La política de contraseña, además de permitir configurar diferentes parámetros que debe cumplir las contraseñas de los usuarios finales, incorpora la gestión de contraseñas caducadas.

adAS PWD cuenta con un CAU para que operadores puedan gestionar la contraseña de usuarios finales, pudiendo configurar que sólo puedan gestionar a determinados grupos de usuarios.

Esta nueva versión de adAS PWD cuenta con un nuevo módulo gracias a la colaboración de la Universidad de Salamanca, dando cumplimiento a que  un usuario sin autenticar pudiera conocer su uid, muy práctico para nuevos alumnos o usuarios que no hayan accedido tras un largo período.

Si quieres conocer todas las novedades o quieres probar adAS PWD, solicítanos más información o acceso a nuestra demo.

UMA realizo una financiación directa que permite el beneficio de incluir la opción de teclado virtual como una opción en adAS SSO v1.7.0.

Un teclado virtual permite un paso más en la seguridad del login del usuario, evitando que se capture la contraseña por pulsación de teclas si el ordenador contara con una aplicación maliciosa, como puede ser un keylogger.

Su activación es rápida y fácil gracias a la herramienta web de administración de adAS SSO.

Si quieres más información sobre adAS SSO y como integrar, mejorar y adaptar el acceso a todas tus aplicaciones a través de nuestro SSO, contacta con nosotros.

También es posible tenerlo disponible en LoginUp, nuestro SSO en la nube.

Acabamos de publicar adAS v1.7.0b, revisión de la rama 1.7.0 que se centra en resolver problemas encontrados recientemente. Se han corregido los siguientes bugs:

• No se tiene en cuenta el puerto en HTTP_HOST
• Error mostrando información de peticiones SAML mal enviadas
• Error insertando cadenas largas en OCI
• Error al procesar una respuesta errónea de autenticación delegada PAPI
• Error detectando protocolos de un SP
• Visibilidad errónea métodos de la clase X509Certificate
• No se muestra correctamente información de no autorización en logs y UI
• Error en el orden de certificados bajo KRO
• Error validando credenciales grant Client Credentials en OAuth 2
• Desincronización entre versiones de productos
• Error ordenando tabla de SPs
• No se muestran los logs en la administración
• No se hace logout en la vieja administración

Para más información acerca de estas mejoras y de otros bugs corregidos, consultar el archivo Release-Notes.txt de adAS 1.7.0b.

Entre los nuevos recursos y los ya existentes en la renovada API de adAS SSO, se encuentran:

• Atributo: Permite evaluar atributos de un usuario según están definidos en la Política de Emisión de Atributos
• Bearer Tokens de OAuth 2: Permite consultar y eliminar los Bearer Tokens de OAuth 2 que están activos
• Configuración de adAS: Permite consultar la configuración en uso de adAS
• Estadísticas: Estadísticas de uso del sistema
• Evento: Permite obtener y crear eventos en adAS
• Fuente de datos: Permite realizar operaciones sobre una fuente de datos dada de alta en adAS
• Información de adAS: Permite obtener información del servidor donde está desplegado adAS
• Información de tokens OAuth2: Información de tokens OAuth2 activos en el sistema
• Información de usuarios con Candao 2.0: Información sobre los usuarios que controlan acceso a aplicaciones con Candao 2.0
• Logs: Información de logs en adAS
• Metadato: Permite trabajar con metadatos de SP, federación y de HUB
• Monitorización: Permite obtener y eliminar registros de monitorización
• OpenIDConnect UserInfo Endpoint: Punto de entrada de OpenIDConnect que permite obtener información de un usuario a clientes autorizados
• Servidor de Recursos OAuth2: Permite obtener atributos de un usuario según están definidos en la Política de Emisión de Atributos para un cliente OAuth2 con un token de acceso válido
• Vinculación de dispositivos y aplicaciones: Permite obtener y desvincular los enlaces establecidos entre aplicaciones y dispositivos de los usuarios

Con esta nueva lista de recursos con los que trabajar, se puede ampliar el uso de adAS mucho más allá de lo que se puede imaginar, como por ejemplo: la gestión de estadísticas de usuario propias, incidiendo en aquello que creamos más interesante para nuestra organización, la realización de aplicaciones de control de acceso para dispositivos móviles, mediante la gestión de los tokens OAuth2, entre otras.

