Manual de Instalação MFA
Páginas destinadas a ajudar na etapa de configuração do MFA na CAFe versão 4.2.1
Objetivo
O escopo deste documento é detalhar os procedimentos associados à instalação do MFA nos IDPs.
Premissas e Informações importantes
Necessário ter o IDP 4.2.1 instalado (última versão homologada)
Recomendamos também a leitura da documentação geral do MFA, para um melhor entendimento deste documento. Ou seja, NÃO é escopo deste documento descrever o processo de instalação do IDP, mas sim, somente a instalação dos componentes adicionais associados a suporte de MFA.
Conceitos e Terminologias
| Termos | Conceito |
|---|---|
MFA (Multiplo Fator de Autenticação) | É quando é solicitado ao usuário mais de uma forma de autenticação, de forma a aprimorar a segurança, certificando-se que quem está fazendo o login é realmente o usuário e não uma pessoa se passando pela mesma. Por exemplo, após o usuário digitar o usuário e senha, é solicitada uma informação adicional que só o usuário tenha. Assim, mesmo que a senha do usuário seja roubada, o atacante não irá conseguir autenticar se fazendo passar pelo usuário; |
Plugins MFA | Componentes adicionados à instalação do IDP para que o mesmo passe a suportar MFA; |
Painel de Segurança MFA | Aplicação na qual o usuário gerencia seus fatores de autenticação adicionais. É através do Painel de Segurança, por exemplo, que o usuário indica que ele quer ativar novos fatores de autenticação na sua conta. É através do Painel também que a instituição irá administrar o serviço de MFA. Usuários podem receber permissões de administrador e operador no painel. Estes usuários poderão ter acesso a funcionalidades. |
Componentes
A instalação do MFA no seu IDP envolve a instalação dos seguintes componentes:
Banco de Dados: é instalado um banco de dados no seu IDP. O banco de dados é utilizado para armazenar os dados associados aos MFA dos usuários. O banco de dados é acessado tanto pelo IDP como pelo painel de Segurança. Caso o mesmo fique indisponível irá acarretar também na indisponibilização dos mesmos;
Plugins MFA: envolve uma série de componentes adicionados à instalação do seu IDP. Compreende bibliotecas Java, novas páginas, novos arquivos de configuração, etc. Na instalação dos plugins também é necessário alterar alguns arquivos de configuração existentes no seu IDP;
Painel de Segurança: painel de segurança MFA ou Dashboard MFA. Estes dois termos podem ser utilizados para referenciar esta aplicação. Se trata de uma aplicação java que é instalada também no seu servidor IDP.
A figura a seguir ilustra os componentes citados.
Atente que as requisições sempre chegam no Apache, que por sua vez, encaminha para o IDP ou para o Painel de Segurança, conforme ação realizada pelo usuário.
Fatores de autenticação
Os seguintes fatores de autenticação são suportados atualmente:
Senha Descartável: Senha Descartável ou OTP (One Time Password). Valor que altera ao longo do tempo. Mesmo que o valor seja roubado, ele não poderá ser reutilizado posteriormente, garantindo assim maior segurança no processo de autenticação;
Código de Emergência: Código de Emergência ou Backup Code. Consiste de um conjunto de senhas que podem ser utilizadas uma única vez. Como não podem ser reutilizadas, também possibilitam maior segurança no acesso.
Outros mecanismos de proteção e facilidades suportadas:
CAPTCHA: além de suporte a fatores de autenticação adicionais para aprimorar a segurança do acesso, os plugins instalados no seu IDP permitem a ativação do CAPTCHA. O CAPTCHA é um mecanismo que tenta proteger contra ataques de força bruta, que é quando robôs são criados para tentar descobrir a senha do usuário tentando realizar o acesso múltiplas vezes, cada vez, tentando uma combinação diferente até descobrir a senha do usuário. O CAPTCHA que foi integrado é o do Google. A ativação do CAPTCHA é opcional e envolve etapa adicional manual detalhada posteriormente em outra seção deste documento.
Dispositivos Confiáveis: a solicitação de outros fatores de autenticação podem gerar um incômodo nos usuários, uma vez que eles terão que realizar passos adicionais para se autenticar. Para minimizar este problema, o usuário pode através do painel de segurança configurar um dispositivo como confiável. Assim, caso o usuário marque seu computador pessoal como confiável, o IDP somente irá verificar o usuário e senha. Logicamente o usuário NÃO deve marcar um dispositivo de uso público/compartilhado como confiável. Um aspecto importante que precisa ficar claro, é que apesar do nome “Dispositivo Confiável”, na prática, armazenamos a informação do browser do usuário. Assim, se o usuário navega na Internet pois mais de um Browser, ele terá que adicionar cada um dos Browsers como confiável. Por questões de segurança o tempo que um browser é marcado como confiável expira após um tempo e precisa ser configurado novamente pelo usuário como confiável. O processo de guardar a informação dos dispositivos confiáveis envolve também guardar um cookie no browser marcado como confiável. Assim, a limpeza de cookies pode também fazer com que o mesmo deixe de ser considerado confiável. A qualquer momento, através do painel de segurança o usuário pode marcar os dispositivos como não sendo mais confiáveis.
O script de instalação foi concebido considerando uma instalação padrão do IDP Shibboleth 4.2.1.
NÃO PROSSIGA com a instalação caso tenha realizado customizações adicionais no seu IDP ou caso o mesmo não esteja instalado no local padrão.
Para maiores informações sobre o Painel de Segurança do MFA, favor acessar o procedimento de ajuda neste link.
Caso ainda ocorram duvidas, favor entrar em contato com a RNP através do e-mail: atendimento@rnp.br
Last updated
