AutenticA Optimizando la gestión de usuarios

Presentación del tema: "AutenticA Optimizando la gestión de usuarios"— Transcripción de la presentación:

1

2 AutenticA Optimizando la gestión de usuarios
Secretaría General de Administración Digital Federico Castejón

3 Servicio AutenticA Servicio de autenticación, autorización y SSO para aplicaciones internas de las AA.PP. Orientado a empleados públicos, altos cargos y personal relacionado Más de cuatro años en producción Todas las aplicaciones de la SGAD deben migrar para uso de AutenticA

4 Objetivos Constituirse como el servicio común compartido de autenticación de referencia dentro de las AA.PP. para aplicaciones internas. Servicios de autenticación, autorización y SSO de empleados públicos, altos cargos y usuarios relacionados Repositorio de usuarios cada vez más completo Proveedor de atributos

5 Aplicaciones sindicadas
En producción En proceso de integración AdmElec (IGAE) Almacén Carpeta Ciudadana (administración) EasyVista EIEL Gobernanza-Contratación (Patrimonio) InfoSARA, Infoblox, CA-Spectrum y CABI IVO y GAMO (PME) PAe (Portal de Administración Electrónica) Plataforma de Intermediación (WS) RCP, Badaral y Portal CECIR Sistema Integrado de Mensajería (SIM) SITE (Tablón Edictal Único - BOE) TRAMA Verifica, CCUID (Interior) DIRe (Directorio de empresas) Fondos Europeos y Galatea Geiser Inside REA y RFH RECESPE (Registro de convenios) Notifica ORVE PAG Portafirmas Portal Funciona PROCONTRA, SIGIDISP (Patrimonio) Recursos Administrativos Sistema Integrado de Gestión de Personal (SIGP)

6 Estadísticas 2016 2017 (junio) 2018 (febrero) Aplicaciones sindicadas
25 Aplicaciones en proceso de sindicación 28 27 Nº de Autenticaciones (acumulado 12 meses anteriores) 45.594 51.840 Nº de usuarios activos mensuales 1.902 2.845 6.933 Usuarios del LDAP de AutenticA

7 Autenticación Medios de autenticación
Certificado electrónico y DNI electrónico Usuario y contraseña Autenticación basada en SAML o CAS Se devuelve un XML con los datos del usuario Autenticación basada en LDAP Sólo mediante contraseña Para aplicaciones de terceros, ej: cloud, correo, etc…

8 Niveles de seguridad Nivel ENS Nivel de Registro Credencial
Modo de registro Nivel LOPD Básico Contraseña débil Telemático a partir de datos del LDAP - Fuerte Contraseña fuerte Telemático con certificado electrónico Desde Bajo Medio Contraseña fuerte con doble factor (2018) Certificado en soporte SW Presencial Alto DNI electrónico Certificado soporte HW

9 Política de contraseñas
Las contraseñas de AutenticA disponen de las siguientes medidas de seguridad: Longitud mínima: 8 caracteres alfanuméricos Caducidad: 6 meses Bloqueo: ante intentos reiterados de acceso Histórico de contraseñas: La nueva no puede haber sido utilizada previamente Sólo se pueden reutilizar al año de su uso inicial Histórico indefinido

10 Autenticación SAML o CAS
Aplicación sindicada 1 acceso Acceso usuario 4 Autenticación OK 2 Certificado o usuario y contraseña 3 validación de certificado LDAP SAML 2.0 (Security Assertion Markup Language 2.0)

11 Librería aut-sdk Librería de integración para aplicaciones
Lectura del XML de respuesta Independiza frente a modificaciones del XML Validación de la firma del XML Disponible en JAVA, PHP y .NET

12 Autenticación basada en LDAP
2 validación contraseña 1 acceso Aplicación de terceros LDAP Acceso usuario Aplicaciones en producción EasyVista CA-Spectrum Infoblox Cuadro de mando de comunicaciones

13 Federación con otros LDAPs
Validación en Autentica SEFP LDAP LDAP Validación en repositorios federados Contraseña Autenticación y Servicios web Acceso usuario Meyss LDAP Configurable por aplicación

14 Autorización Autorización:
AutenticA almacena los permisos de las aplicaciones Se entregan a la aplicación con el XML de respuesta Opcional para las aplicaciones Permite delegar completamente la gestión de usuarios a AutenticA Administración delegada y por aplicaciones

15 Autorización Permisos por aplicación Ámbito: Perfiles Roles
Unidad DIR3 Provincia Definido por aplicación Perfiles Administrador, consulta, etc… Roles Califican el perfil Rol_por_defecto Aplicación Ámbito Perfil Rol

16 Provisión de usuarios (I)
Fuentes primarias Registro Central de Personal Registro de funcionarios locales con habilitación nacional Portal de EE.LL. Cargos representativos Altos cargos (en desarrollo) Altas manuales Requiere firma electrónica del administrador Autoregistro Requiere firma electrónica del solicitante Se almacena el origen de cada usuario

17 Provisión de usuarios (II)
Datos básicos Se obtienen de las fuentes primarias en su caso Nombre y apellidos, cargo, centro de destino, etc... Datos de contacto Los mantiene el usuario de forma voluntaria Correo-e, de dominios oficiales Teléfono Atributos de los usuarios con codificación de DIR3 Unidad de destino País, provincia y localidad de destino

18 Servicios web Securizados con WS-Security y certificados
Aprovisionamiento Solicitud de alta y modificación de usuario Autenticación de usuario Autenticación a través de usuario y contraseña Autorización Alta y baja de permisos Obtención de datos Cargo y unidad Perfil completo

19 Solicitud de alta Petición a través del formulario de incidencias
Plantilla excel para el alta ACL_Autentica.v1_3.xlsx Nombre de la aplicación Responsable y correo Forma de acceso: SAML, CAS o WS Url de respuesta (caso de CAS o SAML) Nivel de seguridad Certificado de acceso (caso de WS) IP’s de los servidores de la aplicación Entorno (servicios estables o producción)

20 Más información AutenticA PAE/CTT Consultas/incidencias
PAE/CTT Consultas/incidencias

21 Muchas gracias