Autenticación
Descripción general
La autenticación en Pega Platform™ garantiza que solo los usuarios y los sistemas cuya identidad haya sido verificada puedan acceder a sus aplicaciones.
La autenticación consta de dos pasos: identificación (ID) y verificación (V).
- La identificación consiste en decirle a un sistema quién es usted, normalmente introduciendo un nombre de usuario.
- La verificación implica proporcionar una prueba de que usted es quien dice ser, normalmente a través de alguna frase secreta que se comparte entre usted y el sistema al que quiere acceder.
En Pega Platform, la autenticación incluye lo siguiente:
- Inicios de sesión de usuario
- Solicitudes de servicios externos a la plataforma
- Solicitudes de la plataforma a servicios externos
Todos los servicios de autenticación usan el servlet PRAuth.
Sin embargo, por motivos de compatibilidad con versiones anteriores de Pega Platform, es posible autenticar utilizando PRServlet en lugar de PRAuth (en otras palabras, la URL de inicio de sesión incluye /prweb/PRServlet). Para obtener más información sobre los tipos de autenticación, consulte Application URL patterns for various authentication service types (Patrones de URL de aplicaciones para varios tipos de servicios de autenticación).
Inicios de sesión de usuario
El usuario se conecta a la aplicación a través del navegador, ya sea introduciendo las credenciales o utilizando el inicio de sesión único (SSO).
Servicio de autenticación
El servicio de autenticación puede utilizarse para autenticar a los usuarios con proveedores o sistemas de identidad externos.
La función de Servicio de autenticación le permite anular o extender el proceso de autenticación predeterminado. Al crear un servicio de autenticación, se implementan requerimientos de autenticación más especializados que los predeterminados, por ejemplo, para usar actividades de preautenticación y posautenticación.
Los Servicios de autenticación son instancias de la clase Data-Admin-AuthService. Todos los servicios de autenticación usan el servlet PRAuth.
El servlet predeterminado, PRAuth, proporciona un gateway de autenticación unificado de modo que no es necesario editar prweb.xml ni reiniciar el servidor para los nuevos servicios de autenticación.
Sin embargo, por motivos de compatibilidad con versiones anteriores de Pega Platform, es posible autenticar utilizando PRServlet en lugar de PRAuth (en otras palabras, la URL de inicio de sesión incluye /prweb/PRServlet). Cuando se usa PRServlet, las políticas de seguridad se habilitan usando varios controles en la landing page Políticas de seguridad. Para obtener más información sobre los tipos de autenticación, consulte Application URL patterns for various authentication service types (Patrones de URL de aplicaciones para varios tipos de servicios de autenticación).
La siguiente tabla enumera los protocolos de las credenciales de usuarios para iniciar sesión compatibles con Pega Platform.
| Tipo de autenticación | Protocolo |
|---|---|
| SAML 2.0 | Un proveedor de identidades externo compatible con el protocolo SAML 2.0, como Microsoft Active Directory |
| OpenID Connect | Un proveedor de identidades externo compatible con el protocolo OpenID Connect (OIDC) |
| Credenciales básicas | Un Id. de usuario y contraseña son almacenados en la base de datos de Pega Platform o en otro origen de datos interno o externo. Nota: No recomiende el tipo de autenticación de credenciales básicas para un entorno de producción. |
| Credenciales de token | Un proveedor de identidad externo o la capa de autorización de OAuth 2.0 en Pega Platform valida el token (a menudo usado en apps móviles sin conexión). |
| Anónima | No se realiza ninguna verificación hasta la mitad de la sesión. Por ejemplo, un usuario no autentificado puede añadir artículos a un carrito de compra e introducir sus credenciales al completar el pago. |
| Personalizada | Puede configurar un servicio de autenticación personalizado para usar la información que se almacena en el proveedor de identidad para determinar los roles y los privilegios del usuario en Pega Platform. Puede usar servicios de autenticación (incluidos SAML 2.0, OpenID Connect o credenciales de token) para implementar soluciones de inicio de sesión único (SSO). Haga que sus aplicaciones sean más seguras utilizando selecciones sencillas en el formulario de reglas de servicio de autenticación para implementar políticas como la autenticación de múltiples factores. |
| Kerberos | Kerberos es un protocolo de autenticación de red que asegura la comunicación entre nodos cliente-servidor utilizando criptografía de clave secreta. Puede usar las credenciales Kerberos de un usuario para conectarse a sistemas externos y autenticarse con ellas. |
Por ejemplo, cuando un usuario/empleado se autentifica en una determinada aplicación, los roles definidos en Microsoft Active Directory de la organización se asignan al usuario/empleado. No necesitamos cambiar manualmente el registro de identificación del operador en la aplicación de Pega con el grupo de acceso de desarrollador/usuario; esto se puede hacer con SAML 2.0 o con un servicio de autenticación de tipo personalizado.
