Políticas de acceso y contraseñas en Plataforma

Desde versión de Plataforma 1.6.2.

Capacidades

Para brindar una mayor seguridad a los usuarios se han añadido nuevas funcionalidades, restricciones y validaciones a la plataforma.

Estas se pueden modificar y configurar por entorno (aparecerá una nueva Configuración Central gestionable por administrador desde el Control Panel,

Ver https://onesaitplatform.atlassian.net/wiki/spaces/PT/pages/214401056. La entrada se denomina EXPIRATIONUSERS. Ésta es la configuración por defecto (Desde 1.6.2-Empire).

 

ExpirationUsersPass:

cron: "0 0 0 ? * * *"

En este parámetro, estamos indicando que compruebe a las 00:00:00am cada día si las contraseñas están caducadas, es decir: estamos indicando cada cuánto tiempo se debe ejecutar la tarea de comprobación de las contraseñas.

timeLifePass: 180

Aquí se indica cuantos días tiene de validez la contraseña. En este caso, el valor por defecto es de180 días.

noticesDaysBefore: 10

Con este parámetro indicamos el número de días antes de que la contraseña caduque que se enviara un mensaje diariamente a modo de recordatorio, para informar que esto va a suceder.(Desde 1.6.2-Empire)

maxInactiveDays: 30

Este parámetro establece el número de días que si un usuario no a accedido a la plataforma el usuario quedará con estado inactivo y tendrá que ponerse en contacto con el administrador para que se vuelva a activar. El valor por defecto es de 30 días.

password.pattern:

Las contraseñas admitidas se basan en este patrón:

password.pattern: (?=^.{10,255}$)((?=.*\d)|(?=.*\W+))(?![.\n])(?=.*[A-Z])(?=.*[a-z]).*$

Esto requiere una contraseña de entre 10 y 255 caracteres que contenga mayúsculas, minúsculas, números y caracteres especiales como, por ejemplo !

Authentication:

limitFailedAttemp: 3

Aqui se establece en tres el número de intentos para acceder a la plataforma con un usuario.

Se puede configurar desde la Configuración Centralizada:

Si se produce el fallo de acceso debido a introducir erróneamente la contraseña el usuario queda como inactivo, se manda un correo para comunicar al usuario que se ha producido este hecho y para indicarle que tiene que ponerse en contacto con el administrador para activar la cuenta (Desde 1.6.2-Empire).


numberLastEntriesToCheck: 5

Este parámetro se utiliza al cambiar la contraseña, la nueva contraseña no podrá coincidir con ninguna de las (N) últimas contraseñas que haya usado el usuario (en este caso con las 5 últimas), controlándose desde plataforma un histórico de las contraseñas utilizadas.

ResetUserPass:

hours: 7

Cuando se resetea una contraseña, aquí indicamos el número de horas que tendrá validez la contraseña enviada por correo.

cron: "0 0 * ? * * *"

Estamos indicando cada cuánto tiempo se debe lanzar la tarea que verifica el tiempo de validez de la contraseña que se le ha enviado por correo a los usuarios. Para salir de este estado el usuario debe cambiar la contraseña.

Resumen

  • Estas funcionalidades están parametrizadas en el apartado EXPIRATIONUSERS accesible desde configuration management.

  • Para que los cambios en EXPIRATIONUSERS tomen efecto se debe reiniciar desde Rancher los servicios controlpanel y rtdb-maintainer, para que se reinicien las tareas que validan las cuentas de usuario.

  • La contraseña caducará a los (N) días de establecerse. Además cuando esté próxima la expiración (M días antes), se mandará un correo cada día a modo recordatorio al usuario: M y N son configurables por entorno (Desde 1.6.2-Empire).

  • Cuando un usuario no haya accedido a la plataforma en N días, se desactivará, y sólo un administrador podrá activarlo de nuevo (Desde 1.6.2-Empire).

  • Se forzará al usuario a cambiar la cotnraseña cuando se use por primera vez para acceder a la consola después de que se produzca un evento de reseteo de contraseña (ya sea por un administrador o por el usuario), durante el cual se enviará un correo al usuario con una contraseña aleatoria temporal.

    • Si intenta acceder a cualquier servicio REST con esa contraseña temporal aleatoria, se le denegará el acceso.

    • Se podrá resetear la contraseña desde el ControlPanel o desde API REST (Desde 2.1.0-gradius).

  • Una contraseña temporal aleatoria (producto del evento de reseteo) caducara a las N horas, siendo N configurable (Desde 2.1.0-gradius).

  • Para el administrador se ha añadido en el listado de gestión de usuarios, una opción para el reseteo de contraseñas para tener una gestión más agil de los usuarios (Desde 2.1.0-gradius).

  • A partir de la versión 2.2.0-hyperblast se permite poner ciertos parámetros con el valor -1 para que no tomen efecto.

Formato de las contraseñas con gestor de identidades básico

Las contraseñas que se permiten por defecto en el gestor de identidades básico debe cumplir un patrón el cual valida que debe contener letras mayúsculas, minúsculas, números y caracteres especiales como la ! Por ejemplo, la longitud mínima es 10 y la máxima es de 255 caracteres.