Guía del administrador de negocio de Sun Identity Manager 8.1

Autenticación al paso

Utilice autenticación al paso para conceder acceso de usuario y administrador con una o más contraseñas distintas.

Identity Manager administra la autenticación mediante la implementación de:

Aplicaciones de inicio de sesión (una colección de grupos de módulos de inicio)
Grupos de módulos de inicio de sesión (un conjunto ordenado de módulos de inicio de sesión)
Módulos de inicio de sesión (se define la autenticación para cada recurso asignado y se especifica uno de varios requisitos satisfactorios para la autenticación)

Acerca de las aplicaciones de inicio de sesión

Las aplicaciones de inicio de sesión hacen referencia a un conjunto de grupos de módulos de inicio de sesión que definen el conjunto y orden de los módulos de inicio de sesión que se utilizarán cuando un usuario inicie una sesión de Identity Manager. Cada aplicación de inicio de sesión consta de uno o más grupos de módulos de inicio de sesión.

Al iniciar la sesión, la aplicación comprueba el conjunto de los grupos de módulos de inicio de sesión. Si sólo hay un grupo de módulos de inicio de sesión establecido, se utiliza dicho módulo y se procesan los módulos de inicio de sesión contenidos en él en el orden definido por el grupo. Si la aplicación de inicio de sesión tiene más de un grupo de módulos de inicio de sesión definido, Identity Manager comprueba las reglas de restricción de inicio de sesión que se aplican a cada grupo de módulos de inicio de sesión para determinar el grupo que va a procesar.

Reglas de restricciones de inicio de sesión

Las reglas de restricciones de inicio de sesión se aplican a los grupos de módulos de inicio de sesión. Para cada conjunto de grupos de módulos de inicio de sesión de una aplicación de inicio de sesión, sólo puede haber uno que no tenga una regla de restricciones de inicio de sesión aplicada.

Al determinar el grupo de módulos de inicio de sesión de un conjunto que se va a procesar, Identity Manager evalúa la primera regla de restricciones del grupo de módulos de inicio de sesión. Si la evalúa correctamente, procesa ese grupo de módulos de inicio de sesión. Si falla, evalúa cada grupo de módulos de inicio de sesión hasta encontrar una regla de restricciones adecuada o evaluar un grupo de módulos de inicio de sesión sin regla de restricciones (que será el que se utilice).

Nota –

Si una aplicación de inicio de sesión contiene más de un grupo de módulos de inicio de sesión, el grupo de módulos de inicio de sesión sin reglas de restricciones de inicio de sesión debe colocarse en último lugar.

Ejemplo de regla de restricciones de inicio de sesión

En el siguiente ejemplo de una regla de restricciones de inicio de sesión basada en la ubicación, la regla toma la dirección IP del solicitante del encabezado HTTP y después la comprueba para ver si se encuentra en la red 192.168. Si se encuentra 192.168. en la dirección IP, la regla devolverá un valor “true” y se seleccionará el grupo de módulos de inicio de sesión.

Ejemplo 12–1 Regla de restricciones de inicio de sesión basada en ubicación

<Rule authType=’LoginConstraintRule’ name=’Sample On Local Network’> 
<match> <ref>remoteAddr</ref> <s>192.168.</s> </match> 
<MemberObjectGroups> <ObjectRef type=’ObjectGroup’ name=’All’/> </MemberObjectGroups> 
</Rule>

Edición de aplicaciones de inicio de sesión

En la barra de menús, seleccione Seguridad -> Inicio de sesión para acceder a la página de inicio de sesión.

La lista de aplicaciones de inicio de sesión muestra:

Cada aplicación de inicio de sesión (interfaz) de Identity Manager definida.
Los grupos de módulos de inicio de sesión que componen la aplicación de inicio de sesión.
Los límites de tiempo de espera de sesión de Identity Manager establecidos para cada aplicación de inicio de sesión.

En la página de inicio de sesión puede:

Crear aplicaciones de inicio de sesión personalizadas.
Borrar aplicaciones de inicio de sesión personalizadas.
Administrar grupos de módulos de inicio de sesión.

Para editar una aplicación de inicio de sesión, selecciónela en la lista.

