Saltar al contenido principal
Versión: 4.42

Cómo definir el acceso al dominio mediante una pasarela de autenticación centralizada

Descripción general

Esta guía explica cómo configurar sitios mapeados para controlar el uso de certificados en servicios que autentican a través de una pasarela de autenticación centralizada. Es útil para administradores que necesitan definir qué servicios quedan bajo el control de Redtrust, ya que sin esta configuración el acceso a través de la pasarela se permite automáticamente y sin registro.

Contexto

Algunas pasarelas de autenticación centralizadas, como la VÀLid de AOC en Cataluña o la Giltza de Izenpe en el País Vasco, dan acceso a múltiples servicios de la administración pública. Cuando un usuario se autentica con su certificado digital a través de una de estas pasarelas, la pasarela emite un token opaco: una cadena aleatoria que no contiene ninguna información sobre el servicio destino. El agente de Redtrust detecta el uso del certificado en los dominios de la pasarela, pero no puede determinar a qué servicio destino corresponde esa autenticación.

Al configurar sitios mapeados, indicas a Redtrust qué servicios destino debe asociar a las autenticaciones realizadas a través de la pasarela. De esta manera a los servicios destino mapeados se le aplican las políticas de Redtrust de la manera habitual: una URL del servicio destino debe estar explícitamente autorizada para que el usuario pueda accederla bajo la identidad del certificado usado. Esta guía usa AOC como ejemplo; los mismos pasos se aplican a cualquier pasarela de autenticación centralizada.

tip

Para una descripción general conceptual de cómo funcionan los sitios mapeados, consulta Sitios mapeados.

Para casos de uso en los que una aplicación de escritorio gestiona la autenticación con certificado en lugar de una pasarela de autenticación centralizada, consulta Cómo definir el acceso al dominio utilizando la autenticación basada en aplicaciones.

Antes de empezar

Antes de continuar, asegúrate de tener el agente de Redtrust instalado y la configuración básica establecida. Si usas una pasarela diferente, sustituye los dominios de la pasarela AOC por los que correspondan. Por ejemplo, para la Giltza de Izenpe los dominios son eidas.izenpe.com y eidas2.izenpe.com.

Esta guía usa la Seu Antifrau (permitida) y el Ajuntament de Barcelona (denegado) como ejemplos para ilustrar un escenario en el que el mismo certificado debe tener acceso a un servicio autenticado por AOC pero no a otro. Sustitúyelos por los servicios relevantes para tu organización.

Paso 1: Configura el grupo de sitios de la pasarela AOC

La pasarela AOC es el punto de entrada de la autenticación. Crea un grupo de sitios para los dominios de la pasarela y añade en la sección Configuración avanzada los sitios destino que quieres controlar.

  1. Ve a Políticas > Sitios y haz clic en Añadir grupo de sitios.
  2. En el campo Nombre del grupo de sitios, introduce un nombre relevante, por ejemplo AOC - Pasarela.
  3. Añade los dominios de la pasarela:
    • Introduce cert.valid.aoc.cat y haz clic en Añadir.
    • Introduce valid.aoc.cat y haz clic en Añadir.
  4. Despliega Configuración avanzada y, en el campo Sitios mapeados, introduce etram.seu-e.cat. Pulsa Enter para confirmar.
  5. Haz clic en Aplicar.

Paso 2: Añade el grupo de sitios destino

Crea un grupo de sitios independiente para cada servicio destino que quieras permitir.

  1. Ve a Políticas > Sitios y haz clic en Añadir grupo de sitios.
  2. En el campo Nombre del grupo de sitios, introduce Seu Antifrau.
  3. Introduce etram.seu-e.cat y haz clic en Añadir.
  4. Haz clic en Aplicar.
info

Repite este paso para cualquier otro servicio AOC destino que quieras permitir. Cualquier sitio definido en Sitios mapeados que no esté incluido en ninguna política tendrá el acceso con certificado bloqueado. Los dominios que no estén en la lista se permiten automáticamente y no quedan registrados: Redtrust no tiene forma de evaluarlos.

Paso 3: Crea una política

Crea una política que incluya ambos grupos de sitios.

  1. Ve a Políticas y haz clic en Nueva.
  2. En el paso General, introduce un nombre como AOC - Seu Antifrau y establece la prioridad.
  3. Añade el certificado y los usuarios en los pasos Certificados y ¿Quién?.
  4. En la sección Dónde:
    1. Haz clic en Añadir sitios, selecciona AOC - Pasarela y haz clic en Añadir.
    2. Haz clic en Añadir sitios, selecciona Seu Antifrau y haz clic en Añadir.
    3. Haz clic en Siguiente.
  5. En el paso Cuándo, selecciona En cualquier momento y haz clic en Aplicar.
  6. En el resumen de la política, haz clic en Aceptar y Cerrar.
info

Para más información sobre políticas y grupos de sitios, consulta Políticas.

Paso 4: Bloquea el acceso a otros servicios AOC

Cualquier dominio añadido a Sitios mapeados en el grupo de sitios de la pasarela que no esté incluido en ninguna política de permiso se bloquea automáticamente. No es necesaria una política de denegación.

  1. Ve a Políticas > Sitios, selecciona el grupo AOC - Pasarela y haz clic en Editar.
  2. Despliega Configuración avanzada y, en el campo Sitios mapeados, introduce el dominio del servicio que quieres bloquear (por ejemplo, seuelectronica.ajuntament.barcelona.cat). Pulsa Enter para confirmar y haz clic en Aplicar.
info

Si quieres entradas de política explícitas para el registro de auditoría o la visibilidad en la lista de políticas, puedes crear una política de denegación. Sigue el mismo proceso que en los pasos 2 y 3, pero en el paso General, selecciona Denegar en la sección Acción. Añade el grupo de sitios de la pasarela y el grupo de sitios del servicio en la sección Dónde y completa los pasos restantes.

Verificación

Con el agente de Redtrust en ejecución, autentícate a través de la pasarela en cada uno de los servicios que has configurado. Después, ve a Eventos en la consola de administración y comprueba que el sitio permitido muestra una entrada de acceso concedido y el sitio denegado muestra una entrada de acceso bloqueado.