Chequeo extra de autorización

andres-blanco commented 4 years ago

Idea El objetivo es lograr que desde un sistema sea posible impedir el acceso a algún admin de arai-usuarios que se puso el nombre de cuenta de alguien del sistema.

Implementación

Agregar un checkbox que indique si un usuario requiere el nivel extra de seguridad
Al acceder a la aplicación toba se debe:
- chequear si ese usuario requiere auth extra
- si la requiere, solicitar el password cargado en toba usuarios
Proveer una forma de acceder a toba-usuarios (aunque esté configurado el idp) para administrar las contraseñas internas y si requiere o no auth adicional

Para mostrar la pantalla de 2do login se tienen que dar todas estas condiciones:

Que el sistema esté configurado con un idp
Que el usuario tenga el checkbox de requerir 2do factor en 1
Que el usuario no haya hecho el login del 2do factor

Mejoras posibles

Agregar una especie de 2factor, que al llegar al sistema envíe un email o sms al dueño de la cuenta, tiene el desafío de mantener el dato especifico
Agregar comando para cambiar contraseña del usuario por cmdline.

andres-blanco commented 4 years ago

Mapuche está en 3.3?

enfoqueNativo commented 4 years ago

Mapuche está en 3.3?

No creo.. pero como requiere campos extra en la bd (agregados por migracion) solo es viable para una version de segundo digito.

enfoqueNativo commented 4 years ago

WIP on here

Proveer una forma de acceder a toba-usuarios (aunque esté configurado el idp) para administrar las contraseñas internas y si requiere o no auth adicional

Esto seria por si el admin se olvida el password en idp o 2FA?, seria un acceso alternativo?

Que el sistema esté configurado con un idp

Se puede hacer.. pero no se si agrega mucho, hay que marcar la instalacion para que toba_usuarios sepa que hacer al editar el user, se puede agregar una marca extra en la config del proyecto... pero seria tocar en 2 lugares.

Agregar una especie de 2factor, que al llegar al sistema envíe un email o sms al dueño de la cuenta, tiene el desafío de mantener el dato especifico

Como esta ahora, tendrian que redefinir un metodo en el ci_login... si se mete una clase especifica (para extenderla) hay que incorporar algun lugar para fijarla en metadatos.

andres-blanco commented 4 years ago

WIP on here

Proveer una forma de acceder a toba-usuarios (aunque esté configurado el idp) para administrar las contraseñas internas y si requiere o no auth adicional

Esto seria por si el admin se olvida el password en idp o 2FA?, seria un acceso alternativo?

No, sería para que se pueda llegar a la pantalla de administración de passwords que imagino que estará en toba-usuarios. Si no podés entrar a toba-usuarios cagaste. Me refiero a un link. Si el usuarios olvida su 2FA (el pass q puso en toba) tendría que haber algo de linea de comandos que permita blanquear o setear una clave.

Que el sistema esté configurado con un idp

Se puede hacer.. pero no se si agrega mucho, hay que marcar la instalacion para que toba_usuarios sepa que hacer al editar el user, se puede agregar una marca extra en la config del proyecto... pero seria tocar en 2 lugares.

wat? "Que el sistema esté configurado con un idp" es un requisito para mostrar el pedido de ingreso del segundo password. No es para entrar en la pantalla de administración

Agregar una especie de 2factor, que al llegar al sistema envíe un email o sms al dueño de la cuenta, tiene el desafío de mantener el dato especifico

Como esta ahora, tendrian que redefinir un metodo en el ci_login... si se mete una clase especifica (para extenderla) hay que incorporar algun lugar para fijarla en metadatos.

Tranca, lo vemos si es necesario, en el futuro

enfoqueNativo commented 4 years ago

WIP on here

Proveer una forma de acceder a toba-usuarios (aunque esté configurado el idp) para administrar las contraseñas internas y si requiere o no auth adicional

Esto seria por si el admin se olvida el password en idp o 2FA?, seria un acceso alternativo?

No, sería para que se pueda llegar a la pantalla de administración de passwords que imagino que estará en toba-usuarios. Si no podés entrar a toba-usuarios cagaste. Me refiero a un link. Si el usuarios olvida su 2FA (el pass q puso en toba) tendría que haber algo de linea de comandos que permita blanquear o setear una clave.

WIP on here El tema con garantizar un acceso sin 2FA a toba_usuarios seria que el tipo puede entrar con el usr asignado en el idp sin problemas, modificar el 2do factor y loguear donde no deberia. Para el usr original, podria pasar como que se equivoco de pwd.. cuando en realidad fue cambiado.

Que el sistema esté configurado con un idp

Se puede hacer.. pero no se si agrega mucho, hay que marcar la instalacion para que toba_usuarios sepa que hacer al editar el user, se puede agregar una marca extra en la config del proyecto... pero seria tocar en 2 lugares.

wat? "Que el sistema esté configurado con un idp" es un requisito para mostrar el pedido de ingreso del segundo password. No es para entrar en la pantalla de administración

Podria querer un 2do factor inclusive no teniendo un idp en algun caso.. ponele que alguien quiera agregar un OTP generado en un offside channel. Igualmente, marcaria la instalacion y no los proyectos individualmente.

enfoqueNativo commented 4 years ago

Merged @[e8bd2383a1c1c56a6129ef9d1d08b3550266da3b]

SIU-Toba / framework

Chequeo extra de autorización #55