Solicitudes de servicios externos a Pega Platform a través de reglas de servicio
Un sistema o aplicación externa puede invocar un servicio REST definido en Pega Platform o dentro de una aplicación de Pega Platform para obtener información de casos. Este tipo de autenticación utiliza un tipo de servicio e instancias del paquete de servicios. Las formas de autenticación compatibles incluyen lo siguiente:
- Credenciales básicas
- OAuth 2.0
- Autenticación personalizada
Solicitudes de servicios externos a Pega Platform a través de reglas de conector
La aplicación de Pega Platform debe autenticarse en un sistema o aplicación externos para obtener información, mediante la invocación de una llamada de servicio REST externo. Este tipo de autenticación utiliza un perfil de autenticación y las instancias de datos del proveedor OAuth. Las formas de autenticación compatibles incluyen lo siguiente:
- Credenciales básicas
- Credenciales NT LAN Manager (NTLM)
- OAuth 1.0 y OAuth 2.0
Perfil de autenticación
Cuando Pega se comunica con otras aplicaciones, los datos y los mensajes deben moverse de forma segura. Los perfiles de autenticación se utilizan para gestionar la seguridad de la comunicación con otras aplicaciones.
Los perfiles de autenticación en Pega se refieren a las reglas del conector y del servicio para asegurar la comunicación. Sin embargo, son pocos los perfiles de autenticación que se crean con un propósito específico (por ejemplo, un perfil de autenticación de Microsoft Azure).
Puede especificar instancias de datos del perfil de autenticación en la pestaña Service de reglas de Connect CMIS, Connect dotNet, Connect HTTP, Connect JMS, Connect REST, Connect SAP y Connect SOAP y en la pestaña Environment de reglas del servidor FTP.
Tipo de perfiles de autenticación:
| Tipos de perfil de autenticación | Cuándo usarlos |
|---|---|
| Básicos | Credenciales básicas de autenticación HTTP |
| NTLM | Credenciales NT LAN Manager |
| OAuth 1.0a | Autenticación OAuth 1.0 |
| OAuth 2.0 | Autenticación OAuth 2.0 |
| Amazon Web Services (AWS) | Repositorios de almacenamiento BLOB de Amazon S3 |
| Microsoft Azure | Repositorios de almacenamiento BLOB de Azure |
La clase Data-Admin-Security-AuthenticationProfile contiene instancias de datos de perfil de autenticación.
| Servicios de autenticación | Perfil de autenticación |
|---|---|
|
Configure los servicios de autenticación en su aplicación para garantizar que solo los usuarios y sistemas con una identidad verificada puedan acceder a sus aplicaciones, páginas web, API y datos. |
Se usa para autenticar su solicitud de integración a un sistema externo a través de un conector de integración de forma segura. |
| Por ejemplo, cuando un usuario se conecta a una aplicación de tarjeta de crédito para comprobar su saldo o sus transacciones, la aplicación utilizará el Servicio de autenticación para verificar sus credenciales de identidad o inicio de sesión. | Por ejemplo, si una aplicación de tarjeta de crédito se conecta a una aplicación externa para obtener transacciones con tarjetas, el sistema o aplicación externos autenticarán su solicitud utilizando el perfil de autenticación. |
This Topic is available in the following Module:
¿Quiere ayudarnos a mejorar este contenido?