i
Sesión de Trabajo
Características de la sesión de trabajo.
Propiedades Configurables
Define el método de autenticación de usuarios utilizado por Deyel.
Nombre |
TipoAutenticacion |
Código |
TP_AUTHENTICATION_LOGIN |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
•Nativa (Predeterminado) •LDAP |
Tiempo máximo de inactividad, expresada en minutos, para mantener activa la sesión del usuario en el browser.
Si se supera ese tiempo, la sesión caduca y el usuario debe acceder nuevamente al portal.
Para que la sesión no caduque debe indicarse el valor -1.
Nombre |
TiempoMáximodeInactividad |
Código |
MAX_SESSION_INACTIVITY_TIME |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
-1 (Predeterminado), indica que las sesiones no caducan por inactividad.
Puede contener valores numéricos que representen una cantidad de minutos. |
Permitir múltiples sesiones de usuario con el mismo navegador
Cuando se habilita esta propiedad, es posible mantener múltiples sesiones de trabajo, con usuarios diferentes, dentro del mismo navegador.
Nombre |
PermitirMultiplesSesiones |
Código |
ALLOW_MULTISESSION |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
•Si •No (Predeterminada) |
Métodos de autenticación mixta
Estas propiedades se utilizan para configurar el mecanismo de autenticación mixta.
Establecen cuales son los métodos de autenticación habilitados y el orden en que deben utilizarse.
Son 3 propiedades que funcionan de manera similar:
•Primer método de autenticación mixta
•Segundo método de autenticación mixta
•Tercer método de autenticación mixta
Nombre |
AuthenticacionMixta1 AuthenticacionMixta2 AuthenticacionMixta3 |
Código |
AUTHENTICACION_MIXTA_1 AUTHENTICACION_MIXTA_2 AUTHENTICACION_MIXTA_3 |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
•Nativa •LDAP •Personalizada •Federada IDM •Azure AD |
Cuando se configura el uso de autenticación mixta se valida que:
•Al menos una de estas propiedades esté indicada.
•Que no existan repeticiones en los valores establecidos.
•Si alguna propiedad asume el valor:
“Federada IDM”, se valida que el adaptador “IDMAuthorizationCode” esté publicado.
"LDAP", se validan todas las propiedades relacionadas con LDAP.
LDAP - Conexión con el Servidor
LDAP - Sincronización de Atributos
"Google", se validan todas las propiedades relacionadas con Google.
"Personalizada", se validan todas las propiedades relacionadas con la autenticación personalizada.
“Azure AD”, se valida que el adaptador “Azure AD” esté publicado.
Solamente se puede aplicar la configuración cuando todas las validaciones son correctas.
Autenticación Google - Credenciales OAuth - Identificación de cliente
Para utilizar los servicios de autenticación de Google, Deyel debe presentar las credenciales que lo identifican como cliente de OAuth 2.0.
Esta propiedad establece el ID de Cliente, que forma parte de dichas credenciales.
Solamente se puede configurar en ambientes On-Premise
Nombre |
GoogleClientID |
Código |
GOOGLE_CLIENT_ID |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
|
Autenticación Google - Credenciales OAuth - Client secret
Para utilizar los servicios de autenticación de Google, Deyel debe presentar las credenciales que lo identifican como cliente de OAuth 2.0.
Esta propiedad establece la clave secreta que forma parte de dichas credenciales
Solamente se puede configurar en ambientes On-Premise
Nombre |
GoogleClientSecret |
Código |
GOOGLE_CLIENT_SECRET |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
|
Nombre de la regla definida para ejecutar la Autenticación personalizada.
Nombre |
CustomAuthentication |
Código |
CUSTOM_AUTHENTICATION |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
|
Se valida que la regla exista al configurar el tipo de autenticación personalizado o mixta que lo contenga.
Si la regla existe se valida que tenga los parámetros de entrada y salida necesarios.
Dominios autorizados para enviar invitaciones de usuarios
Las direcciones de correo a las cuales se envían invitaciones deben pertenecer a alguno de los dominios informados en esta propiedad. Se pueden indicar varios dominios, separándolos por punto y coma. Por ejemplo: 'miempresa.com ; optaris.com'. Si no se informa ningún valor, entonces se pueden enviar invitaciones a cualquier dirección de correo.
Nombre |
AuthorizedDomains |
Código |
AUTHORIZED_DOMAINS |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
Deben ser nombres de dominios válidos. Pueden separarse por punto y coma. |
Cuando un usuario utiliza 'Olvidó su Contraseña' y accede por primera vez con la contraseña asignada, Deyel puede requerir un cambio de contraseña dependiendo del valor de esta propiedad:
- No Requerido: Deyel permite que el usuario siga usando la contraseña asignada.
- Opcional: Se presenta la pantalla de cambio de contraseña sugiriendo al usuario que la actualice. Puede hacerlo o indicar que mantiene la contraseña asignada.
- Obligatorio: Se obliga al usuario a que cambie la contraseña para poder continuar.
Nombre |
RequerirCambioDeClave |
Código |
PASSWORD_CHANGE |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
•No Requerido (Predeterminado) •Opcional •Obligatorio |
Duración máxima de la sesión de usuario
Duración máxima de la sesión del usuario, expresada en minutos. Si se supera ese tiempo, la sesión caduca y el usuario debe iniciar sesión nuevamente. Indicando el valor -1 las sesiones no caducan.
