Closed andres-blanco closed 4 years ago
Mapuche está en 3.3?
Mapuche está en 3.3?
No creo.. pero como requiere campos extra en la bd (agregados por migracion) solo es viable para una version de segundo digito.
WIP on here
Proveer una forma de acceder a toba-usuarios (aunque esté configurado el idp) para administrar las contraseñas internas y si requiere o no auth adicional
Esto seria por si el admin se olvida el password en idp o 2FA?, seria un acceso alternativo?
Que el sistema esté configurado con un idp
Se puede hacer.. pero no se si agrega mucho, hay que marcar la instalacion para que toba_usuarios sepa que hacer al editar el user, se puede agregar una marca extra en la config del proyecto... pero seria tocar en 2 lugares.
Agregar una especie de 2factor, que al llegar al sistema envíe un email o sms al dueño de la cuenta, tiene el desafío de mantener el dato especifico
Como esta ahora, tendrian que redefinir un metodo en el ci_login... si se mete una clase especifica (para extenderla) hay que incorporar algun lugar para fijarla en metadatos.
WIP on here
Proveer una forma de acceder a toba-usuarios (aunque esté configurado el idp) para administrar las contraseñas internas y si requiere o no auth adicional
Esto seria por si el admin se olvida el password en idp o 2FA?, seria un acceso alternativo?
No, sería para que se pueda llegar a la pantalla de administración de passwords que imagino que estará en toba-usuarios. Si no podés entrar a toba-usuarios cagaste. Me refiero a un link. Si el usuarios olvida su 2FA (el pass q puso en toba) tendría que haber algo de linea de comandos que permita blanquear o setear una clave.
Que el sistema esté configurado con un idp
Se puede hacer.. pero no se si agrega mucho, hay que marcar la instalacion para que toba_usuarios sepa que hacer al editar el user, se puede agregar una marca extra en la config del proyecto... pero seria tocar en 2 lugares.
wat? "Que el sistema esté configurado con un idp" es un requisito para mostrar el pedido de ingreso del segundo password. No es para entrar en la pantalla de administración
Agregar una especie de 2factor, que al llegar al sistema envíe un email o sms al dueño de la cuenta, tiene el desafío de mantener el dato especifico
Como esta ahora, tendrian que redefinir un metodo en el ci_login... si se mete una clase especifica (para extenderla) hay que incorporar algun lugar para fijarla en metadatos.
Tranca, lo vemos si es necesario, en el futuro
WIP on here
Proveer una forma de acceder a toba-usuarios (aunque esté configurado el idp) para administrar las contraseñas internas y si requiere o no auth adicional
Esto seria por si el admin se olvida el password en idp o 2FA?, seria un acceso alternativo?
No, sería para que se pueda llegar a la pantalla de administración de passwords que imagino que estará en toba-usuarios. Si no podés entrar a toba-usuarios cagaste. Me refiero a un link. Si el usuarios olvida su 2FA (el pass q puso en toba) tendría que haber algo de linea de comandos que permita blanquear o setear una clave.
WIP on here El tema con garantizar un acceso sin 2FA a toba_usuarios seria que el tipo puede entrar con el usr asignado en el idp sin problemas, modificar el 2do factor y loguear donde no deberia. Para el usr original, podria pasar como que se equivoco de pwd.. cuando en realidad fue cambiado.
Que el sistema esté configurado con un idp
Se puede hacer.. pero no se si agrega mucho, hay que marcar la instalacion para que toba_usuarios sepa que hacer al editar el user, se puede agregar una marca extra en la config del proyecto... pero seria tocar en 2 lugares.
wat? "Que el sistema esté configurado con un idp" es un requisito para mostrar el pedido de ingreso del segundo password. No es para entrar en la pantalla de administración
Podria querer un 2do factor inclusive no teniendo un idp en algun caso.. ponele que alguien quiera agregar un OTP generado en un offside channel. Igualmente, marcaria la instalacion y no los proyectos individualmente.
Merged @[e8bd2383a1c1c56a6129ef9d1d08b3550266da3b]
Idea El objetivo es lograr que desde un sistema sea posible impedir el acceso a algún admin de arai-usuarios que se puso el nombre de cuenta de alguien del sistema.
Implementación
Para mostrar la pantalla de 2do login se tienen que dar todas estas condiciones:
Mejoras posibles