Uso del sistema de autenticación multifactor en el SSO de la UBU

Manual de uso del sistema de autenticación multifactor de la UBU

¿Qué es un sistema de autenticación multifactor?

Un sistema de autenticación multifactor (MFA por sus siglas en inglés) es un sistema que permite comprobar la identidad de un usuario a través de varios sistemas de autenticación. Se trata de una medida adicional que ayuda a proteger el acceso a tus datos y a tu cuenta.

Los sistemas de autenticación de usuario pueden ser de tres tipos:

• Algo que el usuario conoce.

El sistema más habitual es el conocido como usuario – contraseña. El usuario introduce su identificador y verifica su identidad introduciendo una contraseña. Este sistema se considera poco seguro en la actualidad, aunque sigue siendo uno de los más utilizados por su difusión y facilidad de uso.

• Algo que se tiene.

Un sistema de estas características se basa en algo que solamente el usuario posee, por ejemplo, un teléfono móvil. Ejemplos de sistemas de este tipo son:

• Llamada telefónica: el usuario recibe una llamada telefónica en la que tiene que contestar con un código o pulsar una serie de teclas en su teléfono móvil.

  • SMS: el usuario recibe un mensaje SMS en su móvil con un código de un solo uso.

  • Aplicación de autenticación: el usuario debe utilizar una aplicación en su móvil para obtener o insertar un código de un solo uso.

  • Dispositivo criptográfico: el usuario debe poseer un dispositivo hardware como una llave o una tarjeta criptográfica.

• Algo que se es.

Los sistemas de este tipo suelen utilizar la biometría para verificar la identidad del usuario. Sistemas de este tipo son los lectores de huellas dactilares y los lectores del iris ocular.

Un sistema multifactor combina dos o más de los sistemas anteriormente descritos para verificar la identidad del usuario, dificultando a un posible ladrón de identidad digital el poder acceder a su cuenta.

La Universidad de Burgos cuenta con diversos sistemas de autenticación multifactor detallados en la página:

https://www.ubu.es/servicio-de-informatica-y-comunicaciones/documentacion-de-ayuda/autenticacion-multifactor

En los siguientes apartados nos referiremos específicamente al MFA utilizado en el SSO de la UBU (Single Sign-On).

Autenticación multifactor en el acceso al SSO UBU

Un Single Sign-On (SSO) es un sistema de autenticación que permite al usuario acceder a múltiples aplicaciones o servicios con un único inicio de sesión, utilizando las mismas credenciales, sin necesidad de volver a identificarse cada vez. Una vez que el usuario se autentica correctamente, el sistema reconoce su identidad y le concede acceso automático a los servicios autorizados siempre que se utilicen dentro del mismo navegador. Esta funcionalidad mejora la experiencia de uso, reduciendo la introducción de credenciales y aumentando la seguridad al centralizar el control de acceso.

Este sistema permite cumplir con varios requisitos del Esquema Nacional de Seguridad, entre ellos el contar con un sistema de autenticación multifactor.

El Servicio de Informática y Comunicaciones va integrando paulatinamente en el SSO las distintas aplicaciones corporativas de la Universidad.

Configuración del sistema de autenticación multifactor en el acceso al SSO UBU

Para configurar los métodos de autenticación hay que acceder a la dirección https://sso.ubu.es/mfasetup y autenticarse con la opción a) “Iniciar sesión con usuario y contraseña de la UBU + Segundo factor de autenticación”. Una vez que se haya introducido correctamente el usuario y la contraseña, el sistema mostrará los mecanismos que se hayan configurado. Si es la primera vez solo aparecerá el mecanismo configurado por defecto que es el correo electrónico de la UBU:

Recibirás un correo como este:

Hay que introducir el código recibido:

Una vez introducido el código recibido por correo electrónico, se mostrará una pantalla para configurar el resto de métodos de autenticación:

La configuración permite habilitar y deshabilitar los métodos de forma individual. Al menos un método debe estar habilitado, pero se recomienda tener por lo menos dos para que en caso de necesidad (por ejemplo, si no se tiene acceso al correo o al móvil) se siga pudiendo acceder al sistema. Una vez configurados pinchar en el botón Guardar configuración.

Para la configuración a través de una aplicación móvil se dispone de un código QR, compatible con los autenticadores móviles más populares.

Uso del SSO UBU (Single Sign-On)

El sistema de SSO permite dos opciones iniciales para autenticarse:

a) La primera opción para la autenticación consiste en identificarse mediante las credenciales de la UBU: usuario y contraseña. Una vez validado, el usuario puede elegir el segundo factor de autenticación que más se adecue a sus circunstancias, entre las diversas opciones disponibles.

b) Como segunda opción, podemos escoger el acceso a través de la pasarela Cl@ve (https://clave.gob.es/):

a) Si elegimos “Iniciar sesión con usuario y contraseña de la UBU + Segundo factor de autenticación”, una vez que se haya introducido correctamente el usuario y la contraseña se preguntará al usuario qué mecanismo de doble factor desea utilizar entre los que tenga configurados:

Los sistemas de autenticación disponibles son:

• Enviar un código al correo electrónico. Cuando se selecciona este método se envía un correo electrónico con un código que el usuario debe introducir para poder continuar. El código es de un solo uso y tiene un tiempo de validez de 5 minutos:

• Enviar un SMS a un teléfono. Este sistema envía un SMS con un código al teléfono configurado previamente por el usuario. El código es de un solo uso y tiene un tiempo de validez de 5 minutos:

• Utilizar una aplicación en el teléfono móvil. El usuario debe utilizar una aplicación en su teléfono móvil para obtener un código que debe introducir para continuar. Este código cambia cada 30 segundos, de forma que es muy difícil de adivinar. Este método se considera el más seguro de todos:

Una vez que se haya iniciado sesión correctamente se mostrará este mensaje:

Posteriormente el sistema mostrará la última vez que el usuario se autenticó en el sistema (este dato es importante para detectar accesos no autorizados):

Si por el contrario se introduce un código de seguridad incorrecto tres veces la cuenta se bloqueará y no se podrá acceder al sistema hasta que sea desbloqueada por un administrador:

El usuario recibirá un correo informativo en la cuenta de correo externa que haya comunicado a la Universidad.

Para el desbloqueo de la cuenta se deberá contactar con el centro de Atención a Usuarios (CAU) del Servicio de Informática y Comunicaciones mediante el gestor de tareas: https://cau.ubu.es o llamando al 947 25 95 05.

b) Si elegimos "ACCESO CON CL@VE", veremos las distintas opciones disponibles que ofrece la plataforma Cl@ve para realizar la autenticación con el sistema:

Por ejemplo, si seleccionamos la opción “Acceso DNIe / Certificado electrónico” se mostrará una ventana emergente con todos los certificados digitales instalados en el navegador:

Tenemos que elegir el certificado con el que vamos a realizar la autenticación en el sistema del SSO. Al finalizar todo el proceso de redirección de cl@ve y la autenticación de nuestro usuario en los sistemas de la UBU, se mostrará un mensaje de inicio de sesión correcto junto a la fecha del último acceso realizado:

Hacemos clic en “Continuar” y accederemos a la aplicación con la que hemos realizado el inicio de sesión.

En el caso de que no haya un usuario de la UBU asociado al DNI del certificado seleccionado en el sistema, se mostrará un mensaje indicando esta incidencia (texto en color amarillo):

Con este método no es necesaria la autenticación MFA ya que la pasarela Cl@ve ya comprueba la autenticidad de la identidad del usuario. Si el usuario tiene más de una cuenta de correo asociada al DNI se le permitirá elegir la cuenta con la que desea acceder al sistema.