Configuración de la autenticación basada en señal OAuth 2.0

Connections Mobile ofrece soporte a la autenticación basada en señal OAuth 2.0 utilizando el estándar de Internet RFC 6749 – La infraestructura de autorización de OAuth 2.0. Puesto que Connections Mobile es una aplicación pública disponible en las tiendas de aplicaciones, implementa el flujo de resultados del código de autorización a un servidor de autorizaciones.

Resumen

La siguiente figura muestra un diagrama de flujo de alto nivel que indica cómo inicia la sesión un usuario móvil y cómo puede acceder al servidor de Connections.

diagrama de flujo del inicio de sesión de usuario

El usuario móvil crea una cuenta de Connections. La aplicación descubre que el servidor está utilizando la autenticación basada en OAuth e inicia una vista web para manejar la solicitud de autorización de OAuth.
El servidor de autorización autoriza la aplicación, pero también autentica el usuario. El proceso de autenticación utilizado depende de cómo se haya configurado el servidor de autorización, pero puede utilizar flujos de autenticación SAML u OIDC en un proveedor de identidad central. Cualquier entrada de usuario final móvil que sea necesaria, como la utilización de códigos de paso de un solo uso, se producirá dentro del formulario web presentado por la aplicación Connections Mobile.
Una vez que un usuario móvil se haya autenticado satisfactoriamente, se devuelve un código de autorización a la aplicación Connections Mobile.
La aplicación móvil de Connections cierra la vista web y utiliza el código de autorización para solicitar acceso y una señal para renovación del servidor de autorización.
La señal de acceso se utiliza como credenciales de autorización para todas las llamadas de API del servidor de Connections.

Entre las ventajas de utilizar la autenticación basada en señales en Connections Mobile se incluyen:

Formularios de inicio de sesión basados en webPuesto que la autenticación de usuario ahora se produce en una vista web, el formulario de inicio de sesión es libre de utilizar más formularios complejos que incorporan JavaScript de otros scripts activos. Con base en las funciones del servidor de autorización y los componentes de identidad, es posible personalizar dichos formularios, y esta función ahora es visible para los usuarios móviles. Tanto los usuarios móviles como los web deberían poder compartir experiencias de inicio de sesión similares.
Tiempo de inicio de sesión extendido para las aplicaciones móviles Puesto que la aplicación móvil utiliza varias señales para la autenticación, el tiempo de vencimiento se puede fijar en un período de tiempo relativamente corto para la señal de acceso, mientras que el tiempo de espera se fija en un intervalo mucho más largo. El usuario se valida cada vez que la señal de acceso corta caduca, pero el usuario móvil solo se interrumpe para volver a realizar la validación mediante la vista web cuando la señal para renovación más larga haya caducado.
El ID de usuario y contraseña nunca se almacenan en el dispositivo Al utilizar OAuth, la aplicación Connections Mobile nunca tiene en cuenta las credenciales de usuario móvil como el ID de inicio de sesión o la contraseña. Dado que nunca las ve, no es necesario guardar estas credenciales mucho más sensibles de forma local. Esto mejora la posición de seguridad general de la aplicación móvil.

Hoja de ruta para habilitar la autenticación basada en señal OAuth 2.0
A continuación, se muestran los pasos de nivel superior para habilitar la autenticación basada en señal OAuth 2.0. Consulte los enlaces para obtener instrucciones detalladas para cada paso.
Requisitos y restricciones de software
Requisitos previos del servidor, aplicaciones móviles soportadas y restricciones de Connections.
Configuración del servidor de autorización OAuth
IBM Connections Mobile utiliza flujos de autenticación OAuth 2.0 estándar de internet cuando utiliza la función de autenticación OAuth. Se ha probado explícitamente utilizando los servidores de autenticación siguientes: IBM WebSphere Application Server 8.5.5.10 e IBM Security Access Manager (ISAM) 9.0.4.
Configuración del servidor Connections Mobile para OAuth
Este es un proceso de dos pasos para actualizar primero el filtro del interceptor de asociación de confianza de WebSphere para OAuth y después actualizar mobile-config.xml.
Configuración de WebSphere como servidor de autorización OAuth
En esta sección se proporcionan instrucciones sobre cómo configurar Connections WebSphere Application Server como el propio servidor de autorización OAuth. Si utiliza un servidor distinto como servidor de autorización OAuth, esta sección no se aplica a su entorno y puede ignorarla.
Configuración de ISAM como servidor de autorización OAuth
IBM Security Access Manager (ISAM) es un dispositivo de seguridad que tiene la capacidad de proporcionar soporte del servidor de autorización de OAuth 2.0 además de un proxy perimetral que puede consumir las señales para la autorización y autenticación del proxy WebSEAL. Para obtener la documentación, consulte ISAM OAuth 2.0 y soporte OIDC.
Migración de tipos de autenticación anteriores a la utilización de OAuth
Si hay usuarios que han desplegado la aplicación Connections Mobile, pueden migrar automáticamente para utilizar OAuth cuando la infraestructura esté en su lugar y mobile-config.xml se haya modificado para indicar que OAuth debe utilizarse como tipo de autenticación. Si ya hay usuarios desplegados con Connections Mobile, asegúrese de que el servidor de autorización OAuth esté en su lugar y funcione antes de realizar cambios en mobile-config.xml. La actualización de mobile-config.xml debe ser el último paso, ya que una vez se haya realizado, las aplicaciones de Connections Mobile empezarán a utilizar un nuevo método de autenticación.
Utilización de certificados de identidad de cliente
Connections Mobile 6.0.7 o posterior ofrece soporte a la autenticación utilizando los certificados de cliente además de la autenticación basada en señales OAuth. Esto proporciona un factor de autenticación adicional, si así se desea.

Tema principal: Administración de IBM Connections 6.0 Mobile