Configurar el inicio de sesión único (SSO) es un paso esencial para que una organización asegure sus datos en ActivityInfo.
Identidad, autenticación y autorización
Todos los usuarios que tienen acceso a ActivityInfo y a una base de datos de ActivityInfo son identificados por una dirección de correo electrónico. La autenticación es el proceso mediante el cual un usuario con una dirección de correo electrónico inicia sesión en ActivityInfo, es decir, cómo una persona demuestra a ActivityInfo que es quien dice ser.
En la mayoría de los casos, ActivityInfo delegará la autenticación a la organización del usuario. Si un usuario con una dirección de correo electrónico "@unhcr.org", por ejemplo, intenta iniciar sesión, ActivityInfo envía al usuario a Entra ID de ACNUR (anteriormente Active Directory) para que inicie sesión con sus credenciales de ACNUR y el segundo factor conocido por ACNUR. Si el proceso tiene éxito, el usuario es redirigido de vuelta a ActivityInfo con un código especial que ActivityInfo puede validar con ACNUR.
Si la organización del usuario no es conocida por ActivityInfo, entonces el usuario elegirá en su lugar una contraseña específica de ActivityInfo para autenticarse en ActivityInfo.
La autorización es el proceso de determinar si un usuario puede ver ciertos datos o realizar una operación determinada. A diferencia de la autenticación, la autorización se configura generalmente en el propio ActivityInfo.
Por qué es importante el SSO
Autenticar a los usuarios a través del proveedor de identidad de su organización tiene varias ventajas importantes en comparación con las contraseñas específicas de ActivityInfo:
- Es más probable que los usuarios elijan contraseñas débiles para aplicaciones adicionales, en comparación con la de su cuenta de trabajo. (Incluso cuando se aplican reglas de complejidad)
- Puede exigir la autenticación de dos factores (2FA) o la autenticación multifactor (MFA) cuando sea apropiado
- Cuando los empleados dejan la organización, pierden automáticamente el acceso a las bases de datos de ActivityInfo
- Su organización tiene más información sobre la cuenta, lo que permite una mejor detección de los ataques de apropiación de cuentas. Microsoft Entra o Google Workspace pueden detectar inicios de sesión sospechosos basándose en el lugar de destino de un usuario, su actividad en otras aplicaciones y otras reglas que su organización defina.
Políticas de dominio de correo electrónico
En ActivityInfo, una política de dominio de correo electrónico asigna un dominio de correo electrónico como "@unhcr.org" o "@example.gov" al directorio de la organización correspondiente, como Microsoft Entra ID (anteriormente Active Directory) o Google Workspace.
Estas políticas exigen que un usuario con un dominio de correo electrónico específico inicie sesión a través del proveedor de identidad de su organización. A los usuarios con un dominio de dirección de correo electrónico coincidente no se les permite autenticarse con una contraseña o a través de otro proveedor de identidad.
Para asegurar el acceso de su organización a ActivityInfo, es importante asegurarse de que se establezca una política de dominio para todos los dominios de su organización. Póngase en contacto con support@activityinfo.org para iniciar el proceso.