Se encuentra en:
MADEJA 1.4.0 » Subsistemas » Arquitectura » Arquitectura de Sistemas de Información » GUIA: Gestión Unificada de Identidades de Andalucía »

Autenticación LDAP en el Directorio de GUIA

RECU-0435 (Recurso Referencia)
Tabla de contenidos
  1. 1. Descripción

Descripción

Para la tarea de autenticación de los usuarios, GUIA proporciona como instrumento el acceso a la información de identidades alojadas en el sistema a través del directorio LDAP de OID. Esto permite a las aplicaciones realizar una autenticación contra GUIA de manera sencilla. Cada aplicación podrá comprobar directamente la existencia de una identidad en el sistema asociada a distintos grupos y sus atributos junto con las credenciales (contraseña) del usuario.

Además, a través de OVD, se permite, de forma temporal durante el proceso de integración, autenticación contra otros sistemas existentes como el OpenLDAP de correo corporativo. Lo que facilitará la adaptación progresiva de los sistemas existentes.

Se contemplan dos tipos de autenticación:

  • Autenticación mediante protocolo LDAP: La aplicación se autenticará conectándose al LDAP de OID a través de OVD.
  • Autenticación Directa en Aplicaciones Aprovisionadas: La información de identidades se inyecta mediante aprovisionamiento en la tabla de usuarios de la aplicación, que seguirá autenticando sus usuarios como siempre lo ha hecho.

La elección del tipo de autenticación dependerá del tipo de integración que se elija.

La autenticación de usuarios mediante protocolo LDAP contra se realiza teniendo en cuenta lo siguiente:

  • El atributo 'cn' como norma general no se usará. Es un identificador en la infraestructura de GUIA que no tiene porque conocer el usuario además de que existen otros atributos de uso extendido. Entonces:
    • La autenticación contra OID requiere seguir el siguiente proceso:
      • Acceso (binding) con las credenciales de la cuenta de servicio de la aplicación para la busqueda del usuario correspondiente al atributo empleado.
      • Búsqueda del usuario en el directorio.
      • Verificación de las credenciales del usario ('dn' y contraseña) mediante 'binding' o comprobación del cifrado hash de la contraseña.
    • Al autenticar a través de OVD se permite en casos especiales que el identificador de usuario sea cualquier atributo de usuario que esté indexado.
  • Se emplearán preferentemente como identificador en ambos casos:
    • numDoc: Número de documento del usuario (NIE-NIF, pasaporte, ...). Este debe ser empleado como norma general.
    • uid: Identificador de correo del usuario. Se podría emplear este identificador al estar los usuarios más familiarizados con su uso. Hay que tener en cuenta que sólo los usuarios con correo de la Junta de Andalucía tiene este atributo.
  • La composición del 'dn' del usuario para realizar la operación de 'binding' en el directorio LDAP se realiza de la siguiente manera:
    • En el caso de acceso mediante búsqueda del usuario se obtiene el 'dn ' en este proceso.
    • En el caso de acceso al OVD empledo otro atributo como identificador, se toma como base: 'o=personas,o=identidades,o=comun,dc=juntadeandalucia,dc=es' y se precede del atributo de localización para completar el 'dn', por ejemplo 'uid=juan.nadie,' o 'numDoc=111111111X,'.
‹ Clasificación de atributos de OID y estructura del Directorio. subir nivel