Al acceder al menú Configuración Autenticación, son presentadas las siguientes secciones:
En esta sección, es posible realizar las configuraciones referentes a las contraseñas y login en el sistema. Para eso, están disponibles las siguientes subsecciones:
Control de contraseñas
Permite establecer controles con relación a las contraseñas de los usuarios del sistema:
Opción
|
Marcada
|
Desmarcado
|
Solicitar validación de contraseña al ejecutar tarea1
|
En la ejecución de tareas de los componentes de SoftExpert Suite, será solicitada la confirmación de la validación de contraseña del usuario ejecutor.
|
El usuario podrá ejecutar las tareas de los componentes de SoftExpert Suite sin necesidad de informar su validación de contraseña.
|
Solicitar validación de contraseña del usuario al realizar operaciones críticas en los componentes1
|
Al ejecutar operaciones como la exclusión de registros, activación/desactivación de registros y otras operaciones críticas, será exigido que el usuario informe su validación de contraseña antes que el sistema la ejecute.
|
El usuario podrá realizar exclusiones y otras operaciones críticas sin necesidad de informar su validación de contraseña.
|
Permitir que los usuarios soliciten contraseña olvidada
|
En la pantalla de login será presentada la opción "¿Se olvidó la contraseña?", para que el usuario pueda solicitarla, en caso de olvido.
|
La opción de ¿Se olvidó la contraseña?" no será presentada en la pantalla de login.
|
1 - Para que este recurso funcione correctamente, los usuarios registrados en el sistema deben tener una validación de contraseña informada en su pantalla de datos.
Forzar cambio de contraseña de los usuarios
|
Este botón solamente deberá ser accionado cuando se necesite que la contraseña de todos los usuarios registrados en SE Suite sea modificada. Con eso, en el próximo login de cada usuario, el sistema solicitará la modificación de la contraseña.
|
Seguridad de la contraseña
En esta sección deben ser configuradas las opciones que pueden hacer que las contraseñas de los usuarios sean más seguras. Como en cualquier sistema, las contraseñas son la primera línea de defensa contra el acceso no autorizado. Cuánto más fuerte sea la contraseña, más protegido estará el sistema. Para eso, utilice las siguientes opciones para definir los requisitos obligatorios para las contraseñas de los usuarios del sistema:
Campo
|
Llenada/Marcada
|
No llenada/Desmarcada
|
Tamaño mínimo
|
Permite definir una cantidad mínima de caracteres que cada usuario deberá tener en su contraseña. Al intentar registrar una contraseña con menos caracteres de los estipulados, el sistema emitirá un mensaje de advertencia de que no se ha cumplido con el número de caracteres.
|
La contraseña de los usuarios del sistema no tendrá una limitación mínima de caracteres.
|
Validez (meses)
|
Permite definir la cantidad de meses que los usuarios del sistema pueden permanecer con la misma contraseña. Con eso, cuando el plazo informado llegue a su fin, se notificará al usuario que su contraseña ha caducado y se le pedirá que la cambie.
|
Los usuarios podrán permanecer con la misma contraseña por tiempo indefinido.
|
Control de repetición
|
Permite definir la cantidad de veces que el usuario deberá cambiar de contraseña antes de que pueda ser repetida su contraseña anterior.
|
El usuario podrá realizar un cambio de contraseña repitiendo una contraseña antigua tantas veces como lo desee.
|
Caracteres mayúsculos y minúsculos
|
Las contraseñas de los usuarios del sistema, obligatoriamente, deberán contener letras mayúsculas y minúsculas.
|
No será obligatorio que las contraseñas de los usuarios del sistema contengan letras mayúsculas y minúsculas.
|
Caracteres especiales (por ejemplo, !, \$, #, %)
|
Las contraseñas de los usuarios del sistema, obligatoriamente, deberán contener caracteres especiales (!, $, #, % etc).
|
No será obligatorio que las contraseñas de los usuarios del sistema contengan caracteres especiales.
|
Bloquear usuario después de intento no válido de login
En esta sección deben ser configuradas las opciones para evitar un acceso no autorizado de alguien que esté intentando adivinar la contraseña de un usuario del sistema. Para eso, utilice los siguientes campos:
Opción
|
Llenada/Marcada
|
No llenada/Desmarcada
|
Número de intentos
|
Permite establecer el número de veces que el usuario puede intentar efectuar login con una contraseña incorrecta, antes de que sea bloqueado. Para eso, informe el número deseado de intentos, que puede ser de 1 a 5 veces.
