Saltar al contenido

Aprovisionamiento de Usuarios y Grupos

Vinyl admite el aprovisionamiento automatizado de usuarios y grupos. El aprovisionamiento reduce la carga administrativa al minimizar la creación manual de usuarios y grupos dentro de Vinyl.

Estrategias de Aprovisionamiento

Las estrategias de aprovisionamiento se dividen en una de dos categorías:

  1. Justo a tiempo (JIT): las cuentas de usuario se crean según demanda durante el proceso de inicio de sesión.
  2. APIs de proveedor de servicios (SP): los proveedores de identidad (IdP) administran usuarios y grupos a través de APIs proporcionadas por SP.

Cada enfoque tiene ventajas y desventajas.

Las desventajas del aprovisionamiento JIT incluyen:

  • Los usuarios no pueden ser dados de baja.
  • El SP no dispone de una lista completa de usuarios y grupos.
  • Los usuarios y grupos pueden desincronizarse si no tienen un identificador inmutable (como un GUID o SID).

Los inconvenientes de las APIs de SP incluyen:

  • La mayoría de las APIs de SP son propietarias (Salesforce, Azure, Google, etc.). Estándares emergentes, como el Sistema para Gestión de identidades entre dominios (SCIM), no se implementan comúnmente.
  • Una API de SP es más complicada de configurar y a menudo requiere una codificación personalizada.
  • Todos los usuarios deben estar registrados en el SP. Las cuentas de usuario existentes deben registrarse de forma masiva durante la configuración inicial.

La Estrategia de Aprovisionamiento de Vinyl

Vinyl implementa el aprovisionamiento JIT a nivel de proveedor de seguridad. Cuando está habilitado, Vinyl crea cuentas de usuario después de validar exitosamente los tokens de seguridad (como una aserción SAML o un código de autorización OAuth 2.0).

Al configurar el aprovisionamiento de usuarios, los administradores pueden indicar si el token de seguridad incluye membresía de grupo. En cuyo caso, Vinyl extraerá los grupos del token de seguridad, los registrará dentro de Vinyl y asociará al usuario con esos grupos. Tenga en cuenta que no todos los esquemas de autenticación admiten esta opción. Revise la documentación del proveedor de seguridad para obtener más información.

Como se señaló anteriormente, la estrategia JIT no admite el desaprovisionamiento de usuarios. Vinyl mitiga esta limitación al no permitir el inicio de sesión local. Específicamente, si a la cuenta de usuario no se le ha asignado una contraseña, el usuario no podrá iniciar sesión en Vinyl directamente. De todos modos, los administradores de seguridad deberán iniciar sesión en Vinyl y eliminar las cuentas de usuario huérfanas.

Habilitación del Aprovisionamiento

El aprovisionamiento de usuarios presupone que la autenticación se delega a un proveedor de identidad (IdP). Como tal, el aprovisionamiento de usuarios requiere un proveedor de seguridad de autenticación, como un proveedor de seguridad de inicio de sesión único (SSO). Los ejemplos incluyen SAML SSO (como Okta), WS-Federation (Azure Active Directory o Active Directory Federation Services) u otros proveedores de autenticación externos (por ejemplo, Salesforce).

El aprovisionamiento de usuarios está deshabilitado de forma predeterminada y debe habilitarlo un administrador de seguridad. Para habilitar el aprovisionamiento de usuarios:

  1. Navegue hasta IDE.
  2. Haga clic en Proveedores de seguridad.
  3. Haga doble clic en el proveedor de seguridad correspondiente en el panel Autenticación de usuario.
  4. Haga clic en Editar en el panel Proveedor.
  5. Marque la opción Aprovisionamiento de usuarios.
  6. Haga clic en el botón Guardar.

Asignación de Identidades a Usuarios Existentes

De forma predeterminada, el proceso de aprovisionamiento de usuarios creará nuevas cuentas de usuario, pero no asignará una identidad a una cuenta existente. El aprovisionamiento fallará si existe un usuario con el nombre indicado.

Si el IdP es una fuente de autoridad única y confiable, considere habilitar la opción Coincidir con usuario existente. Esta opción permite que el proceso de aprovisionamiento asigne una identidad a un usuario existente con el mismo nombre. La asignación solo se realiza si la cuenta de usuario aún no tiene una identidad asociada con el proveedor de seguridad.

La opción Coincidir con usuario existente está disponible después de habilitar Aprovisionamiento de usuarios.

Configurar la Autorización

Aprovisionar usuarios es sólo una pieza del rompecabezas. De forma predeterminada, las nuevas cuentas de usuario no tendrán acceso a ninguna aplicación. Para automatizar completamente el proceso de aprovisionamiento, los administradores querrán asegurarse de que los nuevos usuarios reciban los privilegios adecuados al iniciar sesión. Hay cuatro enfoques que se pueden adoptar:

  • De forma predeterminada, los nuevos usuarios se agregan al grupo de seguridad Usuarios. Los administradores pueden otorgar acceso al grupo de usuarios a una o más aplicaciones. Generalmente esto no se recomienda. El grupo de seguridad Usuarios está destinado a todos los usuarios autenticados. Como resultado, todos los usuarios autenticados tendrán acceso a las aplicaciones otorgadas, lo que puede no ser el resultado deseado. Además, Vinyl es propietario del grupo de seguridad de los Usuarios y puede modificar el grupo durante una actualización.
  • Cree un nuevo grupo de seguridad y habilite la opción Conceder al crear usuario. Cuando Otorgar al crear usuario está habilitado, los usuarios recién creados se agregan al grupo automáticamente. Esto es preferible a la opción n.° 1 porque utiliza un grupo de seguridad personalizado en lugar del grupo de Usuarios integrado. Sin embargo, la opción Conceder al crear usuario se aplica a todos los usuarios, independientemente de si se crean manualmente a través de la interfaz de usuario o si un proveedor de seguridad los aprovisiona automáticamente.
  • Cree un nuevo grupo de proveedores de seguridad y habilite la opción Conceder al crear identidad. A diferencia de un grupo de seguridad, un grupo de proveedores de seguridad es específico de un proveedor de seguridad. Como en la opción n.° 2, los administradores deberán crear un grupo de seguridad y otorgarle acceso a una o más aplicaciones. Sin embargo, no habilite la opción Conceder al crear usuario. En su lugar, cree un grupo de proveedores de seguridad, asígnelo al grupo de seguridad interno y habilite la opción Conceder al crear identidad. Con esta técnica, sólo los usuarios proporcionados por el proveedor de seguridad recibirán privilegios automáticamente.
  • Si el proveedor de seguridad proporciona membresía al grupo, la autorización puede transferirse del proveedor de identidad (IdP) a Vinyl. Vinyl extraerá los reclamos de membresía del grupo del token de seguridad y registrará esos grupos como grupos de proveedores de seguridad. Los administradores deben asignar uno o más grupos de proveedores de seguridad a grupos de seguridad internos. Esta opción requiere más tiempo para configurarse y puede requerir configuración adicional en el proveedor de identidad (IdP). Sin embargo, una vez configurado, Vinyl respetará la membresía del grupo proporcionado por el IdP.

Las opciones 3 y 4 son mutuamente excluyentes: Vinyl o el proveedor de seguridad pueden administrar grupos de proveedores de seguridad, no ambos. Sin embargo, ambos se pueden combinar con la opción Otorgar al crear usuario.