Auth Sys & Auth Claim

Classificação: Classificado / Público
Proprietário: Rafael Vital
Usuários: Público em geral
Versão: 0.1 (Criada em 18/12/2017)
Alterado último por: Rafael Vital

1 - Sumário

O ProApps IM/2-FA (Two-factor Authentication System) é uma solução robusta de implementação de autenticação forte fundada no mínimo em 2 fatores de autenticação. A solução é composta dos seguintes componentes:

• SAE: é o motor de autenticação forte (strong authentication engine), que implementa toda a lógica do processo de autenticação baseada em múltiplos fatores. É composta de um sistema de gestão de identidade mínimo para sustentar a base de informação inerente a autenticação do usuário; é o gerador lógico das senhas e hashs OTP.
• GUI: interface gráfica com o usuário que permite administração geral da solução.
• Action Provider: WebService de automação de operações de CRUD (Criação, Leitura, Atualização e Remoção, do acrônimo em inglês) padrão RESTful JSON; adequado para realizar todas as operações de preparação e solicitação de segundo fator de autenticação; é a interface que permite o disparo remoto do processo de autenticação forte; permite interoperabilidade da solução com produtos legados e de terceiros.
• 2-FA Delivery: é a interface que realiza a entrega de fato do segundo fator de autenticação; tipicamente é composto de um agente de envio de mensagens SMS por celular, smartphones iPhone, Android ou tablets iPad e Android; pode em casos especiais ser senhas sequenciais não reutilizáveis impressas em papel ou cartão.

O ProApps 2-FA (Two-factor Authentication System) implementa padrões de fato da indústria, com destaque a: RFC-4226; RFC-6238; RFC-2104; OPIE; FIPS-180/4; padrão formal 2-FA OTP Time Based e Event Based.

Para facilitar o entendimento do documento na imagem abaixo o menu é apresentado conforme na aplicação.

2 - Auth Sys & Auth Claim

Neste submenu do módulo IM o usuário será capaz de adicionar atributos a um usuário, sendo que a forma a ser estruturada esta estrutura vai variar conforme as regras de negócio de cada cliente. Teremos uma hierarquia em árvore que começa por AuthSys, sendo esta podendo ter várias AuthClaims e esta por sua vez vários AuthValues. 

Recomendamos que qualquer manipulação/visualização de AuthSys/AuthClaim/AuthValue seja via API e não por GUI, pois em sua maioria são utilizados para definir regras de negócio, armazenar chaves de criptografia entre outros, estes por sua vez dados críticos que uma vez vazados pode vir a gerar prejuízos. Qualquer visualização ou alteração nestes é reportado no relatórios de AuthSys/AuthClaim, isso para que uma auditoria seja realizada caso necessário.

Na figura abaixo é possível visualizar a tela inicial com dois usuários incluídos. Logo após a figura há uma explicação do funcionamento geral da página com todos os detalhes.

Auth Sys (abreviação para Authentication System ou, em português, Sistema de Autenticação) é um sistema que realiza a autenticação do usuário em alguma aplicação. Neste sistema além de fornecer o nome usuário, será necessário que seja fornecido um identificador. Na imagem abaixo é possível visualizar como será realizada a inclusão deste identificador.

Finalizada a inclusão da Auth Sys será possível que o usuário inclua Auth Claims, e uma mudança que será observada imediatamente, demonstrando a conexão entre as duas autenticações, é a criação de uma diretório de Auth Claim dentro do diretório Auth Sys. Na imagem abaixo é possível visualizar essa modificação.

Para visualizar o diretório Auth Claim, conforme imagem acima, é necessário clicar sobre a opção “teste - teste” (Auth Sys ID cadastrado no passo anterior). Auth Claim é uma informação que descreve, em alguns aspectos a identidade do usuário. As Claims são incluídas em tokens que podem conter ainda a assinatura digital. Portanto, o token pode ser visto como um envelope que contém Claims sobre os usuários. 

Como pode ser visto na imagem acima será necessário realizar, como no passo anterior, o cadastro de uma AuthClaim ID. Esse primeiro cadastro de Auth Claim é referente a criação referida acima, na qual haverá uma descrição do usuário ou qual permissão o usuário terá dentro da permissão.   

Após cadastrar a identificação da Auth Claim o próximo passo agora é informar qual é a posição desta Claim e o valor que será atribuído a ela. Na imagem abaixo é possível visualizar a estrutura de diretórios que será gerada após o registro de posição e valores da Claim.

Conforme mencionado anteriormente, para acessar os diretórios basta clicar sobre o valor cadastrado para a Auth Sys e Auth Claim. Na imagem abaixo é possível visualizar a tela na qual será incluída a posição e o valor da Auth Claim. Para checar todas as ações realizadas neste submenu o usuário poderá acessar a página de logs através do seguinte caminho: Relatórios>Audit GUI>Auth Sys & Auth Claim access.