El desbloqueo del usuario podrá ser realizado automáticamente (si se llena el campo "Tiempo por el cual el usuario quedará bloqueado") o manualmente, por medio del menú Estructura organizativa Usuario (AD004), del componente SE Administración.
|
El usuario puede intentar efectuar login con una contraseña incorrecta de 1 a 5 veces.
|
Tiempo por el cual el usuario quedará bloqueado
|
Llene este campo para determinar que, cuando un usuario es bloqueado por intentos de login no válidos, sea desbloqueado automáticamente después de un período determinado.
En este caso, informe el número de minutos que el usuario permanecerá bloqueado. Cuando transcurran los minutos informados, será desbloqueado automáticamente.
|
Cuando un usuario es bloqueado por intentos de login no válidos, el desbloqueo debe realizarse por medio del menú Estructura organizativa Usuario (AD004), del componente SE Administración.
|
Notificar administrador
|
El usuario administrador del sistema será notificado, por e-mail, cuando algún usuario sea bloqueado por intentos no válidos de login.
|
El administrador no será notificado cuando el usuario sea bloqueado.
|
Diversos
En esta sección están disponibles diversas opciones referentes al login de los usuarios:
Opción
|
Marcada/Llenada
|
Desmarcada/No llenada
|
Alertar al administrador al identificar un login desconocido
|
Cuando se produce un intento de login con un usuario desconocido, el sistema enviará un e-mail al administrador, alertando quién intentó conectarse.
|
El sistema no alertará al administrador cuando haya un intento de login con un usuario desconocido.
|
Bloquear cambio de contraseña para usuarios con login simultáneo
|
Los usuarios que fueron configurados para tener logins simultáneos no podrán modificar sus contraseñas por el menú "Cuenta", del panel suspendido en el lado derecho de la pantalla principal del sistema. En este caso, los usuarios con login simultáneo solamente podrán modificar su contraseña si tienen acceso al menú Registro Estructura organizativa Usuario (AD004), del componente SE Administración. Si no tienen acceso a este menú, solo el administrador del sistema podrá modificar la contraseña del usuario, a través del mismo menú.
Notas: El login simultáneo estará habilitado si en los datos del usuario, el campo "Número máximo de conexiones" está configurado con algún valor mayor que 1.
|
Los usuarios que fueron configurados para tener logins simultáneos podrán modificar sus contraseñas por el menú Cuenta. Ellos podrán también modificar la contraseña por medio del menú Registro Estructura organizativa Usuario (AD004), del componente SE Administración, siempre que tengan acceso a este.
|
Bloquear recurso de registro de usuario
|
En el componente SE Administración Registro Estructura organizativa Usuario (AD004), el botón "Incluir" será presentado deshabilitado. Solo será posible registrar usuarios a través de la integración con el servidor LDAP.
|
En el menú Registro Estructura organizativa Usuario (AD004), del componente SE Administración, el botón "Incluir" será presentado habilitado, permitiendo el registro de usuarios.
|
Tiempo límite de inactividad
|
Permite establecer la cantidad de minutos que el sistema puede estar inactivo, o sea, sin ser utilizado por el usuario conectado. Cuando el tiempo informado llegue al fin, el usuario será desconectado automáticamente y será presentado un mensaje solicitando la reconexión.
|
El campo necesita estar marcado y, una vez realizado, no será posible dejarlo vacío. El sistema determinará automáticamente para los usuarios que no tengan un tiempo límite de inactividad el valor de 30 minutos como tiempo para que el usuario permanezca inactivo.
|
Sincronizar en el login
|
El usuario será sincronizado tan pronto como sea autenticado. Este campo solamente debe ser marcado si una de las opciones de autenticación con LDAP está habilitada. Note que solamente será sincronizado el usuario autenticado.
|
Si no hay una opción de autenticación con LDAP configurada, este campo no deberá ser marcado.
|
|
Usuarios externos
Opción
|
Marcada
|
Desmarcado
|
Permitir el acceso de usuarios externos al sistema
|
Permite que usuarios externos accedan a SE Suite por medio de la URL presentada en el campo "Dirección para el acceso de los usuarios externos". Utilice el botón Copiar junto al campo para copiar la URL y reenviarla.
