Diseño, implementación y despliegue de autenticación multifactor integrado con Single Sign On utilizando protocolos y arquitectura orientada a servicios

Abstract

La UNNOBA (Universidad Nacional del Noroeste de la Provincia de Buenos Aires) provee a todos sus integrantes de múltiples soluciones de software que facilitan las actividades académicas y administrativas. En particular, la ProTIC (Prosecretaría TICs) se encarga de diseñar, implementar, gestionar y mantener dichas soluciones. Uno de los ejes principales dentro de estas aplicaciones es la autenticación, autorización y accounting, conocido en seguridad informática como AAA. La ProTIC resuelve esto de forma transversal utilizando un esquema llamado SSO (Single Sign On) [1], lo cual permite a los usuarios acceder a múltiples sistemas relacionados (pero independientes) sin necesidad de ingresar sus credenciales más de una vez. A su vez, ofrece un portal llamado ‘Login’ que vincula al usuario con sus servicios disponibles. Los datos relacionados a cada cuenta de usuario (credenciales, datos personales, autorización, servicios disponibles) son persistidos y accedidos mediante un protocolo llamado LDAP (Lightweight Directory Access Protocol) que provee, a efectos prácticos, una base de datos centralizada. Actualmente, la única manera de validar la identidad de un usuario es mediante su email institucional y su contraseña, esto resulta aceptable en casos donde los usuarios hacen un uso responsable de sus credenciales, tienen contraseñas fuertes y realizan una rotación frecuente de las mismas. Sin embargo, aun tomando estas precauciones, la seguridad de sus cuentas puede ser vulnerada mediante diversos ciberataques [2]. Dada esta situación, se propone aumentar la seguridad mediante un método conocido como MFA (Multi-Factor Authentication) [3], que requiere que el usuario utilice dos o más factores de verificación para acceder. Adicionalmente, se busca integrar todas las interfaces y servicios internos en una única plataforma IAM (Identity and Access Management), para facilitar el mantenimiento de los sistemas, evitar lógica duplicada y reducir el acoplamiento de servicios internos, lo cual resultará en una solución más segura, robusta y estable.