Nombre |
DuracionMaximadeSesion |
Código |
MAX_SESSION_EXPIRATION_TIME |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
-1 (Predeterminado), indica que las sesiones no caducan por tiempo máximo.
Puede contener valores numéricos que representen una cantidad de minutos. |
Cantidad máxima de sesiones simultáneas por usuario
Permite limitar la cantidad de sesiones simultáneas que un usuario puede tener activas. Indicando el valor -1 la cantidad de sesiones es ilimitada.
Nombre |
CantidadDeSesionesSimultaneas |
Código |
MAX_SESSIONS_BY_USER |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
-1 (Predeterminado), indica que la cantidad de sesiones simultáneas es ilimitada. |
Cantidad máxima de accesos fallidos
Establece la cantidad máxima admisible de autenticaciones fallidas por contraseña incorrecta. Cuando el usuario supera esta cantidad de intentos fallidos consecutivos, su cuenta queda inactiva. Si se establece valor -1 no hay limitación en la cantidad de accesos fallidos.
Nombre |
CantidadMaximaDeAccesosFallidos |
Código |
INVALID_PASS_ATTEMPTS |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
-1 (Predeterminado), indica que no hay limitación en la cantidad de accesos fallidos. |
Tiempo máximo de bloqueo de usuario
El bloqueo de cuenta por cantidad de accesos fallidos se establece por un periodo máximo de tiempo, que se indica en minutos, en esta propiedad. Transcurrido ese tiempo, el usuario podrá acceder nuevamente, si ingresa correctamente con su contraseña.
Si se indica -1 entonces la cuenta permanece bloqueada indefinidamente hasta que se ejecute alguno de los mecanismos de desbloqueo previstos:
- El administrador de seguridad activa nuevamente la cuenta.
- El usuario recibe un mail con un link que le permite activar nuevamente su cuenta.
Nombre |
TiempoMaximoDeBloqueoDeUsuario |
Código |
MAX_USER_BLOQUED_TIME |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
-1 (Predeterminado), indica que la cuenta permanece bloqueada. |
Cuando el usuario registra su contraseña, Deyel verifica que sea diferente de las N anteriores.
El número N , definido en esta propiedad, puede asumir valores entre 0 y 100.
Si se indica 0 entonces Deyel no compara la nueva contraseña con las anteriores. Se admiten repeticiones.
Nombre |
HistorialDeContraseñas |
Código |
PASSWORD_HISTORY |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
- 0 (Predeterminado), indica que no se controla repetición de contraseñas.
- N entre 1 y 100. |
Este mecanismo se aplica cuando las contraseñas de acceso son gestionadas por Deyel, al usar la autenticación nativa.
Cuando el usuario ingresa una nueva clave, Deyel verifica lo siguiente:
- Si N=0 no compara la nueva contraseña con las anteriores.
- Si N=1 la nueva contraseña no puede ser igual a la actual.
- Si N>1 la nueva contraseña no puede ser igual a la actual y tampoco a las N-1 anteriores.
Por ejemplo, si N=3, la nueva contraseña debe ser diferente a la actual y a las 2 anteriores registradas en el historial.
Cuando la contraseña no es válida el usuario recibe un mensaje ”Esa contraseña la has utilizado previamente. Debes informar una diferente.”
Para implementar este control Deyel mantiene un historial de todas las contraseñas utilizadas por el usuario. Los valores se mantienen en orden cronológico y encriptados en la base de datos y no son accesibles por el usuario.
Cuando se utiliza autenticación nativa o personalizada, es posible habilitar la autenticación en dos pasos.
Esta propiedad establece el comportamiento deseado:
- No habilitada: Indica que no se utiliza 2FA.
- Opcional: Cada usuario elige si utiliza o no 2FA.
- Obligatoria: Los usuarios deben utilizar obligatoriamente 2FA.
Nombre |
AutenticaciónDobleFactor |
Código |
2FA |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
•Opcional (Predeterminado) •Obligatoria •No Habilitada |
Tiempo de expiración de contraseña
Indica la cantidad de días corridos que deben transcurrir para que una contraseña expire.
Si se indica el valor -1 entonces las contraseñas no expiran.
Nombre |
TiempoExpiraciónContraseña |
Código |
PASSWORD_EXPIRATION_TIME |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
-1 (Predeterminado), indica que las contraseñas no expiran.
Puede contener valores numéricos que representen una cantidad de días. |
Este control se aplica cuando se utiliza la autenticación nativa, donde las contraseñas son gestionadas por Deyel.
Cada vez que el usuario establece una nueva contraseña, queda registrado el momento en que se realiza esta operación y se puede calcular el tiempo de expiración.
Por ejemplo, si se informa el valor 1, las contraseñas que se establecieron durante el día de hoy caducan durante el día de mañana.
Notificación de expiración de contraseña
Indica la cantidad de días de anticipación con que se debe notificar a los usuarios la expiración de su contraseña.
- Si se indica el valor -1 entonces no se emite notificación.
- Si se informa un valor diferente de -1, entonces se controla que sea menor que la propiedad Tiempo de expiración de contraseña.
Debe estar activa la tarea programada Notificar Expiración de Contraseñas.
Nombre |
TiempoExpiraciónContraseñaNotificacion |
Código |
PASSWORD_EXPIRATION_ALERT_TIME |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valores Posibles |
-1 (Predeterminado), indica que no se emite notificación.
Puede contener valores numéricos que representen una cantidad de días. |