IBM Cloud Docs
Gestión de la autenticación

Gestión de la autenticación

Los proveedores de identidad (IdP) añaden un nivel de seguridad para sus apps móviles y web a través de la autenticación. Con IBM Cloud® App ID, puede configurar uno o varios proveedores de identidad para crear una experiencia de inicio de sesión personalizada para los usuarios.

App ID interactúa con los proveedores de identidad utilizando diversos protocolos, como OpenID Connect, SAML, etc. Por ejemplo, OpenID Connect es el protocolo que se utiliza con varios proveedores sociales, como Facebook o Google. Los proveedores empresariales, como Azure Active Directory o Active Directory Federation Service, suelen utilizar SAML como protocolo de identidad. Para Cloud Directory, SCIM para verificar la información de identidad.

Cuando utiliza proveedores de identidad sociales o de empresa, App ID lee la información sobre la cuenta del usuario. Puesto que el servicio nunca tiene acceso de escritura a la información, los usuarios deben pasar por el proveedor de identidad elegido para realizar acciones como, por ejemplo, restablecer la contraseña. Por ejemplo, si un usuario inicia sesión en la app con Facebook y después desea cambiar la contraseña, deberá ir a www.facebook.com para hacerlo. {: note}a

Cuando utiliza Directorio en la nube, App ID es el proveedor de identidad. El servicio utiliza el registro para verificar la identidad de los usuarios. Puesto que App ID es el proveedor de identidad, los usuarios pueden sacar partido de la funcionalidad avanzada y restablecer la contraseña directamente en la app.

¿Está trabajando con la identidad de la aplicación? Consulte Identidad de aplicación.

Se pueden configurar varios proveedores de identidades para que los utilice App ID. Consulte la siguiente tabla para obtener más información sobre las opciones.

Opciones de proveedor de identidad
Proveedor de identidad Tipo Descripción
Cloud Directory Registro gestionado Puede mantener su propio registro de usuarios en la nube. Cuando un usuario se registra en su app, este se añade al directorio de usuarios. Esta opción proporciona a los usuarios más libertad para gestionar su propia cuenta dentro de la app.
SAML Enterprise Puede crear una experiencia de inicio de sesión único para los usuarios.
Facebook Social Los usuarios pueden iniciar una sesión en la app utilizando las credenciales de Facebook.
Google+ Social Los usuarios pueden iniciar una sesión en la app utilizando las credenciales de Google.
Personalizado Personalizado Si ninguna de las opciones proporcionadas se ajusta a sus necesidades específicas, puede configurar su propio flujo de identidad para que funcione con App ID.

Gestión de proveedores

Un proveedor de identidad crea y gestiona información sobre una entidad como, por ejemplo, un usuario, un ID funcional o una aplicación. El proveedor verifica la identidad de la entidad utilizando credenciales como, por ejemplo, una contraseña. A continuación, el IdP envía la información de identidad de nuevo a App ID, que autoriza al usuario y luego otorga acceso a la app.

  1. Vaya al panel de control del servicio.
  2. En la sección Proveedores de identidad de la navegación, seleccione la página Gestionar.
  3. En el separador Proveedores de identidad, establezca los proveedores que desea utilizar en Activados.
  4. Opcional: Decida si desea desactivar los Usuarios anónimos o dejar el valor predeterminado, que es Activado. Cuando se establecen en Activados, los atributos de usuario se asocian con el usuario desde el momento en que empiezan a interactuar con la app. Para obtener más información sobre la vía de acceso para convertirse en un usuario identificado, consulte Autenticación progresiva.

App ID proporciona credenciales predeterminadas para ayudar con la configuración inicial de Facebook y Google+. Está limitado a 20 usos de las credenciales por instancia, por día. Puesto que son credenciales de IBM, están pensadas para utilizarse solo en el desarrollo. Antes de publicar la app, actualice la configuración a sus propias credenciales.

