WSO2 Identity Server es un producto de gestión de acceso e identidad (IAM) de código abierto basado en API diseñado para ayudarle a crear soluciones IAM (CIAM) efectivas para sus clientes. Se basa en estándares abiertos como SAML, OAuth y OIDC con opciones de implementación local, en la nube e híbrida. Admite requisitos complejos de IAM dada su alta extensibilidad. En este artículo te contamos todo sobre las capacidades y funcionalidades de la nueva versión WSO2 Identity Server 7.0.0 (WSOIS 7).
Seguiremos el siguiente índice:
|
1. Introducción a WSO2 Identity Server 7.0.0
En la última entrega de WSO2 Identity Server 7.0.0 Beta6 nos encontramos con una interfaz de administración completamente renovada, dejando a un lado la tradicional consola Carbon que se encuentra en todos los productos de las anteriores versiones.
Esta interfaz trae consigo nuevas funcionalidades que ayudan y agilizan la administración de todo el producto como SSO, federación de identidades, autenticación, ya sea autenticación multifactor o autenticación adaptativa, personalización de portal de login, templates de correo, y más características que iremos abordando a lo largo de esta revisión.
2. Página de Login y Consola de Administración
Para comenzar, demos un vistazo a la nueva interfaz de administración.
En la nueva consola de administración se han redistribuido y simplificado las opciones del menú, contando con el menú de funcionalidades del lado izquierdo y un dashboard con acceso rápido a las operaciones que se utilizan con más frecuencia.
Dentro de las novedades podemos destacar las siguientes:
- Se cambia el concepto de Services Providers por Applications.
- Los IdPs se encuentran en la sección Connections.
- Se divide la Administración de Usuarios y Roles en dos opciones directamente accesibles por los administradores.
- El manejo de Claims se facilita con el nuevo enfoque de la herramienta a través de la sección User Atributes & Stores.
- La configuración de Acceso y Registro de usuarios se encuentran ahora disponible en Login & Registration, con opciones para habilitar y configurar políticas de acceso, contraseñas, factores de autenticación, auto-registro entre otras.
3. Capacidades de la nueva versión de WSO2 de Identity Server 7.0.0 ( WSOIS 7)
En esta sección haremos una revisión de cada una de las capacidades claves que nos ofrece la nueva versión de WSOIS 7.
3.1 Applications
Nos permite definir diferentes tipos de Services Providers para gestionar el acceso de aplicaciones web, aplicaciones móviles o aplicaciones M2M.
Por defecto se encuentra definida la aplicación que nos permite acceder al portal de My Account donde los usuarios pueden acceder a sus datos.
A través de la nueva interfaz gráfica es sencillo crear una nueva aplicación, se debe seleccionar el tipo de aplicación a crear y luego completar la información necesaria.
Si por ejemplo seleccionamos el tipo Traditional Web Application podemos observar que se simplifica la información a cargar, se nos permite elegir entre protocolo OIDC o SAML con sólo seleccionar la opción requerida.
Una vez definida la información básica de la aplicación se nos presenta una pantalla dividida en pestañas donde podemos definir la información General, Protocolos, Atributos de usuarios, Métodos de Inicio de Sesión, Roles entre otros.
Otra novedad es la forma en la que se agregan las URLs autorizadas basta con agregarlas en la pestaña Protocol en el campo Authorized redirect URLs y hacer clic
en el botón.
Podemos ver la información de seguridad de la aplicación como el client id y client secret.
Por otro lado podemos definir en esta misma interfaz los dominios que permitiremos para evitar errores de CORS sin necesidad de modificar el archivo de configuración deployment.toml como se hacía anteriormente.
Podemos seleccionar de manera más rápida los atributos (Claims) de cliente en la pestaña de User Attribute.
Prestemos atención a la pestaña de Sign-in Method, aquí podemos definir como se autenticara un usuario a través de una interfaz amigable, se pueden configurar rápidamente uno o más métodos de autenticación (MFA), comencemos por agregar la autenticación básica (Usuario + Contraseña).
En este punto ya podremos acceder a nuestra aplicación web utilizando la autenticación básica de Identity Server con un usuario y una contraseña valida.
Si quisiéramos incrementar el nivel de seguridad con un segundo factor de autenticación sólo debemos hacer clic en el botón + y escoger otro método, como ejemplo utilizaremos el factor TOTP que en esta versión de IS es muy sencillo de implementar.
Con esta configuración aplicada, al intentar acceder a nuestra aplicación el Identity Server nos solicitara escanear un código QR desde cualquier aplicación móvil de TOTP para vincularla con el usuario que está ingresando, en mi caso utilice la aplicación de Google Authenticator, una vez vinculada se solicita el código temporal provisto por la aplicación y si es válido permitirá el acceso.