Desde nuestra posición y nuestra filosofia de adaptabilidad para facilitar el uso, os invitamos a comentarnos vuestras necesidades. Y si requerís unos recursos que no están disponibles actualmente, comentádnoslo para que las tengamos en consideración y podamos solventarlas.

Para más información ponte en contacto con nosotros.

Salud y hasta la próxima!

adAS se reinventa

adAS (advanced Autentication Server) es un Servidor de Autenticación Avanzado que realiza las funciones de un Proveedor de Identidad (IdP) con una herramienta gráfica de configuración integrada que facilita su administración, puesta en macha y mantenimiento. Tras la implantación en muchos de nuestros clientes y gracias al soporte y mantenimiento, adAS se ha ido beneficiando de múltiples funcionalidades y mejoras, llegando a ser uno de los SSO más completos existentes en el mercado.

adAS podría seguir creciendo con la incorporación de otras nuevas funcionalidades que permitan la Gestión de Identidad, pero perdería su naturaleza y responsabilidades de sistema de Single Sign-on (SSO).

Es por esa razón por la que adAS cambia de nombre a adAS SSO tras la publicación de adAS SSO 1.7.0, para dar lugar a la creación de una nueva suite de productos adAS.

Nueva suite adAS

La suite adAS ofrece a los responsables de los sistemas de información una gestión completa y flexible en el campo de la Identidad Digital, y del mismo modo un manejo ágil y sencillo por y para los propios usuarios.

La implantación de la suite adAS es totalmente flexible, permitiendo una adaptación total a la infraestructura de la que se disponga y acorde a las diferentes necesidades de cada organización.

Productos y características

La suite adAS está formada por:

• adAS SSO: servidor de Autenticación Avanzado, nuestro producto para SSO conocido hasta ahora como adAS
• adAS PWD: aplicación de gestión de contraseñas centralizada y enfocada en el cumplimiento de políticas de seguridad respecto a las contraseñas de los usuarios
• adAS User: portal web que el usuario puede utilizar a modo de dashboard, ya que desde éste se le mostrará al usuario todos aquellos servicios y/o aplicaciones a las que pueda acceder, gestión de sus datos de identidad digital en la organización, etc
• adAS Alertas: facilita la comunicación entre la organización y sus usuarios. Se integra en el proceso de autenticación del SSO, lo que permite mostrar a los usuarios aquellas notificaciones que quieran hacerles llegar, antes de que éstos accedan a las aplicaciones o servicios
• adAS FED: gestión de federaciones de Identidad Digital. Permite integrar su sistema SSO en una federación, mediante la conexión de su Proveedor de Identidad adAS SSO a la federación en la cual desea participar
• adAS IAM: gestión integral de la Identidad Digital de los usuarios en las organizaciones, facilitando la administración de la identidad, definición y ejecución de las políticas y flujos que definen el ciclo de vida de la identidad digital según las necesidades del negocio
• adAS Consultoría: servicio de consultoría en el ámbito de la identidad digital
• adAS Capacitación: jornadas formativas garantizando la transferencia de conocimiento necesario gracias a la adaptabilidad de nuestros cursos

Para más información ponte en contacto con nosotros. En breve publicaremos la nueva web de la suite de adAS con más información de los productos y servicios.