Adición de URI de redirección

La aplicación redirige a los usuarios a App ID para que se realice la autenticación. Una vez completada la autenticación, App ID redirecciona a los usuarios a la aplicación. Para que App ID pueda dirigir a los usuarios de nuevo a su app, tiene que registrar el URI de redirección. Durante el flujo de inicio de sesión, App ID valida los URI antes de permitir que los clientes participen en el flujo de trabajo de autorización, lo que ayuda a impedir ataques de suplantación y filtraciones de código. Al registrar el URI, está diciendo a App ID que el URI es de confianza y que es correcto redirigir a los usuarios.

  1. Pulse Valores de autenticación para ver las opciones de URI y configuración de señales.

  2. En el campo Añadir URI de redirección web, escriba el URI. Cada URI debe empezar con http:// o https:// y debe incluir la vía de acceso completa, incluidos los parámetros de consulta para que la redirección sea satisfactoria. ¿Necesita ayuda para formatear el URI? Consulte la tabla siguiente para ver algunos ejemplos.

    Ejemplo de URI de redireccionamiento web
    Tipo URI de ejemplo
    Dominio personalizado https://mydomain.net/myapp2path/appid_callback
    Subdominio de Ingress https://mycluster.us-south.containers.appdomain.cloud/myapp1path/appid_callback
    Caracteres comodín https://mydomain.net/*
    Nota: no se recomienda utilizar comodines en las aplicaciones de producción.

    Se recomienda utilizar siempre el cifrado y evitar HTTP.

  3. Pulse el símbolo + en el recuadro Añadir URI de redirección web.

    Asegúrese de registrar solo los URI de las aplicaciones en las que confía.

  4. Repita los pasos uno a tres hasta que todos los URI posibles se añadan a la lista.

Configuración del período de vida de la señal

App ID utiliza señales para identificar a los usuarios y proteger los recursos. Puede ajustar la configuración para adaptarla a las necesidades de las aplicaciones estableciendo el intervalo de duración de las señales. La duración de la señal comienza cada vez que un usuario inicia una sesión. Por ejemplo, establece el período de vida de la señal de renovación en 10 días. Cuando el usuario inicia sesión por primera vez, se crea una señal de acceso y de renovación. Si el usuario vuelve a la app 3 días más tarde, no tendrá que volver a iniciar una sesión. Pero si el usuario ha esperado 12 días después de su primer inicio de sesión y después ha vuelto a la app, entonces deberá volver a iniciar sesión. Para obtener más información sobre las señales, consulte Visión general de las señales.

Cuando establece la caducidad de la señal, los valores se aplican a todos los proveedores que pone a disposición. Si desea personalizar más las señales, intente llamar a la API para que correlacione las reclamaciones personalizadas de modo que la información de usuario esté disponible en tiempo de ejecución. Cuando trabaja con la API, los tiempos de personalización se configuran de forma diferente.

  1. Vaya al separador Gestionar autenticación > Valores de autenticación del panel de control de servicio.

  2. En el separador Caducidad de inicio de sesión, cambie el valor de renovación de señal por Habilitado.

  3. Para cada tipo de señal, añada un valor tal como se describe en la tabla siguiente.

    Tipos de fichas y opciones de personalización
    Tipo de señal Descripción Valor predeterminado Opciones
    Acceso El intervalo de tiempo durante el cual son válidas las señales de acceso. Cuanto menor sea el valor, dispondrá de más protección cuando le roben la señal. 60 minutos Cualquier valor comprendido entre 5 y 1440
    Icono Renovar El intervalo de tiempo durante el cual son válidas las señales de renovación. Cuanto menor sea el número, el usuario deberá registrarse con más frecuencia. 30 días Cualquier valor comprendido entre 1 y 90
    Anónimo El intervalo de tiempo durante el cual son válidas las señales anónimas. Los tokens anónimos se asignan a los usuarios en el momento en que empiezan a interactuar con su aplicación. Cuando un usuario inicia sesión, la información de la señal anónima se transfiere a la señal asociada con el usuario. 30 días Cualquier valor comprendido entre 1 y 90

    Las señales de identidad se configuran automáticamente para que coincidan con el intervalo de tiempo que se establece para las señales de acceso. Los valores no pueden ser distintos.

  4. Pulse Guardar.