Con eso, se habilitará el menú portal de usuario externo, para configurar las operaciones a las que pueden acceder los usuarios externos y la información que pueden ver.
|
No se permitirá el acceso de usuarios externos al sistema. Con eso, el menú portal del usuario externo (CM030) no estará disponible para la configuración.
|
Autorregistro de usuarios externos
Opción
|
Marcada
|
Desmarcado
|
Permitir el autorregistro de usuarios externos
|
Cuando un usuario accede al portal de usuarios externos a través del enlace proporcionado en el campo "Dirección para el acceso de los usuarios externos", en la pantalla de login, se mostrará el botón Crear cuenta, permitiendo que se registre.
En el campo Licencia de acceso, seleccione la licencia que será atribuida automáticamente a los usuarios externos que realicen el autorregistro.
|
Los usuarios externos solo podrán ser registrados por un usuario interno, por medio del menú Registro Usuario externo (AD060), del componente SE Administración o por medio de la sección Contacto de la pantalla de datos de una empresa.
|
Exigir la aprobación del autorregistro del usuario externo
|
Cuando un usuario externo realiza el autorregistro, antes de que se le otorgue el acceso, su registro debe ser aprobado por medio del menú Registro Usuario externo (AD060), del componente SE Administración.
Solo si es aprobado podrá acceder al portal del usuario externo.
|
El acceso del usuario externo se otorgará luego de que confirme su registro a través del correo electrónico que el sistema enviará a la dirección informada.
|
▪Para que los e-mails de confirmación sean enviados correctamente al usuario externo, es necesario que el envío de e-mails por el sistema esté habilitado y que haya un servidor de e-mail válido configurado. ▪La configuración de atribución de licencia de acceso realizada en este menú, no tiene impacto en los usuarios externos ya registrados. |
|
En esta sección, es posible definir cómo se realizará la autenticación de los usuarios en el sistema. Para eso, en la sección Modo de autenticación, marque la opción deseada:
Opción
|
|
Interno
|
Utiliza el estándar de SE Suite de autenticación, o sea, el login y la contraseña configurados en el registro del usuario.
|
NTLM v2
|
Permite que el usuario utilice el código de usuario y contraseña del sistema operativo para acceder al producto. Utiliza el protocolo NTLM para garantizar la seguridad de la comunicación.
|
LDAP
|
Permite que el usuario utilice el código de usuario y contraseña del sistema operativo para acceder al producto. Utiliza el protocolo LDAP para garantizar la seguridad de la comunicación.
|
SAML 2.0 (ADFS)
|
Indicado para escenarios donde el servidor de ejecución, donde se ejecuta SE Suite, y el servidor LDAP, que contiene el repositorio de usuarios, están instalados en diferentes dominios. Permite que el usuario utilice el recurso de 'Autenticación Integrada' para acceder al producto.
|
Para obtener más información sobre cada modo de autenticación y cuál es el más indicado para su organización, consulte el tópico Modos de autenticación del documento "Servicio de directorio y autenticación".
|
Las autenticaciones de los tipos NTLM v2, LDAP y SAML 2.0 (ADFS) utilizan un servidor LDAP para autenticar los usuarios. Consulte el tópico Configuración para el acceso directo al servicio de directorio del documento "Servicio de directorio y autenticación", para obtener más detalles sobre la configuración de este servidor.
|
|
Esta sección solamente estará habilitada si el modo de autenticación "SAML 2.0 (ADFS)" ha sido marcado. La configuración para la autenticación vía SAML 2.0 (AD FS) consiste básicamente en el cambio de los archivos de metadatos entre el proveedor del servicio (SE Suite) y el proveedor de identidad (AD FS). En la barra de herramientas, están disponibles los siguientes botones:
|
Accione este botón para incluir una nueva configuración. Vea más detalles sobre esta operación en el tópico Configurando la autenticación integrada con SAML 2.0 (AD FS) del documento "Servicio de directorio y autenticación".
