Security

Cómo deshabilitar usuarios en WSO2 Identity Server

19th septiembre 2019

Una gestión de identidades al mismo tiempo eficiente y segura es clave para una organización empresarial que se enfrente al aumento constante del número de usuarios y de recursos IT a su disposición. Con WSO2 Identity Server es posible establecer un control completo de las identidades que acceden a los datos y la información disponible en toda la organización, aunque la complejidad vaya en aumento. Con esta solución de código abierto pueden gestionarse y conectarse, de la manera más eficiente, distintas identidades aunque procedan de aplicaciones muy diferentes. A continuación conoceremos uno de los aspectos que suele generar más dudas en WSO2 Identity Server; cómo deshabilitar a los distintos usuarios.

WSO2 Identity Server 

La administración de permisos para el acceso a distintos volúmenes de datos es uno de los desafíos que permite afrontar con éxito WSO2 Identity Server, unos datos que pueden provenir de numerosas fuentes como APIs, dispositivos móviles, el Internet of Things o la nube, por citar algunos. Esta herramienta concede acceso mediante una sola identificación de usuario, de manera que se pueden administrar de manera muy ágil los recursos que puede emplear cada usuario manteniendo los criterios de seguridad en sus más altos estándares. Pero, ¿qué ocurre cuando lo que deseamos es deshabilitar a un usuario en concreto?.

Pasos para deshabilitar una cuenta

Un usuario con el perfil de administrador puede desactivar una cuenta de usuario configurando esta función en el Servidor de Identidad de WSO2 y editando el perfil de usuario de la cuenta. También puede desactivar (apagar) la función de desactivación de cuenta para que los usuarios con el perfil de administrador no tengan permiso para desactivar a los usuarios. Desde la versión 5.3.0 de WSO2 Identity Server existe una nueva implementación para las funciones de gestión de identidades, por lo que los pasos que se indican en este artículo están establecidos de acuerdo con ello. La anterior implementación se ha conservado dentro del paquete WSO2 Identity Server para que exista una compatibilidad con las versiones anteriores y se pueda continuar usando si es necesario.

Deshabilitar una cuenta

Después de iniciar WSO2 IS abriendo la sesión correspondiente en la consola de gestión, es necesario dirigirse a Main/Claims/List y realizar ‘clic’ en http://wso2.org/claims. A continuación debe editarse el formulario de solicitud de ‘Account Disabled’ para, después, marcar la casilla de verificación ‘Supported by Default’ y hacer ‘clic’ en ‘Update’. El siguiente paso es el de acudir a Main/Users and Roles/List/Users y hacer ‘clic’ en el perfil de usuario de la cuenta que se desea desactivar. Por último, debe marcarse la casilla de verificación de ‘Account Disabled’ y realizar ‘clic’ en ‘Update’.

Desactivar la deshabilitación de la cuenta

Si lo que deseamos es desactivar la opción de deshabilitación de la cuenta, incluso para los usuarios con perfil de administrador, tenemos que seguir una serie de pasos, que comienzan por abrir el archivo identity-event.properties que se puede encontrar en la carpeta <IS_HOME>/repository/conf/identity (el gestor de desactivación de cuenta está registrado de forma predeterminada en este archivo). A continuación, debemos eliminar la siguiente suscripción para desactivar la desactivación de la cuenta (lo que eliminará la opción de deshabilitar la cuenta de todos los usuarios):

– account.disable.handler.subscription.1=PRE_AUTHENTICATION

– account.disable.handler.subscription.2=PRE_SET_USER_CLAIMS

– account.disable.handler.subscription.3=POST_SET_USER_CLAIMS

 

-Quizá te interese: WSO2 Identity Server Tutorial: IS y Analytics (Parte I)

 

Gestión de Identidades con Identity Server 

En el momento en el que se hace uso de varios productos WSO2, se debe comenzar la sesión en la plataforma de gestión de todos y cada uno de los productos, algo que puede suponer una sobrecarga de trabajo y una excesiva pérdida de tiempo. Sin embargo, es posible realizar una configuración para el inicio de sesión único en todos los productos WSO2, aportando las credenciales sólo una vez. Es el caso con el WSO2 Enterprise Service Bus a partir de la versión 4.5.1.

Por otra parte, uno de los objetivos que siempre se persigue es el de desplegar servicios de autenticación y autorización para distintos usuarios de una forma centralizada y estándar, de manera que se evite que cada aplicación de negocio, API y los servicios implementen su propia lógica de seguridad. Tanto desde WSO2 ESB como desde WSO2 API Manager es posible implementar aspectos de QoS o calidad de servicio y políticas de seguridad, gestión de identidades, autenticación y autorización en toda una organización.