Authentication Server:
El Authentication Server (AS) es un servicio de plataforma dentro de la Plataforma Veritran que funciona como un motor de seguridad que controla los elementos de autenticación y autorización de usuarios, y gestiona contraseñas y tokens de doble factor de autenticación para cualquier app, tanto de Veritran como de clientes, desde cualquier canal. Con todos estos mecanismos de seguridad, el Authentication Server verifica y confirma la identidad declarada de un usuario que opera en Veritran o en el canal de un cliente antes de brindarle acceso.
El Authentication Server:
Proporciona servicios de autenticación con credenciales de usuario, como usuario y contraseña, y permite gestionar reglas de credenciales para establecer formatos, intentos e historial de contraseñas para los usuarios.
Permite a los usuarios firmar operaciones con doble factor de autenticación mediante la implementación y validación de OTCs y OTPs, para añadir una capa de seguridad adicional a las apps.
Gestiona las sesiones autenticadas para controlar cada solicitud realizada por el usuario.
Interfaces del Authentication Server
El Authentication Server consta de diferentes interfaces:
Una consola de usuario #UUID-e312132a-6c4f-7999-bc68-48163074fb81 , que permite gestionar diferentes funciones de seguridad para la autenticación de usuarios, como la validación de usuarios y contraseñas o la gestión de sesiones y tokens para doble factor de autenticación. Estos elementos se gestionan a través de reglas y dominios que permiten ajustar las capacidades de seguridad a las necesidades del cliente.
Una API en el lado back-end, que puede ser invocada por el Middleware de Veritran o por clientes bancarios para implementar las funcionalidades del Authentication Server en sus apps, y realizar una amplia gama de acciones, como validar una OTP, crear o destruir un token, entre otras. Para obtener una lista completa de las acciones que se pueden ejecutar a través de las API, lee el documento Primitivas de AS proporcionado por Veritran.
Elementos de seguridad del Authentication Server
A continuación encontrarás los elementos de seguridad y la información que el Authentication Server puede analizar al verificar la identidad de un usuario:
Usuario El Authentication Server suele recibir un nombre de usuario como parte de una solicitud de autenticación. Esta información se utiliza para localizar la cuenta de usuario correspondiente y está vinculada a una contraseña.
Contraseña Uno de los factores de autenticación más comunes. El Authentication Server compara la contraseña proporcionada con la contraseña almacenada asociada a un usuario y comprueba si coincide para su autenticación.
OTC (código de un solo uso): Código de un solo uso independiente del dispositivo. Es un valor aleatorio con un tiempo de expiración predefinido que se genera y también se valida en el Authentication Server. Una OTC podría solicitarse, por ejemplo, cuando se pide validar el número de teléfono de un usuario al activar o reactivar el canal móvil.
OTP (contraseña de un solo uso): Contraseña de un solo uso generada por el soft token de una app que es validada por el Authentication Server para aceptar la transacción de un usuario. Una OTP puede solicitarse, por ejemplo, para firmar una transferencia de dinero.
Sesión Conjunto de interacciones entre un usuario y una app durante un periodo de tiempo determinado. Cuando un usuario inicia sesión en una app, se crea un identificador de sesión que se almacena de forma segura. Este identificador de sesión se envía junto con cada solicitud para autorizar el acceso a los servicios de la app.
Token Mecanismo de seguridad basado en software instalado en las apps que genera y valida las OTP.
Conceptos clave del Authentication Server
Para entender cómo funciona el Authentication Server y cómo operar en su consola #UUID-e312132a-6c4f-7999-bc68-48163074fb81 , es importante conocer algunos conceptos clave, como reglas, versiones y dominios.
Las reglas son un conjunto de condiciones fijas y preconfiguradas que definen la interacción entre los usuarios y una plataforma determinada. La parametría relacionada con usuarios, tokens, sesiones, OTCs y OTPs, como la vida útil de un OTP, se define mediante estas reglas. Por ejemplo, las reglas pueden determinar un umbral de intentos fallidos de contraseña u OTP, el número de dígitos visibles para las tarjetas de crédito o los caracteres disponibles en una contraseña.
El Authentication Server dispone de un conjunto de reglas predeterminadas que pueden modificarse para satisfacer las necesidades de los clientes, definidas por app, canal o producto. Para llevar un registro de los cambios realizados en estas reglas, el Authentication Server proporciona un control de versiones , al que se puede acceder a través de la consola AS. Las versiones permiten aplicar nuevos valores de reglas y, en caso de que surja algún problema, volver a una versión anterior. Para modificar una regla en el Authentication Server, primero debe crear una nueva versión#UUID-f6d15cb2-fc40-9b15-4e78-1337fff2ea8f .
Además, el Authentication Server permite segmentar aún más las reglas por dominios . Los dominios son útiles si un cliente cuenta con más de una app, por ejemplo, una empresa y una app de billetera, y necesita cambiar las reglas de seguridad en uno de los dos dominios.
Lee las secciones a continuación para obtener información sobre la consola del Authentication Server y sobre cómo editar y gestionar Rules, versiones y dominios.
Importante
También se pueden realizar cambios en las reglas a través de las APIs del Authentication Server. Para obtener una lista completa de las acciones que se pueden ejecutar a través de las API, lee el documento Primitivas de AS proporcionado por Veritran.