Publicado adAS SSO 1.7.0
Archivado en la categoría (adAS, PRiSE) por Teresa
Publicado el 20-04-2017

adASSSO

Nos complace anunciar la publicación de adAS SSO v1.7.0, una nueva versión que también actualiza el nombre del producto para adecuarse a la suite de productos de adAS que desarrollamos desde PRiSE. Las principales novedades son:

Aplicaciones móviles

  • Integración completa de aplicaciones móviles mediante el protocolo OAuth2
  • Motor de notificaciones de adAS SSO, el cual informa al usuario de la aplicación móvil para que confirme que quiere permitir el acceso a su información
  • Mayor gestión de las vinculaciones realizadas tanto a través de la herramienta de administración de adAS SSO como a través de la API REST. Esto permite gestionar los dispositivos registrados por un usuario, así como los permisos de éstos

Interfaz de usuario

  • Mejora del tema de adAS SSO para hacerlo responsive/adaptativo
  • Posibilidad de teclado virtual al introducir la contraseña del usuario en el tema de adAS SSO
  • Módulo de consentimiento de atributos, para que el usuario acepte el envío de la información que adAS SSO va a realizar al Proveedor de Servicio

Fuentes de datos

  • Mejoras en las fuente de datos para permitir obtener la información de autenticación por certificado digital en cualquier momento del proceso; ya sea en la autenticación, atribución o autorización
  • Optimización en el tiempo de ejecución al obtener los atributos de bases de datos
  • Nueva implementación de la conexión con Oracle a través del interfaz PDO, utilizado tanto como fuente de datos como en la gestión de la base de datos de estadísticas

Protocolos

  • Implementación de los grants Implicit y Resource Owner del protocolo OAuth2
  • Adición de los protocolos OpenID v1.1, OpenID v2.0 y OpenIDConnect
  • Implementación del perfil ECP de SAML2, permitiendo una integración completa con Live365 sin necesidad de ADFS
  • Autenticación pasiva tanto en PAPI como en SAML2
  • Mejora en el cumplimiento del estándar SAML 2. Ahora adAS SSO es más estricto en la validación de los mensajes, tal como aconseja el estándar.

Autenticación

  • Se han añadido los métodos de autenticación delegada Cl@ve y @Firma por fachada
  • También se han ampliado los parámetros a configurar en las autenticaciones delegadas, tales como el formato de los atributos recibidos y acciones para el procesado de los mismos
  • Se ha mejorado la autenticación por x509, haciendo más simple, certera y completa su configuración, así como su funcionamiento.

Autorización

  • Posibilidad de activar el uso de Candao 2.0 en la política de autorización de Proveedor de Servicio

Autorización

  • Posibilidad de activar el uso de Candao 2.0 en la política de autorización de Proveedor de Servicio

API REST

La API REST se ha completado para que todos los recursos de adAS SSO estén disponibles a través de la misma:

  • Atributos
  • Candao 2.0
  • Configuraciones
  • Estadísticas
  • Eventos
  • Fuentes de datos
  • Gestión OAuth 2 y OpenID Connect
  • Logs
  • Metadatos
  • Monitorización
  • Vinculación de dispositivos y aplicaciones

Logs

  • Posibilidad de configurar el nombre de fichero de logs en base al nombre de la máquina, facilitando que varios nodos escriban sus logs en el mismo directorio sin conflictos
  • Posibilidad de añadir determinados mensajes de logs, según configuración, como eventos en adAS SSO

Estadísticas

  • Se incorpora a la información de estadísticas los datos del usuario acerca de la IP y el dispositivo desde el que se realizó la autenticación, pudiendo así mejorar las auditorías de los mismos

Gestión del Single Sign-On

Se han añadido diversas mejoras en la gestión del Single Sign-On tales como:

  • Mejoras en la administración de un Proveedor de Servicio:
    • Posibilidad de deshabilitar un SP durante un tiempo determinado e incluso configurar una fecha a partir de la cual el SP no estará disponible
    • Visualización de contactos
    • Nuevo campo “observaciones” sobre un SP
  • Nuevo motor inteligente de detección de navegador
  • Configuración del nivel de evento a partir del cual se enviará correo electrónico informando sobre ello

Para más información acerca de estas mejoras y de los bugs que corrije esta versión, consultar el archivo Release-Notes.txt de adAS SSO 1.7.0.

Identificador privado de usuario en adAS SSO
Archivado en la categoría (adAS, Identidad Digital, Privacidad) por Teresa
Publicado el 11-01-2017

Un identificador privado de usuario permite tracear la actividad de dicho usuario en una aplicación determinada, sin necesidad de conocer ningún dato adicional sobre la identidad del usuario y que tampoco pueda ser utilizado para adivinar su identidad. Pero aun así sirva para informar a la organización del usuario de un evento o incidencia relacionado con el usuario y que dicha organización pueda saber qué usuario es.