Este identificador debe cumplir las siguientes características:

• Persistente: debe ser el mismo para una misma aplicación durante un tiempo de vida considerable, que le permita a dicha aplicación identificar al usuario en su lógica de negocio durante el tiempo necesario
• Privado: no debe permitir averiguar quién es el usuario y qué actividad realiza en otras aplicaciones
• Único: debe ser el mismo valor siempre para una misma aplicación, no permitiendo reutilizar su valor para otros usuarios

En muchos sistemas este identificador privado es conocido como el atributo eduPersonTargetedID. Una generación correcta de valor para este atributo debe contemplar una cadena alfanumérica opaca generada en base a datos que identifiquen al usuario y a la propia aplicación a la que trata de acceder el usuario. Por ejemplo:

MD5( «SEMILLA/».$ID_USUARIO.»/».$ID_APLICACIÓN)

Al utilizar una función de resumen (en el ejemplo MD5 ) nos permite generar una cadena alfanumérica que no es reversible a su valor original.

En adAS 1.6.0o las fuentes de datos tipo «Información de adAS» permiten generar identificadores privados de usuario, para lo cual utiliza el identificador del usuario en el Proveedor de Identidad, es decir, aquel atributo que hayamos indicado en el módulo de autenticación que queramos utilizar como identificador de usuario dentro de adAS SSO, y el identificador opaco del Proveedor de Servicio. Este identificador opaco es un valor aleatorio generado por adAS SSO cuando se añade un Proveedor de Servicio (SP) en el SSO y no es modificado durante todo su ciclo de vida, ni en un cambio de ID de entidad del SP.

Para enviar un identificador privado de usuario en una política de emisión de atributos de un SP, debemos definir el atributo de la siguiente manera:

eduPersonTargetedID = self::nocachedFirstHookDB(‘ADASINFO’, ‘ADAS_PRIVATE_USER_ID’)

Donde ADASINFO es el identificador de una fuente de datos tipo «Información de adAS».

Gracias a este atributo ‘ADAS_PRIVATE_USER_ID’, adAS SSO nos generará siempre un valor cumpliendo las características de persistente, privado y único, para cada par (ID usuario en adAS SSO, ID opaco SP) o si hubiera algún problema no devolvería ningún valor, pudiendo así la aplicación informar del problema.

La actual federación cuenta tanto con IdP’s y SP’s conectados a través de multiprotocolos (PAPI, SAML, OpenID, etc) y en su línea de vida está pendiente una reestructuración, por lo que muchas entidades se verán afectadas.

Uno de los principales cambios afectará a la actual integración multiprotocolo, eliminándola y permitiendo únicamente «usar SAML2 como protocolo intrafederación».

Si tu institución será una de las afectadas por no contar con un IdP que permita una integración con SAML te recomendamos que te pongas en contacto con nosotros para un cambio totalmente transparente para tus usuarios. Contamos con experiencia en IdP’s SAML, recomendándote el más adecuado para tu organización.

De la misma forma, contamos con múltiples servicios para tus aplicaciones PAPI, ayudándote a actualizarlas hacia otros protocolos, mejorarlas y/o gestionarlas.

Adelántate al futuro y asegúrate un cambio sencillo, fácil y transparente.

Al parecer, la sociedad se ha acostumbrado a palabras como smartphone, bases de datos, login, gigas, megas reales, sistema operativo, actualización de sistema operativo, etc. Y es que llevar ya un ordenador en el bolsillo que encima te permite llamar por télefono si tienes ganas de calentarte la oreja, ha acabado por familiarizar las TIC.

Dicho el preámbulo, el kit de este post llega ya. La familiaridad de las TIC ha hecho que «la informática de la familia que montó una empresa que se dedica a una cosa muy rara pero que le va muy bien» pueda ya medio explicar «esa cosa rara» y dejar las comillas olvidadas

Hace tiempo, un buscador llamado Google que daba cuentas de correo empezó a comprar y añadir otros servicios. Algunos de estos servicios contaban ya con usuarios existentes a los que se respeta su acceso y los usuarios propios les permite el nuevo acceso con esas cuentas ya existentes para el correo. La lógica aplastante evitó que fuera necesario crear nuevos usuarios para esas nuevas aplicaciones. Si el usuario ya tenía una cuenta «google» debía acceder a esas webs con la misma cuenta.