|
|
Accione este botón para editar la configuración seleccionada en la lista de registros.
|
|
Accione este botón para excluir la configuración seleccionada en la lista de registros.
|
|
Está dividida en dos subsecciones:
Dominios
Esta sección solamente estará habilitada si los modos de autenticación "NTLM v2", "LDAP" y/o "SAML 2.0 (ADFS)" están marcados. En ella, debe ser realizada la configuración del servidor LDAP. En ambientes corporativos con filiales o con reglas segmentadas por área o función, muchas veces se encuentran servidores LDAP distribuidos en un "bosque". El término "bosque" es utilizado para identificar una infraestructura compuesta por uno o más árboles de dominios.
Utilice los siguientes botones para efectuar la configuración de conexión con múltiples dominios LDAP:
|
Accione este botón para incluir una nueva conexión LDAP. Vea más detalles sobre esta operación en el tópico Configuración para acceso directo al servicio de directorio del documento "Servicio de directorio y autenticación".
|
|
Accione este botón para editar la conexión seleccionada en la lista de registros.
|
|
Accione este botón para excluir la conexión seleccionada en la lista de registros.
|
|
Accione este botón para desasociar los usuarios del dominio. Seleccione el registro deseado antes de accionar el botón.
|
Opciones generales
Opción
|
Marcada
|
Desmarcado
|
Habilitar programación de la sincronización
|
Será habilitada la programación de la sincronización del servidor LDAP, diariamente a la medianoche. Esta recurrencia puede ser modificada por medio del menú Monitoreo Programación.
|
La sincronización solamente será ejecutada manualmente, accionando el botón de la barra de herramientas de la pantalla Autenticación (CM008).
|
Acumular área y función de los usuarios
|
Al realizar la sincronización, las áreas y funciones de los usuarios serán actualizadas, sin eliminar las áreas y funciones anteriores.
|
Solo se mantendrá el área del controlador de dominio, las otras serán desvinculadas del usuario.
|
Hacer login automáticamente cuando la autenticación integrada esté habilitada
|
Las sesiones de los usuarios serán iniciadas automáticamente al acceder cualquier página del sistema, como un link recibido por e-mail, por ejemplo. Con eso, la pantalla de login no será exhibida para digitar las credenciales y el sistema utilizará las credenciales de autenticación del servicio de directorio, que fueron suministradas por el usuario al autenticar en el dominio. Solo se accederá a la pantalla de login si la URL informada es la dirección específica de la página, por ejemplo: https://example.softexpert.com/softexpert/login.*
|
Al acceder una URL del sistema, la pantalla de login será exhibida y después de realizar la autenticación, el sistema redireccionará para la página solicitada.
|
Habilitar pantalla de selección de licencias al efectuar login con autenticación integrada
|
Esta opción solo debe marcarse si la autenticación integrada está habilitada para su uso. Con eso, cuando el usuario realice el login, este deberá seleccionar la licencia deseada. Solo las licencias asociadas con los grupos de acceso con los que está relacionado estarán disponibles para su selección.
|
El usuario accederá al sistema con la licencia de su último acceso. El usuario podrá modificar su licencia después del login, por el menú "Modificar licencia de acceso", del panel desplegable en el lado derecho de la pantalla principal del sistema.
|
Habilitar logout con autenticación integrada
|
Esta opción solo debe marcarse si la autenticación integrada está habilitada para su uso. Cuando el usuario cierre sesión, SE Suite borrará su sesión.
|
Al cerrar la sesión, la sesión del usuario permanece activa.
|
Habilitar autenticación integrada para usuarios no sincronizados
|
Permite la autenticación integrada de usuarios incluso sin integración con el AD. Este parámetro debe realizarse cuando sea necesario importar usuarios de una manera que no sea vía integración directa con el AD, pues la autenticación integrada (SAML) puede funcionar sin esa integración. Si este parámetro está habilitado, no se debe registrar un dominio para sincronizar los usuarios del AD, ya que esto puede entrar en conflicto con la autenticación integrada.
