Volver al principio

Autenticación multifactor con ArcGIS

La autenticación multifactor (MFA, por sus siglas en inglés) se refiere al uso de varios métodos, credenciales o factores para validar la identidad de un usuario o cliente que intenta autenticarse en un sistema. Por el contrario, la autenticación de un solo factor puede basarse en un único método de autenticación, por ejemplo, una contraseña. La autenticación multifactor puede utilizarse para garantizar que una credencial o un secreto robados no sean por sí mismos información suficiente para suplantar a un usuario.

Un factor puede ser cualquier dato seguro y verificable. En su expresión más simple, representa una contraseña, pero abarca otras formas, como:

  • Números de identificación personal o PIN
  • Preguntas de seguridad: una respuesta proporcionada por el usuario que se valida durante el inicio de sesión (e inicialmente especificada por el usuario)
  • Factores biométricos: incluida una representación de la retina o de la huella dactilar
  • Un token blando: con frecuencia, un generador de números aleatorios basado en software que se siembra con una entrada específica para demostrar que el dispositivo que ejecuta el software es el único capaz de generarlo debidamente.
  • Un token duro: con frecuencia es un dispositivo de software, como un llavero, que está integrado para mostrar una cadena de caracteres o números que identifican de forma exclusiva a ese dispositivo, para demostrar que el usuario tiene el dispositivo en su poder.
  • Dispositivos y tecnología de autenticación sin contraseña como FIDO2
  • MFA basada en SMS: se envía por SMS a un número de teléfono conocido un código que el usuario proporciona a continuación para verificar el acceso al dispositivo móvil que recibe el SMS.
  • MFA basada en software: otra aplicación, que suele ejecutarse en un dispositivo móvil, recibe una notificación push que el usuario verifica antes de que se le conceda el acceso.
  • Tarjetas inteligentes: también conocidas comúnmente como tarjetas de verificación de identidad personal, que con frecuencia contienen un certificado de cliente específico.

La MFA puede aplicarse en cualquiera o en todos los pasos de un proceso de autenticación. Se utiliza con frecuencia durante la autenticación o verificación inicial, tras la cual el sistema no solicita volver a autenticarse durante un periodo de tiempo determinado. Esta posibilidad se utiliza para facilitar el acceso de los usuarios y evitar que se frustren con el sistema MFA, lo que puede llevar a los usuarios a desactivar los factores adicionales si esa opción está disponible.

Por lo general, se requieren varios factores de autenticación al iniciar sesión por primera vez a través de un determinado proveedor de identidad o sistema, especialmente cuando se utiliza hardware no reconocido, como un PC público o un nuevo dispositivo móvil. Una vez establecida la identidad, muchos sistemas utilizan una cookie o una combinación de información del dispositivo, ubicación o dirección IP, para eludir los requisitos de la MFA para futuros inicios de sesión desde ese dispositivo o sistema.

Patrones comunes de MFA

Aunque la implementación de la MFA puede adoptar muchas formas, los patrones comunes para los sistemas Enterprise incluyen:

  • Lo más habitual es que los requisitos de la MFA se apliquen a nivel del proveedor de identidad (IdP). Un IdP proporciona inicios de sesión basados en SAML u Open ID Connect para ArcGIS Enterprise o ArcGIS Online.
    • En este escenario, se solicita al usuario su factor adicional durante el flujo de inicio de sesión SAML u OIDC. Esto puede ocurrir en un sitio o una interfaz servida por el IdP y el software ArcGIS desconoce el requisito de MFA. Solo el IdP lo solicita y verifica en exclusiva.
  • MFA para cuentas de ArcGIS Enterprise integradas
    • Esta opción puede se habilitar para las cuentas de ArcGIS Enterprise integradas. Ofrece a los usuarios integrados la opción de configurar la MFA utilizando una aplicación existente, por ejemplo, Google Authenticator. Consulte Autenticación multifactor en ArcGIS Enterprise para obtener más información.
  • MFA para cuentas integradas de ArcGIS Online
    • Como en el ejemplo anterior, la MFA puede habilitarse con cuentas de ArcGIS Online integradas. Consulte Autenticación multifactor en ArcGIS Online para obtener más información.

Consideraciones a la hora de implementar la MFA

  • ArcGIS se basa en un proceso de autenticación basado en OAuth para los inicios de sesión basados en aplicaciones, incluidos Field Maps o ArcGIS Pro. Significa que la solicitud de MFA de un proveedor de identidad o del propio ArcGIS se gestiona directamente durante ese proceso de inicio de sesión en un navegador web integrado o externo lanzado desde la propia aplicación. La sesión del usuario se establece y continúa sin más solicitudes hasta que vuelva a autenticarse. Este flujo de inicio de sesión se ejecuta generalmente dentro de una ventana integrada o separada del navegador, que puede gestionar cookies, redireccionamientos y los muchos sabores de MFA basados en navegador para proveedores de SAML y OIDC.
  • Para cualquier flujo de trabajo que implique solicitudes regulares sin encabezamiento (como un proceso con script, o un sistema de automatización del flujo de trabajo) o comunicación backend servidor a servidor, tenga cuidado de no implementar la MFA de forma que haga que estas solicitudes fallen, ya que esto podría interrumpir las comunicaciones o la automatización de forma inesperada.
  • Es probable que la MFA habilitada para flujos de trabajo tales como la conexión a una base de datos solo se admitan correctamente con ArcGIS cuando se admitan explícitamente; compruebe las Notas de la versión de ArcGIS y los requisitos de su sistema de base de datos para verificar si puede existir compatibilidad.

En resumen, hay muchas definiciones diferentes de MFA y distintas formas en que puede configurarse en los diversos paquetes de software; sin embargo, desde la perspectiva de ArcGIS, MFA se configura comúnmente y se admite plenamente a nivel de proveedor de identidad para los patrones de inicio de sesión de la empresa, o se agrega a los procesos de inicio de sesión integrados con ArcGIS Enterprise o ArcGIS Online.

Top