Blog

adAS se reinventa

adAS (advanced Autentication Server) es un Servidor de Autenticación Avanzado que realiza las funciones de un Proveedor de Identidad (IdP) con una herramienta gráfica de configuración integrada que facilita su administración, puesta en macha y mantenimiento. Tras la implantación en muchos de nuestros clientes y gracias al soporte y mantenimiento, adAS se ha ido beneficiando de múltiples funcionalidades y mejoras, llegando a ser uno de los SSO más completos existentes en el mercado.

adAS podría seguir creciendo con la incorporación de otras nuevas funcionalidades que permitan la Gestión de Identidad, pero perdería su naturaleza y responsabilidades de sistema de Single Sign-on (SSO).

Es por esa razón por la que adAS cambia de nombre a adAS SSO tras la publicación de adAS SSO 1.7.0, para dar lugar a la creación de una nueva suite de productos adAS.

Nueva suite adAS

La suite adAS ofrece a los responsables de los sistemas de información una gestión completa y flexible en el campo de la Identidad Digital, y del mismo modo un manejo ágil y sencillo por y para los propios usuarios.

La implantación de la suite adAS es totalmente flexible, permitiendo una adaptación total a la infraestructura de la que se disponga y acorde a las diferentes necesidades de cada organización.

Productos y características

La suite adAS está formada por:

• adAS SSO: servidor de Autenticación Avanzado, nuestro producto para SSO conocido hasta ahora como adAS
• adAS PWD: aplicación de gestión de contraseñas centralizada y enfocada en el cumplimiento de políticas de seguridad respecto a las contraseñas de los usuarios
• adAS User: portal web que el usuario puede utilizar a modo de dashboard, ya que desde éste se le mostrará al usuario todos aquellos servicios y/o aplicaciones a las que pueda acceder, gestión de sus datos de identidad digital en la organización, etc
• adAS Alertas: facilita la comunicación entre la organización y sus usuarios. Se integra en el proceso de autenticación del SSO, lo que permite mostrar a los usuarios aquellas notificaciones que quieran hacerles llegar, antes de que éstos accedan a las aplicaciones o servicios
• adAS FED: gestión de federaciones de Identidad Digital. Permite integrar su sistema SSO en una federación, mediante la conexión de su Proveedor de Identidad adAS SSO a la federación en la cual desea participar
• adAS IAM: gestión integral de la Identidad Digital de los usuarios en las organizaciones, facilitando la administración de la identidad, definición y ejecución de las políticas y flujos que definen el ciclo de vida de la identidad digital según las necesidades del negocio
• adAS Consultoría: servicio de consultoría en el ámbito de la identidad digital
• adAS Capacitación: jornadas formativas garantizando la transferencia de conocimiento necesario gracias a la adaptabilidad de nuestros cursos

Para más información ponte en contacto con nosotros. En breve publicaremos la nueva web de la suite de adAS con más información de los productos y servicios.

Un identificador privado de usuario permite tracear la actividad de dicho usuario en una aplicación determinada, sin necesidad de conocer ningún dato adicional sobre la identidad del usuario y que tampoco pueda ser utilizado para adivinar su identidad. Pero aun así sirva para informar a la organización del usuario de un evento o incidencia relacionado con el usuario y que dicha organización pueda saber qué usuario es.

Este identificador debe cumplir las siguientes características:

• Persistente: debe ser el mismo para una misma aplicación durante un tiempo de vida considerable, que le permita a dicha aplicación identificar al usuario en su lógica de negocio durante el tiempo necesario
• Privado: no debe permitir averiguar quién es el usuario y qué actividad realiza en otras aplicaciones
• Único: debe ser el mismo valor siempre para una misma aplicación, no permitiendo reutilizar su valor para otros usuarios

En muchos sistemas este identificador privado es conocido como el atributo eduPersonTargetedID. Una generación correcta de valor para este atributo debe contemplar una cadena alfanumérica opaca generada en base a datos que identifiquen al usuario y a la propia aplicación a la que trata de acceder el usuario. Por ejemplo:

MD5( «SEMILLA/».$ID_USUARIO.»/».$ID_APLICACIÓN)

Al utilizar una función de resumen (en el ejemplo MD5 ) nos permite generar una cadena alfanumérica que no es reversible a su valor original.

En adAS 1.6.0o las fuentes de datos tipo «Información de adAS» permiten generar identificadores privados de usuario, para lo cual utiliza el identificador del usuario en el Proveedor de Identidad, es decir, aquel atributo que hayamos indicado en el módulo de autenticación que queramos utilizar como identificador de usuario dentro de adAS SSO, y el identificador opaco del Proveedor de Servicio. Este identificador opaco es un valor aleatorio generado por adAS SSO cuando se añade un Proveedor de Servicio (SP) en el SSO y no es modificado durante todo su ciclo de vida, ni en un cambio de ID de entidad del SP.

Para enviar un identificador privado de usuario en una política de emisión de atributos de un SP, debemos definir el atributo de la siguiente manera:

eduPersonTargetedID = self::nocachedFirstHookDB(‘ADASINFO’, ‘ADAS_PRIVATE_USER_ID’)

Donde ADASINFO es el identificador de una fuente de datos tipo «Información de adAS».