|
Solamente usuarios sincronizados tendrán la autenticación integrada habilitada.
|
*Al acceder a la URL estándar del sistema (u otra URL del sistema), sin que el usuario esté autenticado en el servicio de directorio, puede ser presentada una página de autenticación del propio controlador de dominio, dependiendo de las configuraciones de infraestructura realizadas. Si el usuario tiene las credenciales para autenticación en el servicio, él puede suministrarlas y enseguida, el servicio lo conducirá para la página de SE Suite. Si este no tiene un login en el servicio de directorio, o no tuvo acceso a la página de login del controlador de dominio, se recomienda realizar el acceso por la URL del login de SE Suite. Es posible que deba ingresar sus credenciales en la pantalla de login cuando:
▪Es necesario acceder al sistema con el usuario administrador (admin); ▪El usuario no tiene credenciales en el servicio de directorio, y accede solo por un usuario interno del sistema; ▪Se realiza el acceso al sistema de una red que no tiene acceso al servicio de directorio, y existen otros protocolos liberados para su uso, como NTLMv2 o LDAP. |
|
En esta sección se muestran los historiales de las sincronizaciones de usuarios realizadas en el sistema. Es posible visualizar la fecha y hora de inicio y fin de la sincronización, su estado (Ejecutando, Ejecutando con errores, Cargando información del AD, Cargando usuarios de SE Suite, Comparando usuarios de SE Suite con usuarios del AD, Calculando permisos de los usuarios, Finalizado y Finalizada con errores) y el número de registros procesados, con permiso y con errores. Para monitorear una sincronización que se está realizando, accione el botón , para actualizar su status.
El status "Calculando los permisos de los usuarios" indica que se están agregando nuevos usuarios y el sistema está creando la estructura de permisos de acceso para ellos. Esta etapa puede tardar dependiendo del número de nuevos usuarios. El progreso del procesamiento de los permisos de los usuarios se puede seguir en la columna "Con permiso". Los status que acusan errores se refieren a usuarios con falta de información, formatos no válidos o información conflictiva, y el motivo del error puede ser visto en los detalles de la importación.
Para visualizar los detalles de una importación (usuarios con error, actualizados, importados y deshabilitados), seleccione el registro de su historial y haga clic en el botón . Para ver más detalles sobre los posibles errores que el proceso de sincronización puede mostrar, y cómo solucionarlos, consulte el tópico Errores que pueden ser producidos en la sincronización de usuarios del documento "Servicio de directorio y autenticación".
Utilice el botón para excluir el registro seleccionado en la lista de registros.
|
En esta sección se muestran los historiales de las sincronizaciones realizadas de grupos en el sistema. Es posible visualizar la fecha y hora de inicio y fin de la sincronización, su estado (Ejecutando, Ejecutando con errores, Cargando información del AD, Cargando usuarios de SE Suite, Comparando usuarios de SE Suite con usuarios del AD, Calculando permisos de los usuarios, Finalizado y Finalizada con errores) y el número de registros procesados, con permiso y con errores. Para monitorear una sincronización que se está realizando, accione el botón , para actualizar su status.
El status "Calculando los permisos de los usuarios" indica que se están agregando nuevos grupos y el sistema está creando el vínculo con los usuarios. Esta etapa puede tardar dependiendo del número de nuevos grupos y usuarios que serán vinculados en cada grupo.
Para visualizar los detalles de una importación (grupos con error, actualizados, importados y deshabilitados), seleccione el registro de su historial y haga clic en el botón .
Utilice el botón para excluir el registro seleccionado en la lista de registros.
|
En esta sección se muestran los registros de los procesos de simulación y sincronización del SE Identity (excepto registros anteriores al tiempo estipulado en las configuraciones de auditoría). Es posible identificar el local de instalación de la aplicación y la dirección de red de la computadora en que este fue ejecutado, además de la versión de la aplicación y cualquier otra información referente al proceso ejecutado. Si se produce algún error que impida la inicialización del proceso de sincronización/simulación, el estado del registro indicará "Error" y sus detalles pueden ser consultados seleccionando el registro y haciendo clic en el botón .
|
Después de realizar las configuraciones deseadas, guárdelas.
|