Configurar la directiva de seguridad general del portal

¿Público o privado?

La decisión más importante es la de elegir si el portal debe ser público o privado. O lo que es lo mismo, si desea que los usuarios anónimos puedan acceder al portal o les exigirá registrarse antes de poder acceder al contenido.

Importante

¡Hacer que el portal sea público no significa que cualquiera pueda acceder a todos los conjuntos de datos! Siempre puede limitar lo que el público en general puede ver estableciendo parámetros de seguridad predeterminados razonables para sus conjuntos de datos y parámetros explícitos en conjuntos de datos individuales.

Consulte la sección específica para obtener más información acerca de la seguridad de los conjuntos de datos.

Estos parámetros se pueden hallar en la subsección Seguridad de la sección Configuración del back office del portal.

Tenga en cuenta que si decide no permitir el acceso de los usuarios anónimos al portal, estos serán redirigidos a la página de inicio de sesión salvo que prefiera que vayan a una página concreta que haya creado.

../../_images/configuration_anonymous-access.png

Directiva de registro

Sea cuál sea su elección entre público y privado, posteriormente podrá decidir quién puede convertirse en un miembro registrado del portal. Para ello, vaya a la subsección Configuración/Registro del back office del portal.

../../_images/configuration_enable-signup.png

Directiva de registro cerrado

Si decide no permitir a las personas registrarse libremente, el único modo de añadir miembros al portal será mediante invitaciones directas por correo electrónico.

Directiva de registro abierto

Si permite que las personas se registren, deberá decidir si desea aprobar cada una de las solicitudes de acceso al portal o no manualmente. Tenga en cuenta que, cualquiera que sea su decisión, cada uno de los miembros del portal que pueda administrar usuarios recibirá una notificación para cada una de las solicitudes de acceso nuevas.

../../_images/configuration_signup-approval.png

No olvide añadir el botón de registro al menú del encabezado o, de lo contrario, los visitantes no verán un formulario de registro hasta que intenten acceder a una área restringida del portal.

../../_images/configuration_signup-link.png

El proceso de registro acostumbra a ser muy sencillo: un correo electrónico, una contraseña y listo. Puede decidir personalizar la experiencia configurando un texto específico como aviso de declinación de responsabilidades, solicitar a los usuarios que acepten los términos y condiciones, o incluso solicitarles que dejen un mensaje para el administrador del portal (una opción útil si desea aprobar manualmente cada una de las solicitudes de acceso).

../../_images/configuration_signup-form.png

Tiempo de espera de sesión del usuario

De forma predeterminada, todos los usuarios autenticados son desconectados automáticamente tras un periodo de 2 semanas de inactividad. La duración de este periodo puede modificarse en la sección Configuración/Seguridad del back office.

Tenga en cuenta que cada solicitud del usuario al portal reinicia el tiempo de espera por lo que, en realidad, la sesión puede durar más que el tiempo de espera predeterminado.

SSO (Single Sign-On)

Si su organización ya tiene su propio sistema de gestión de identidades, puede configurar un puente entre el proveedor de identidad y el portal Opendatasoft. De este modo, dará acceso general al portal a todos los miembros de la organización.

Opendatasoft admite dos tipos de proveedores de identidad:

Acerca de los usuarios locales y los usuarios vinculados

Cuando hay un proveedor de identidad SAML u OpenID Connect configurado en un dominio, un usuario puede pertenecer a 3 categorías.

  • Un usuario de Opendatasoft estándar invitado por correo electrónico o registrado en un dominio: este usuario inicia la sesión en el dominio mediante la interfaz de inicio de sesión estándar con su nombre de usuario y contraseña de Opendatasoft habitual, y la cuenta está accesible en toda la red de Opendatasoft. Los usuarios de Opendatasoft se representan en la plataforma con el pictograma icon-world.

  • Un usuario local que se autentica por medio del proveedor de identidad de la organización: este usuario inicia la sesión en el dominio exclusivamente a través del proveedor de identidad de la organización y, como solo está disponible en un dominio específico, puede tener limitado el uso de funciones basadas en la red de Opendatasoft. Los usuarios locales se representan en la plataforma con el pictograma icon-id-card.

  • Un usuario vinculado que tiene una cuenta Opendatasoft estándar pero está asociado en este dominio específico a una identidad del proveedor de identidad de la organización. Este usuario es un usuario de Opendatasoft estándar que se puede autenticar tanto por medio de la interfaz de inicio de sesión de Opendatasoft como del proveedor de identidad de la organización. Dado que los usuarios vinculados son usuarios de Opendatasoft con posibilidades de autenticación SAML u OpenID Connect, se representan en la plataforma con los pictogramas icon-world y icon-id-card.

Usuario local

Todo usuario que tenga una cuenta de usuario en el proveedor de identidad considerado de confianza por un dominio y no tenga una cuenta de usuario Opendatasoft podrá conectarse. En la primera conexión, se creará un usuario local para el usuario a partir de los valores de configuración del proveedor de identidad del dominio.

Estos usuarios locales tienen permiso para explorar los conjuntos de datos públicos del dominio de forma predeterminada. Se pueden conceder permisos adicionales a estos usuarios a nivel de dominio, en conjuntos de datos individuales o mediante grupos (al margen de los grupos de usuarios de SAML o usuarios de OpenID Connect, del cual son automáticamente miembros).