Gracias a este atributo ‘ADAS_PRIVATE_USER_ID’, adAS SSO nos generará siempre un valor cumpliendo las características de persistente, privado y único, para cada par (ID usuario en adAS SSO, ID opaco SP) o si hubiera algún problema no devolvería ningún valor, pudiendo así la aplicación informar del problema.

En los últimos grupos de trabajo de Rediris, a través de la ponencia Actualidad del servicio SIR, se dio a conocer el próximo futuro de la federación SIR.

La actual federación cuenta tanto con IdP’s y SP’s conectados a través de multiprotocolos (PAPI, SAML, OpenID, etc) y en su línea de vida está pendiente una reestructuración, por lo que muchas entidades se verán afectadas.

Uno de los principales cambios afectará a la actual integración multiprotocolo, eliminándola y permitiendo únicamente «usar SAML2 como protocolo intrafederación».

Si tu institución será una de las afectadas por no contar con un IdP que permita una integración con SAML te recomendamos que te pongas en contacto con nosotros para un cambio totalmente transparente para tus usuarios. Contamos con experiencia en IdP’s SAML, recomendándote el más adecuado para tu organización.

De la misma forma, contamos con múltiples servicios para tus aplicaciones PAPI, ayudándote a actualizarlas hacia otros protocolos, mejorarlas y/o gestionarlas.

Adelántate al futuro y asegúrate un cambio sencillo, fácil y transparente.

El otro día escuché en la radio una nota publicitaria sobre no sé que móvil que ya contaba con la última actualización de no sé que sistema operativo. Si, no me enteré nada bien del anuncio, pero será que me quedé congelada al escuchar «actualización» y «sistema operativo». Si ya hay que sufrir con ser «la informática de la familia» y tener que configurar la TDT cada vez que alguien toca sin querer cierto botón, ya sólo me faltaba asegurar que «el nuevo móvil que me han regalado y por fin tengo guasap» esté actualizado al nuevo y molón SO.

Al parecer, la sociedad se ha acostumbrado a palabras como smartphone, bases de datos, login, gigas, megas reales, sistema operativo, actualización de sistema operativo, etc. Y es que llevar ya un ordenador en el bolsillo que encima te permite llamar por télefono si tienes ganas de calentarte la oreja, ha acabado por familiarizar las TIC.

Dicho el preámbulo, el kit de este post llega ya. La familiaridad de las TIC ha hecho que «la informática de la familia que montó una empresa que se dedica a una cosa muy rara pero que le va muy bien» pueda ya medio explicar «esa cosa rara» y dejar las comillas olvidadas

Hace tiempo, un buscador llamado Google que daba cuentas de correo empezó a comprar y añadir otros servicios. Algunos de estos servicios contaban ya con usuarios existentes a los que se respeta su acceso y los usuarios propios les permite el nuevo acceso con esas cuentas ya existentes para el correo. La lógica aplastante evitó que fuera necesario crear nuevos usuarios para esas nuevas aplicaciones. Si el usuario ya tenía una cuenta «google» debía acceder a esas webs con la misma cuenta.

Por lo tanto, gracias a querer una cuenta de correo puedo gestionar mis videos, mis fotos, mi red social, tener un blog, compartir archivos, guardar rutas de todo el mundo, etc. Y todo ello, autenticándome una única vez en uno de esos servicios. No hace falta que me dé de alta en ningún sitio, puedo acceder con mi cuenta.

En este sentido, se ha permitido que los usuarios estén acostumbrados a un acceso fácil a cualquier aplicación. Y con fácil me refiero a no tener que tener múltiples cuentas de usuario, no tener que poner sus credenciales en cada página web a la que se accede, reutilizar cuentas ya existentes, etc.

Para contar con ese escenario es necesario que todos esos servicios formen parte de un SSO (Single Sing On), dónde estos servicios o páginas web se denominan SP (Service Provider) y gracias a un protocolo de comunicación (SAML, CAS, PAPI, uno propio, etc) se integran con el IdP, que realiza la autenticación y atribución necesaria para que el usuario acceda a una determinada página web.

Dicho de una forma rápida. Y sin que se entienda nada. Pero si recuperamos el ejemplo de antes y no introducimos ningún término técnico, cualquier usuario de internet te dice (con más o menos gracia): «Ah, si! Es verdad que pongo mi correo y mi contraseña sólo en un sitio y ya todas las páginas web me enseñan mis cosas». Y preguntándoles por el trabajo, te suelen decir «Ufff… En el trabajo tengo 5 cuentas de usuario diferente para 4 cosas, porque hay una web que tengo dos usuarios diferentes según lo que quiera hacer».

Y es que en el mundo laboral el SSO aún no ha encontrado su lugar. Hay que aclarar que contar con las mismas cuentas y contraseñas en los diferentes servicios no es tener un SSO.

Desde PRiSE ayudamos a dar ese paso de inmersión del SSO en cualquier organización. Si ya disfrutas de las ventajas de un SSO en tu tiempo de ocio sin ser consciente, ¿por qué no lo aprovechas también en tu profesión?

Contamos con muchos casos de éxito de implantación de SSO, integrando aplicaciones de múltiples tecnologías en infraestructuras diversas. ¡Ponte en contacto con nosotros!

Y recogiendo por última vez el ejemplo de Google (válido también para Microsoft), logramos que el SSO de tu empresa pueda comunicarse sin problemas con el SSO de Google, integrando así todos los servicios de éste con los de tu empresa bajo una única cuenta para cada uno de tus usuarios.