Podemos ver los Endpoints de la aplicación en la opción de Info, anteriormente para poder verlos teníamos que dirigirnos a Identity Providers Resident.
3.2 Connections
En este sección podemos configurar el tiempo de expiración y longitud de las opciones de SMS/Email OTP.
Adicionalmente tendremos disponible la configuración de TOTP, Magic Link, Passkey y SSO que nos dirigirán a la aplicación donde queramos utilizar estas opciones.
También podremos crear nuevas conexiones para Federar y Autenticar a través de redes sociales como Google, Microsoft, Facebook, Github, Apple.
Tenemos las opciones tradicionales para conectar con IdPs o establecer conexiones personalizadas.
3.3 API Resources
En esta sección podemos crear y administrar las API utilizadas para definir los Scopes y permisos que nuestras aplicaciones pueden consumir.
Haciendo clic en Management APIs podemos ver las API disponibles y actualizarlas de ser necesario.
3.4 Branding
Esta sección se divide en 2 Styles & Text y Email Templates.
3.4.1 Styles & Text
Esta es una gran novedad en esta versión, permite cambiar completamente la paleta de colores, textos, logos y estilos desde la consola de administración con una interfaz intuitiva y muy detallada, podemos destacar las siguientes características:
- Modificar el diseño de las interfaces sin necesidad de editar y agregar la carpeta de extensión con los estilos.
- Podemos seleccionar la posición de la interfaz.
- Colores de botones, letras y fondo.
- Cambiar el idioma de la interfaz, sin necesidad de cambiar el archivo resources.properties.
- Agregar texto sin necesidad de modificar archivos de configuración.
La modificación de los estilos aplicará para las siguiente interfaces.
- Login.
- SMS OTP.
- EMAIL -OTP.
- TOTP.
- SIGN UP.
- Password recovery.
- Password reset.
- Password reset success.
- Portal My ACCOUNT.
Podemos ver la vista previa de cada interfaz seleccionandola en la opción Screen, por ejemplo si queremos ver como quedaría la interfaz de Password Reset.
3.4.2 Email Templates
En esta sección podemos modificar directamente las plantillas de correo electrónico desde la nueva interfaz de administración sin necesidad de salir de la opción Content y podemos ir observando los cambios que se van haciendo desde la vista Preview.
5. User Management
La administración de usuarios se redefine en esta versión de Identity Server permitiendo que la gestión de usuarios, grupos y roles sea más dinámica, sencilla y eficiente.
La sección de User Management se divide en User, Groups y Roles.
5.1 User
Ahora podemos acceder directamente a la gestión de usuarios con menos clic en el menú de opciones, desde esta sección podremos realizar las siguientes acciones
- Crear usuarios.
- Ver Usuarios.
- Editar usuarios.
- Borrar Usuarios.
Al seccionar la opción + Add User se inicia el proceso de creación de usuarios donde se solicitará la Información Básica, Grupos y opciones de Notificación de la creación.
Una vez creado el usuario podemos actualizar el resto de sus atributos (Claims).
Adicionalmente podemos cambiar la contraseña, forzar el cambio de contraseña con una notificación vía correo electrónico, Bloquear Usuario y eliminar el usuario.
5.2 Groups
En esta sección podemos ver los grupos disponibles y crear nuevos.
Cuando damos clic en + Add Group se solicita el User Store, Nombre del Grupo y podemos seleccionar los Usuarios asociados a este grupo. Adicionalmente podremos asignar roles al nuevo grupo.
5.3 Roles
En esta sección podemos ver y crear roles.
5.4 User Attributes & Stores
En la redistribución de las opciones del menú ahora encontramos en esta sección las opciones de User Stores y Attributes
5.5 User Stores
Agregar nuevos User Stores es más sencillo en la nueva versión, ahora podemos seleccionar de manera gráfica el tipo de User Store a crear.
Con ayuda del Wizard podemos ir agregando la configuración necesaria.
Una vez configurado el User Store podemos agregar nuevos usuarios.
5.6 Attributes
En esta sección podemos ver y administrar los atributos del usuario, en las versiones previas estos se encontraban definidos como Claims.
Podemos agregar nuevos atributos y mapearlos a los protocolos OIDC y SCIM2 sin necesidad de modificar los archivos de configuración scim2-schema-extension.config, como se hacía en las versiones anteriores, lo que hace más simple y directa la creación de los nuevos claims.
Una vez definidos los nuevos atributos los podemos utilizar en las Aplicaciones para compartir la información de los usuarios.
6. Login & Registration with WSO2 Identity Server 7.0.0
En esta sección se pueden configurar los ajustes de inicio de sesión y registro. En versiones anteriores estás opciones se encontraban en Identity providers.