Este identificador debe cumplir las siguientes características:

  • Persistente: debe ser el mismo para una misma aplicación durante un tiempo de vida considerable, que le permita a dicha aplicación identificar al usuario en su lógica de negocio durante el tiempo necesario
  • Privado: no debe permitir averiguar quién es el usuario y qué actividad realiza en otras aplicaciones
  • Único: debe ser el mismo valor siempre para una misma aplicación, no permitiendo reutilizar su valor para otros usuarios

En muchos sistemas este identificador privado es conocido como el atributo eduPersonTargetedID. Una generación correcta de valor para este atributo debe contemplar una cadena alfanumérica opaca generada en base a datos que identifiquen al usuario y a la propia aplicación a la que trata de acceder el usuario. Por ejemplo:

MD5( «SEMILLA/».$ID_USUARIO.»/».$ID_APLICACIÓN)

Al utilizar una función de resumen (en el ejemplo MD5 ) nos permite generar una cadena alfanumérica que no es reversible a su valor original.

En adAS 1.6.0o las fuentes de datos tipo «Información de adAS» permiten generar identificadores privados de usuario, para lo cual utiliza el identificador del usuario en el Proveedor de Identidad, es decir, aquel atributo que hayamos indicado en el módulo de autenticación que queramos utilizar como identificador de usuario dentro de adAS SSO, y el identificador opaco del Proveedor de Servicio. Este identificador opaco es un valor aleatorio generado por adAS SSO cuando se añade un Proveedor de Servicio (SP) en el SSO y no es modificado durante todo su ciclo de vida, ni en un cambio de ID de entidad del SP.

Para enviar un identificador privado de usuario en una política de emisión de atributos de un SP, debemos definir el atributo de la siguiente manera:

eduPersonTargetedID = self::nocachedFirstHookDB(‘ADASINFO’, ‘ADAS_PRIVATE_USER_ID’)

Donde ADASINFO es el identificador de una fuente de datos tipo «Información de adAS».

Gracias a este atributo ‘ADAS_PRIVATE_USER_ID’, adAS SSO nos generará siempre un valor cumpliendo las características de persistente, privado y único, para cada par (ID usuario en adAS SSO, ID opaco SP) o si hubiera algún problema no devolvería ningún valor, pudiendo así la aplicación informar del problema.

Publicada revisión adAS 1.6.0o
Archivado en la categoría (adAS, PRiSE) por Teresa
Publicado el 11-01-2017

adASSSO

Acabamos de publicar adAS v1.6.0o, revisión de la rama 1.6.0 que se centra en resolver problemas encontrados recientemente. Se han corregido los siguientes bugs:

  • ADAS-1209: El tema de adAS con LoA activo no deshabilita el formulario de usuario/contraseña
  • ADAS-1208: Error creando número aleatorio para menos de 1 byte
  • ADAS-1205: Ataques LDAP inyection a través de la API REST
  • ADAS-1204: Error en la autenticación usuario y contraseña mediante Base de datos
  • ADAS-1202: Las notificaciones de contraseña próxima a caducar se muestran siempre
  • ADAS-1199: Error generando ePTID y NameID en base a valores vacíos
  • ADAS-1196: Warning de PHP en los log de admin al guardar configuración
  • ADAS-1195: Claves de la administración clásica no traducidas
  • ADAS-814: Redimensionamiento erróneo de las tablas en Eventos

Para más información acerca de estas mejoras y de otros bugs corregidos, consultar el archivo Release-Notes.txt de adAS 1.6.0o.

Publicada revisión adAS 1.6.0k
Archivado en la categoría (adAS, PRiSE) por Teresa
Publicado el 01-07-2016

adASSSO

Se ha publicado adAS v1.6.0k, revisión de la rama 1.6.0 que se centra en resolver problemas encontrados recientemente. Se han corregido los siguientes bugs:

  • ADAS-1071 Error en definición de formato de línea de log
  • ADAS-1070 Error en diálogo de autenticación X509
  • ADAS-1069 No es posible indicar datos de UI en los metadatos propios
  • ADAS-1068 No es posible indicar el scope en los metadatos propios
  • ADAS-1067 Imposible de definir información de la organización y contactos en metadatos propios
  • ADAS-1066 Falta información en detalles de certificado en Metadatos propios
  • ADAS-1065 Falta información en detalles de certificado en SAML2
  • ADAS-1064 Anomalías en monitorización
  • ADAS-1063 Error en logout PAPI
  • ADAS-1060 Error al procesar el emisor de una petición SAML2 si el valor de SAMLRequest no es válido
  • ADAS-1059 Error al obtener valor de la caché en MSSQL
  • ADAS-1058 Log erroneo en DB.class.php
  • ADAS-1047 Errores en terminología
  • ADAS-1038 adAS no provoca un error temprano al detectar que un certificado pertenece a una CA reconocida
  • ADAS-1033 Falta de datos de debug en la autenticación x509
  • ADAS-1027 Métodos privados en la clase X509Validator

Esta revisión es especialmente interesante a aquellos que ya disponen de adAS 1.6.0b y está desplegado detrás de un balanceador de carga.

Para más información acerca de estas mejoras y de otros bugs corregidos, consultar el archivo Release-Notes.txt de adAS 1.6.0k.