La creación de nuevos usuarios locales a través de la autenticación de un proveedor de identidad se puede desactivar mediante la casilla de selección "Desactivar aprovisionamiento de usuarios locales" en la configuración del proveedor de identidad (SAML u OpenID Connect). El hecho de desactivar el aprovisionamiento de usuarios locales no impedirá a los usuarios locales existentes iniciar la sesión.

Usuario vinculado

Los usuarios que tengan una cuenta de usuario Opendatasoft podrán vincular esta cuenta a otra cuenta del proveedor de identidad. Este procedimiento se denomina vinculación de cuentas.

Una vez establecido el vínculo, los usuarios vinculados que inicien la sesión a través de su proveedor de identidad iniciarán la sesión en su cuenta de usuario Opendatasoft. No obstante, seguirán pudiendo iniciar la sesión con su contraseña de Opendatasoft.

Hay 2 métodos para vincular una cuenta de usuario Opendatasoft:

  • El primero es hacer clic en Vincular la cuenta a una cuenta SAML en este dominio o Vincular la cuenta a una cuenta OpenID Connect en este dominio en la ficha de identidad de la configuración de la cuenta de usuario.

"Link your account to a SAML account on this domain" link in the identity tab of the user account settings

  • El otro método consiste en crear el vínculo durante el proceso de creación de la cuenta de usuario, haciendo clic en el vínculo para completar el registro a través de SAML. En realidad, esta operación acelera el proceso de creación de la cuenta de usuario y permite vincular la cuenta rápidamente.

Account registration in SAML enabled domains

Nota

La vinculación durante el inicio de sesión solo está permitida con proveedores de identidad SAML.

Seleccionar la página de inicio de sesión predeterminada

La plataforma Opendatasoft permite elegir la página de inicio de sesión que se mostrará a los usuarios cuando hagan clic en un enlace de inicio de sesión o intenten acceder a una página restringida.

Si se selecciona como página predeterminada la página de inicio de sesión del proveedor de identidad, el flujo de autenticación (SAML u OpenID Connect) se iniciará automáticamente en el caso de que un usuario anónimo haga clic en el enlace de inicio de sesión o intente acceder a una página restringida, como puede ser el back office. Si se selecciona la página de inicio de sesión del proveedor de identidad, los usuarios que deseen conectarse a la plataforma con las credenciales de Opendatasoft tienen la opción de hacerlo manualmente visitando la página de inicio de sesión del dominio en https://<platform-url>/login/.

Default login page selection interface in the security configuration page

Utilizar atributos de usuario para filtrar datos

Los usuarios que han iniciado la sesión a través de la federación de identidades (SAML 2.0 u OpenID Connect) pueden tener configurados atributos de perfil específicos. Estos atributos se pueden usar para filtrar el contenido de los conjuntos de datos al que pueden acceder estos usuarios.

Para ello, puede editar la configuración de seguridad de un conjunto de datos específico y usar la función #attr en la consulta de filtro del grupo de seguridad SAML u OpenID Connect asociado al conjunto de datos. De este modo, los usuarios pertenecientes a estos grupos solo verán los registros de conjunto de datos coincidentes con la consulta de filtro tal como se explica a continuación.

Mediante la función #attr, se pueden filtrar los registros de conjunto de datos de modo que solo se devuelvan los registros que coincidan con un valor establecido en los atributos de usuario enviados por el proveedor de identidad. En los ejemplos siguientes, suponemos que tenemos los 3 usuarios con los nombres de usuario y atributos SAML user-country y user-language respectivos:

Usuario

 user-country user-language
User1

Francia

Francés
User2

Canadá

Francés
User3

Estados Unidos

Inglés

Y un conjunto de datos con los registros siguientes:

country language message
Worldwide

Inglés

 Hello world

Francia

Francés

 Bonjour à tous les Français

Canadá

Francés

 Bonjour à tous les Canadiens

Canadá

Inglés

 Hello to all Canadians

Estados Unidos

Inglés

 Hello to all Americans

Podemos restringir estos usuarios de modo que solo vean los mensajes que son válidos para sus países respectivos, con la consulta #attr(country, user-country).

User1 ve

country language message

Francia

Francés

 Bonjour à tous les Français

User2 ve

country language message

Canadá

Francés

 Bonjour à tous les Canadiens

Canadá

Inglés

 Hello to all Canadians

User3 ve

country language message

Estados Unidos

Inglés

 Hello to all Americans

También podemos restringir estos usuarios a fin de que solo vean los mensajes que están en su idioma respectivo, con la consulta #attr(language, user-language).

User1 ve

country language message

Francia

Francés

 Bonjour à tous les Français

Canadá

Francés

 Bonjour à tous les Canadiens

User2 ve

country language message

Francia

Francés

 Bonjour à tous les Français

Canadá

Francés

 Bonjour à tous les Canadiens

User3 ve

country language message
Worldwide

Inglés

 Hello world

Estados Unidos

Inglés

 Hello to all Americans

Al ser una función del lenguaje de consulta, también se puede agrupar con los operadores habituales. Por ejemplo, podemos restringir los usuarios para que solo vean los mensajes adecuados para su país e idioma con la consulta #attr(language, user-language) AND #attr(country, user-country).

User1 ve

country language message

Francia

Francés

 Bonjour à tous les Français

User2 ve

country language message

Canadá

Francés

 Bonjour à tous les Canadiens

User3 ve

country language message

Estados Unidos

Inglés

 Hello to all Americans