Configuración de los límites de sesión de Identity Manager

En la página Modificar aplicación de inicio de sesión puede definir un valor de tiempo de espera (límites) para cada sesión iniciada en Identity Manager. Seleccione horas, minutos y segundos y, a continuación, haga clic en Guardar. Los límites que establezca se mostrarán en la lista de aplicaciones de inicio de sesión.

Puede definir tiempos de espera de sesión para cada aplicación de inicio de sesión en Identity Manager. Cuando un usuario inicia una sesión en una aplicación de Identity Manager, el valor de tiempo de espera de sesión configurado actualmente se aplica para calcular la fecha y la hora en que la sesión del usuario terminará por inactividad. La fecha calculada se almacena con la sesión de Identity Manager del usuario de modo que pueda comprobarse cada vez que se efectúe una solicitud.

Si un administrador de inicio de sesión cambia el valor de tiempo de espera de sesión de una aplicación de inicio de sesión, dicho valor se aplicará a todos los inicios de sesión posteriores. Las sesiones existentes terminarán de acuerdo con el valor que había vigente cuando el usuario inicio la sesión.

El valor definido para el tiempo de espera de HTTP afecta a todas las aplicaciones de Identity Manager tiene prioridad sobre el valor de tiempo de espera de sesión de la aplicación de inicio de sesión.

Inhabilitación del acceso a aplicaciones

En las páginas Crear aplicación de inicio de sesión y Modificar aplicación de inicio de sesión se puede seleccionar la opción Inhabilitar para inhabilitar una aplicación de inicio de sesión, con el fin de impedir el acceso de los usuarios. Si un usuario intenta iniciar una sesión en una aplicación inhabilitada, se le redirige a una página alternativa que le advierte de que la aplicación está inhabilitada en ese momento. Para editar el mensaje que aparece en dicha página puede editar el catálogo personalizado.

Las aplicaciones de inicio de sesión permanecen inhabilitadas hasta que se desactiva la opción. Como medida de seguridad, el usuario no puede inhabilitar el inicio de sesión del administrador.

Edición de grupos de módulos de inicio de sesión

La lista de grupos de módulos de inicio de sesión muestra:

Cada grupo de módulos de inicio de sesión
Los distintos módulos de inicio de sesión que forman un grupo
Si un grupo de módulos de inicio de sesión contiene reglas de restricciones.

En la página Grupos de módulos de inicio de sesión puede crear, editar y eliminar grupos de módulos de inicio de sesión. Para editar un grupo de módulos de inicio de sesión, selecciónelo en la lista.

Edición de módulos de inicio de sesión

A continuación se explica cómo introducir detalles o seleccionar opciones para los módulos de inicio de sesión. (No todas las opciones están disponibles para cada módulo de inicio de sesión.).

Requisito para un inicio de sesión correcto. Seleccione un requisito que se aplique a este módulo. Las opciones son:
- Requerido. Es necesario el módulo de inicio de sesión para una autenticación con éxito. Independientemente de si se realiza con éxito o falla, la autenticación continúa con el siguiente módulo de inicio de sesión de la lista. Si es el único módulo de inicio de sesión, el usuario o el administrador ha iniciado la sesión con éxito.
- Requisito. Es necesario el módulo de inicio de sesión para una autenticación con éxito. Si se realiza con éxito, la autenticación continúa con el siguiente módulo de inicio de sesión de la lista. Si falla, la autenticación no continúa.
- Suficiente. No es necesario el módulo de inicio de sesión para una autenticación con éxito. Si se realiza con éxito, el proceso de autenticación no necesita pasar al siguiente módulo de inicio de sesión y el administrador accede correctamente. Si fracasa, el proceso de autenticación continúa con el siguiente módulo de inicio de sesión de la lista.
- Opcional. No es necesario el módulo de inicio de sesión para una autenticación con éxito. Independientemente de si se realiza con éxito o falla, la autenticación continúa con el siguiente módulo de inicio de sesión de la lista.
Atributos de búsqueda de inicio de sesión. (Sólo LDAP.) Especifique la lista ordenada de nombres de atributos de usuarios de LDAP que se vaya a utilizar al intentar iniciar la sesión en el servidor LDAP asociado. Cada atributo de usuario de LDAP especificado, junto con el nombre de inicio de sesión especificado del usuario, se utiliza para buscar un usuario de LDAP que coincida. Esto permite que un usuario inicie la sesión en Identity Manager utilizando una dirección de correo electrónico o un cn de LDAP (cuando Identity Manager está configurado para autenticación al paso en LDAP).

