Proveedor de Seguridad: Autenticación de Aplicaciones¶

Descripción General¶

El proveedor de seguridad de autenticación de aplicaciones permite a los desarrolladores crear sus propios formularios de inicio de sesión. Los desarrolladores pueden autenticar clientes utilizando un enfoque adecuado para la aplicación. Por ejemplo, es posible que las aplicaciones quieran:

• Mantener sus propias cuentas de usuario.
• Validar credenciales con un externo.
• Verifique un número de teléfono enviando un mensaje de texto con un código de acceso de un solo uso (OTP).
• Permitir que los clientes inicien sesión de forma semianónima.

El proveedor de seguridad de autenticación de aplicaciones es fundamentalmente una forma de autenticación de usuario externo. Sin embargo, en lugar de redirigir a los clientes a un proveedor de identidad (IdP) de externo, los clientes son redirigidos a una página de Vinyl. De lo contrario, el flujo es el mismo.

Configuración¶

Parámetros¶

Autenticación¶

Una aplicación autentica a los clientes insertando en el Authenticate objeto de datos públicos. El Authenticate objeto de datos requiere un ProviderId. El ProviderId identifica el proveedor de seguridad de autenticación de aplicaciones. Además, la solicitud debe proporcionar una o ambas de las siguientes afirmaciones:

• Name - Reclamación de nombre de usuario, p. arthur.dent.
• NameIdentifier - Identificador persistente y opaco. [1]

La aplicación puede apuntar a las siguientes columnas para proporcionar reclamos adicionales:

• EmailAddress - Dirección de Correo, por ejemplo, arthur.dent@example.com
• FullName - Nombre completo, p.e. Arturo Dent.
• DisplayName - Nombre para mostrar, p. Arturo.
• PhoneNumber - Número de teléfono.
• Group - Tipo de cadena, el nombre del grupo que desea agregar. Limitado a un solo grupo.
• AppUserId - Identificador de usuario de la aplicación interna.

Vinyl asignará la identidad proporcionada a una cuenta de usuario. Si la identidad no se puede asignar a una cuenta de usuario de Vinyl y se ha habilitado el aprovisionamiento de usuarios, Vinyl intentará aprovisionar un usuario. Si el aprovisionamiento de usuarios no está habilitado o la cuenta no se puede aprovisionar, se producirá un error.

Una vez que haya iniciado sesión, Vinyl redirigirá automáticamente al usuario. Si el proceso de inicio de sesión comenzó con un desafío, Vinyl redirigirá al usuario a la página que emitió el desafío. De lo contrario, Vinyl redirigirá al usuario a la página predeterminada, ya sea la página predeterminada del proveedor de seguridad o la página predeterminada del usuario.

Desafío¶

Las aplicaciones pueden iniciar el proceso de inicio de sesión emitiendo un desafío. Para emitir un desafío, inserte en el Challenge objeto de datos públicos. Luego, Vinyl redirigirá al cliente al proveedor de seguridad de autenticación de aplicaciones.

El Challenge objeto de datos requiere un ProviderId. El ProviderId identifica el proveedor de seguridad de autenticación de aplicaciones.

Diseño¶

El usuario anónimo debe tener acceso a la aplicación y a las páginas que constituyen el formulario de inicio de sesión. Considere la posibilidad de crear una aplicación independiente para fines de autenticación. Normalmente, las opciones Mostrar en el menú y Tratar como aplicación predeterminada estarán deshabilitadas para esta aplicación.

Al apuntar a la AppUserId columna, los desarrolladores pueden proporcionar un identificador interno. Aunque Vinyl no hace uso de la AppUserId, está disponible para los desarrolladores a través de who('appuserid') función.

Si la aplicación o el proveedor de seguridad pertenecen a un dominio, deben pertenecer al mismo dominio.

Limitaciones¶

• Los promotores sólo podrán presentar una única reclamación colectiva.
• El proveedor de autenticación de aplicaciones solo admite las afirmaciones conocidas antes mencionadas: no admite afirmaciones arbitrarias.
• El proveedor de autenticación de aplicaciones se puede utilizar para iniciar sesión en Vinyl. No se puede utilizar para autorizar a usuarios que ya han iniciado sesión.

[1] Perfiles de identificador de nombre y gestión en SAML 2.0