Por lo tanto, gracias a querer una cuenta de correo puedo gestionar mis videos, mis fotos, mi red social, tener un blog, compartir archivos, guardar rutas de todo el mundo, etc. Y todo ello, autenticándome una única vez en uno de esos servicios. No hace falta que me dé de alta en ningún sitio, puedo acceder con mi cuenta.

En este sentido, se ha permitido que los usuarios estén acostumbrados a un acceso fácil a cualquier aplicación. Y con fácil me refiero a no tener que tener múltiples cuentas de usuario, no tener que poner sus credenciales en cada página web a la que se accede, reutilizar cuentas ya existentes, etc.

Para contar con ese escenario es necesario que todos esos servicios formen parte de un SSO (Single Sing On), dónde estos servicios o páginas web se denominan SP (Service Provider) y gracias a un protocolo de comunicación (SAML, CAS, PAPI, uno propio, etc) se integran con el IdP, que realiza la autenticación y atribución necesaria para que el usuario acceda a una determinada página web.

Dicho de una forma rápida. Y sin que se entienda nada. Pero si recuperamos el ejemplo de antes y no introducimos ningún término técnico, cualquier usuario de internet te dice (con más o menos gracia): «Ah, si! Es verdad que pongo mi correo y mi contraseña sólo en un sitio y ya todas las páginas web me enseñan mis cosas». Y preguntándoles por el trabajo, te suelen decir «Ufff… En el trabajo tengo 5 cuentas de usuario diferente para 4 cosas, porque hay una web que tengo dos usuarios diferentes según lo que quiera hacer».

Y es que en el mundo laboral el SSO aún no ha encontrado su lugar. Hay que aclarar que contar con las mismas cuentas y contraseñas en los diferentes servicios no es tener un SSO.

Desde PRiSE ayudamos a dar ese paso de inmersión del SSO en cualquier organización. Si ya disfrutas de las ventajas de un SSO en tu tiempo de ocio sin ser consciente, ¿por qué no lo aprovechas también en tu profesión?

Contamos con muchos casos de éxito de implantación de SSO, integrando aplicaciones de múltiples tecnologías en infraestructuras diversas. ¡Ponte en contacto con nosotros!

Y recogiendo por última vez el ejemplo de Google (válido también para Microsoft), logramos que el SSO de tu empresa pueda comunicarse sin problemas con el SSO de Google, integrando así todos los servicios de éste con los de tu empresa bajo una única cuenta para cada uno de tus usuarios.

El primer día tuvo lugar la jornada de difusión sobre Gestión de Identidad Federada a la que asistió personal de 38 instituciones de educación superior, centros de investigación y entidades de gobierno.

Se presentaron conceptos relativos a la Identidad Digital y los escenarios de un sistema SSO y las federaciones que permiten el acceso a múltiples recursos de forma compartida.

Tras la jornada de difusión se impartió taller práctico a un total de 15 profesionales de 14 instituciones de todo Chile. El objetivo del taller fue la integración de SP’s en una federación con un IdP shibboleth y la comparativa del mismo escenario contando como IdP el producto adAS-federación, una solución mucho más fácil y flexible.

PRiSE agradece al equipo de REUNA y Cincel por la confianza en nuestra experiencia y conocimiento.

Nota de prensa de REUNA:

http://www.reuna.cl/index.php/es/noticias-nuestros-socios/2354-jornada-de-difusion-organizada-por-reuna-congrego-a-las-principales-instituciones-academicas-y-de-investigacion-nacionales

PRiSE ha sido invitada a dar estas jornadas formativas, las cuales tienen como objeto la definición de los conceptos generales relacionados con Federacion de Identidades, así como dar a conocer COFRe.

Además de estos objetivos, se realizarán talleres formativos técnicos dedicado a la implantación de Single Sign-On y Federación de Identidades.

Para más información acerca de las jornadas, es posible visitar la noticia completa publicada en la web de Reuna.