Por ejemplo, si especifica lo siguiente y el usuario intenta iniciar la sesión como gwilson, el recurso de LDAP intentará primero encontrar un usuario de LDAP cuyo cn=gwilson.

cn

mail

Si lo encuentra, se intenta establecer la conexión utilizando la contraseña especificada por el usuario. Si no se consigue, el recurso de LDAP buscará un usuario de LDAP cuyo mail=gwilson. Si también falla esto, se producirá un error en el inicio de sesión.

Si no especifica un valor, los atributos predeterminados de búsqueda de LDAP son:

uid

cn
Regla de correlación de inicio de sesión. Seleccione una regla de correlación de inicio de sesión para usarla con objeto de asignar la información de inicio de sesión que proporciona el usuario a un usuario de Identity Manager. Esta regla se utiliza para buscar usuarios de Identity Manager mediante la lógica especificada en la regla. La regla debe ofrecer una lista de uno o varios elementos AttributeConditions que se utilizarán para buscar el usuario de Identity Manager que coincida. La regla que seleccione debe tener el tipo de autenticación LoginCorrelationRule authType. Los pasos que sigue Identity Manager para asignar un ID de usuario autenticado a un usuario de Identity Manager se describen en el Ejemplo 12–2.
Regla de nombre de usuario nuevo. Seleccione una regla de nombre de usuario nuevo para usarla al crear automáticamente usuarios de Identity Manager como parte del inicio de sesión.

Haga clic en Guardar para guardar el módulo de inicio de sesión. Una vez guardado, puede ubicar el módulo con relación a los otros módulos del grupo de módulos de inicio de sesión.

Precaución –

Si el inicio de sesión de Identity Manager está configurado para autenticar en más de un sistema, se debe definir el mismo ID de usuario de cuenta y la misma contraseña en todos los sistemas en los que Identity Manager realiza la autenticación.

Si varían las combinaciones de ID de usuario y contraseña, el inicio de sesión puede fallar en los sistemas cuyos ID de usuario y contraseña no coincidan con aquéllos introducidos en el formulario de inicio de sesión de Identity Manager.

Algunos de estos sistemas pueden tener una directiva de bloqueo que fuerce el bloqueo de una cuenta tras un número de intentos erróneos de inicio de sesión. En estos casos, las cuentas se acaban bloqueando, incluso aunque los usuarios sigan iniciando las sesiones satisfactoriamente en Identity Manager.

El Ejemplo 12–2 contiene seudocódigo que describe los pasos que sigue Identity Manager para asignar IDs de usuario autenticado a usuarios de Identity Manager.

Ejemplo 12–2 Lógica de proceso de módulo de inicio de sesión

if an existing IDM user’s ID is the same as the specified user ID 

   if that IDM user has a linked resource whose resource name matches the 
   resource that was authenticated and whose accountId matches the resource 
   accountId returned by successful authentication (e.g. dn), then we have 
   found the right IDM user 

   otherwise if there is a LoginCorrelationRule associated with the 
   configured login module 

      evaluate it to see if it maps the login credentials to a single IDM 
      user 

      otherwise login fails 

   otherwise login fails 

if the specified userID does not match an existing IDM user’s ID 

   try to find an IDM user that has a linked resource whose resource 
   name matches the resource accountID returned by successful authentication 

     if found, then we have found the right IDM user 

     otherwise if there is a LoginCorrelationRule associated with the 
     configured login module 

         evaluate it to see if it maps the login credentials to a single 
         IDM user 

         otherwise login fails 

     otherwise login fails

En el Ejemplo 12–2, el sistema intentará encontrar un usuario coincidente de Identity Manager empleando los recursos vinculados del usuario (información de recursos). Si falla el intento con la información de recursos y hay configurada una regla de correlación de inicio de sesión, el sistema intentará encontrar un usuario coincidente aplicando dicha regla.