad (IDP) es compatible con SAML 2.0

  • El mapeo entre usuarios IDP y usuarios de Actito se puede hacer con la dirección de correo electrónico de los usuarios

  • El IDP puede proporcionar la dirección de correo electrónico de los usuarios en sus afirmaciones.

Configuración del acceso SSO

Haz clic en 'Editar' en la esquina superior derecha para iniciar la configuración de los parámetros de SSO.

images/download/attachments/631603325/image2022-3-1_12-21-59.png

Good to know

Solo se puede editar una sección a la vez. Debes cerrar el modo de edición 'Página de inicio de sesión' antes de editar los parámetros de SSO.

Protocolo

El único protocolo compatible con Actito SSO es SAML 2.0. La diferencia aquí es entre proporcionar los metadatos del IDP de forma estática o dinámica.

images/download/attachments/631603325/image2022-3-1_15-49-42.png

Para completar la configuración, los metadatos de su IDP deben estar disponibles para ser acoplados con los metadatos de Actito.

Hay varias posibilidades para esto:

  • SAML 2.0 estático: los metadatos del IDP deberán ingresarse manualmente o cargando un archivo XML.Si los metadatos cambian de su lado, tendrá que actualizarlos manualmente en Actito.

  • SAML 2.0 dinámico: los metadatos del IDP deben estar disponibles en una URL pública.Si los metadatos cambian de su lado, cualquier actualización se reflejará a través de la URL.

La información necesaria para la siguiente sección depende del protocolo.

Metadatos SAML (estático)

La forma más sencilla de proporcionar los metadatos de IDP es cargar un archivo XML.

Esto se hace haciendo clic en el icono al lado del encabezado de la sección. Esto le permitirá cargar un archivo desde su computadora para completar automáticamente los parámetros requeridos.

images/download/attachments/631603325/image2022-3-1_16-0-50.png

De lo contrario, también es posible ingresar los parámetros manualmente:

  • Enlace de protocolo: este es el método utilizado para las comunicaciones entre el SP y el IDP, incluida la solicitud de autenticación. Puede ser REDIRECT (GET) o POST.

  • Id. de entidad: el Id. de entidad es el nombre único e inmutable a nivel mundial para una entidad SAML. Si bien no es necesario que sea una ubicación web, por lo general debe ser una URL absoluta que comience con 'https://'.

  • SSO endpoint: la URL de la implementación de SAML 2.0 que recibe solicitudes de autenticación para su procesamiento. Debe ser una URL válida que comience con 'http://' o 'https://' (se recomienda https).

  • WantAuthnRequestsSigned: especifica si el IDP (su aplicación) requiere que las solicitudes de autenticación recibidas del SP (Acto) estén firmadas (Sí) o no (No).

  • Certificado X.509 (mismo cert. para firmar/cifrar): los certificados utilizados por el IDP para firmar aserciones SAML, para que el SP pueda validar su autenticidad. Se pueden agregar varios certificados. El mismo certificado se utilizará para la firma y el cifrado.

Metadatos SAML (dinámico)

La mayor parte de la información se proporciona a través de la URL de metadatos públicos, lo que significa que cualquier actualización de la configuración de SSO se aplica inmediatamente cuando los metadatos se actualizan en la URL.

Debe proporcionar los siguientes parámetros:

  • Enlace de protocolo: este es el método utilizado para las comunicaciones entre el SP y el IDP, incluida la solicitud de autenticación. Puede ser REDIRECT (GET) o POST.

  • Id. de entidad: el Id. de entidad es el nombre único e inmutable a nivel mundial para una entidad SAML. Si bien no es necesario que sea una ubicación web, por lo general debe ser una URL absoluta que comience con 'https://'.

  • Protocol binding: this is the method used for communications between the SP and IDP, including the authentication request. It can be either REDIRECT (GET) or POST

  • Entity Id: the entity Id is the globally unique and immutable name for a SAML entity. While it does not need to be a web location, it should usually be an absolute URL starting with 'https://'.

  • Url de Metadatos: la URL pública que contiene los metadatos de su IDP.

Mapeo con los usuarios de actito

La última sección es común a los protocolos estáticos y dinámicos.

Se utiliza para proporcionar la etiqueta XML que corresponde a la dirección de correo electrónico de un usuario en la configuración de IDP. Se utilizará para hacer coincidir el usuario externo registrado a través de SSO con el usuario de Actito.

La clave coincidente debe ser la dirección de correo electrónico.

images/download/attachments/631603325/image2022-3-1_17-41-23.png

Good to know

El usuario 'Administrador' debe crear un usuario en la licencia de Actito. De lo contrario, la dirección de correo electrónico no coincidirá y SSO no funcionará.


Tus Actito SSO endpoints

Una vez que guardes la configuración de SSO, saldrá del modo 'Editar', verás la información que proporcionaste y la información que necesita de Actito para conectarse a través de SSO.

Estas son:

  • URL de inicio de sesión de SSO: la URL que puede usar para conectarse a Actito después de iniciar sesión en su plataforma IDP.
    Siempre tendrá la siguiente estructura: https://<actitoHost>/actito-sso/app/<licenseName>

  • URL de metadatos de actito (XML): los metadatos de Actito como SP (en formato XML), para proporcionar en su IDP.
    La URL siempre tendrá la siguiente estructura: https://<actitoHost>/actito-sso/saml2/service-provider-metadata/<licenceName>

images/download/attachments/631603325/image2022-3-1_18-1-32.png

Las variables en las URL son:

Tip

Solo se puede utilizar un IDP por licencia.

Una vez que se haya configurado SSO, puede optar por deshabilitar por completo la página de inicio de sesión para su licencia, para permitir solo el inicio de sesión a través de SSO (consulte la opción 'Desactivado' más arriba).