Como opciones destacadas podemos mencionar la opción de Multi Attribute Login que nos permite habilitar con un clic la capacidad de utilizar múltiples nombres de usuario definidos en el Claim Username para el login.
Otra características interesante es la configuración de Password Validation donde destaca que podemos seleccionar el tiempo de expiración del password, anteriormente para tener esta funcionalidad se tenia que usar un conector y aplicar la configuración en el archivo deployment.toml.
También podemos configurar el historial de passwords, la cantidad de caracteres que debe tener, y otras políticas.
En el apartado de Login Attempts podemos configurar el número de intentos fallidos, la duración del tiempo de la cuenta bloqueada y el factor de incremento de duración del bloqueo de cuenta, anteriormente esta función se hacía desde identity providers resident.
La opción de Bot Detection se puede habilitar en la interfaz pero es necesario configurar la conexión de Google reCAPTCHA en el archivo de configuración deployment.toml.
Luego de habilitarla se tendrá protección en los siguientes flujos.
- Inicio de sesión en aplicaciones comerciales
- Recuperar la contraseña de una cuenta de usuario
- Autorregistro para cuentas de usuario
Al habilitar la opción de Self Registration, los usuarios podrán registrarse a través del enlace Crear una cuenta en la página de inicio de sesión de la aplicación. Esto crea una nueva cuenta en la organización.
6.1 Email & SMS
Este apartado se divide en 2 secciones el Email y SMS que la función es configurar los proveedores para el envío de notificaciones.
Para el caso del email, se tiene que configurar desde el deployment.toml.
El proveedor de SMS es más fácil de configurar que en las antiguas versiones permitiendo conectar de tres maneras.
- Twilio
- Vonage
- Custom
6.2 Console Settings
Nos permite configurar los ajustes relacionados con la consola de administración.
- Definir los usuarios con privilegio de administradores
- Roles
- Flujo de inicio de sesión (MFA)
4. Conclusión sobre la nueva versión WSO2 Identity Server 7.0.0
La nueva versión de WSo2 Identity Server 7.0.0 se ha renovado y ha logrado mejorar la experiencia de usuario con una interfaz moderna que incluye funcionalidades y características que permiten agilizar la administración y gestión de usuarios.
El manejo de las Applications (anteriormente Service Providers) permite conectar nuevas soluciones en poco tiempo, con mejoras en la visualización y edición de Protocolos, Atributos de Usuarios, Métodos de Inicio de Sesión, Múltiples factores de autenticación y permisos de
consentimiento.
La sección de Connections facilita la Federación e inclusión de nuevos Identitys Providers.
Las opciones de API Resources se enfoca en la administración de las APIs a nivel de roles y permisos para su uso por terceros.
Una de las características nuevas que más han llamado la atención es la de Branding que permite la modificación completa del diseño y estilo de las interfaces del producto para adaptarlo a la imagen Corporativa del Cliente, todo a través de la consola de administración sin requerir agregar o editar código fuente o archivos de configuración.
Adicionalmente ofrece la posibilidad de cambiar los Email Templates completamente en línea con previsualización del resultado final de cada template.
La administración de Usuarios, Roles y Grupos que ahora se ubica en la sección User Management resulta en una experiencia de uso más efectiva, los cambios de atributos, creación de nuevos roles y asignación de permisos se pueden realizar en pocos clic en una misma interfaz sin tener que cambiar entre multiples vistas cómo se hacía anteriormente.
La gestión de Claims cambia y se añaden nuevas funcionalidades para poder crearlos y mapearlos a los protocolos OIDC/Scim2 sin modificar archivos de configuración ni reiniciar el servidor.
La interfaz de administración de User Store se renueva para simplificar el proceso.
La gestión de Inicio de Sesión y Registro de Usuarios permite configurar las reglas en opciones bien definidas y visibles, en las versiones previas se encontraban en diferentes secciones y era más laborioso poder ubicarlas, ahora basta con ingresar a la sección Login & Registration y las encontraremos agrupadas y accesibles.
Aún falta incluir opciones importantes que se mantienen en la consola Carbon como el Multi Tenant, Administración de políticas PAP/PDP, keystores y consents. Esta administración todavía se debe realizar en la consola Carbon por lo que aún no podemos quitarla, esperamos que en futuras versiones ya se incorporen a la nueva Interfaz y así no tener la necesidad de mantener ambas consolas de administración
En general podemos concluir que la experiencia de uso de la nueva versión de WSO2 IS es agradable y fresca.
La implantación y actualización del servidor actual permitirá sin duda a toda su organización aprovechar estas nuevas funciones y Chakray puede ayudarte en tu camino a reforzar la seguridad de tus accesos, ponte en contacto con nosotros.
¡Habla con nuestros expertos!
Contacta con nuestro equipo y descubre las tecnologías de vanguardia que potenciarán tu negocio.
contáctanos
