domingo, octubre 18, 2015

Estrategia de Identidad en Telefónica y más sobre Latch: (AuthaaS) Authentication & Authorization as a Service

Durante el último Security Innovation Day 2015 tuvimos una sesión de presentación sobre toda la estrategia de soluciones de identidad que estamos impulsando desde Telefónica, haciendo uso de las tecnologías que estamos creando en Eleven Paths. Los que pudisteis venir a las sesiones visteis que en directo mezclábamos todas nuestras soluciones de diversas maneras y en diversas situaciones. Desde autenticar de forma robusta con Mobile Connect o SmartID - para usar smartcards, biometría, NFC, DNIe o RFID, autorizar vía Latch, Mobile Connect con Biometría o tokens OTPs vía SMS para los terminales pre-smartphone, e incluso identificar en el sistema de recuperación de contraseñas a los usuarios vía SealSign (como sistema de autenticación anti Rubber Hose).

Figura 1: Estrategia de identidad en Telefónica y más sobre Latch

Todos ellos funcionando según la estrategia de identidad que una compañía quiera realizar, ya que al final, los productos son nuestros y los podemos adaptar a cada situación. Durante la presentación, lo recogíamos todo en esa diapositiva que habíamos extraído del informe que Gartner ha hecho sobre nuestra propuesta de Authentication & Authorization as a Service.

Figura 2: Estrategia de identidad de Telefónica con tecnologías de Eleven Paths

El informe que ha hecho el equipo de Gartner se ha basado en el trabajo de varios meses analizando nuestra propuesta, y ha quedado plasmado en el siguiente documento que he subido a mi canal SlideShare:


Para conseguir dar esa flexibilidad, tenemos un roadmap muy extenso que va haciendo que día a día, versión a versión, todos ellos tengan nuevas características que permitan hacer más y más cosas. En el caso de Mobile Connect, ya sabéis que lo hemos puesto en producción en España, Argentina, México y Perú, y que en breve estará disponible para integrar en cualquier sitio que quieras. 


Figura 4: Un ejemplo de autenticación con Mobile Connect en una web

En el caso de Latch hemos seguido ampliando el número de sitios donde está integrado - ya hay más de 7.000 aplicaciones integradas con Latch - y hemos continuado metiendo características. Algunas de usabilidad e información para el usuario, como las características de Silenciar y de Log & Stats que os contaba hace poco, y otras vía API, como personalizar los mensajes OTP o permitir crear operaciones de forma dinámica. Esta última opción es la que utilizó Ben Metzel CTO de Vaultive para controlar dinámicamente los dispositivos que podrían acceder al correo electrónico de Office 365 descifrado, tal y como mostró en su demostración en el evento.

Figura 5: Ben Metzel, CTO de Vaultive, controlando el acceso al correo de
Office 365 descifrado por dispositivos desde Latch

Desde el punto de vista más puro de usabilidad, también lanzamos Latch para Apple Watch, que ya puedes descargar y probar, además de una serie de características que están escondidas para los menos curiosos, y que os paso a contar por aquí. Estas características las teníamos en el roadmap desde hace tiempo, pero las vamos metiendo según la cola de prioridad que tienen, y las que hemos sacado son las siguientes que puedes utilizar arrastrando el Latch hacia la derecha.

Figura 6: Acceso a opciones de cada Latch

En la imagen veis unos textos que he añadido yo para hacer más fácil la comprensión, pero luego no van a estar en la app. Son bastante sencillos de entender, ya que son las opciones de Renombrar, Agrupar, Silenciar y acceso a Log & Stats. Esta última, la gestión de Log & Stats, ya la explique en detalle en un artículo, así que me voy a centrar hoy en las otras.

Renombrar y Silenciar

Estas dos opciones son muy sencillas. La primera de ellas es tan fácil que consiste en cambiarle el nombre al pestillo. Esto es útil sobre todo si hay varios Latches protegiendo varias identidades en el mismo sitio. De esta forma se puede poner un nombre que ayude a diferenciarlos. De momento no hemos permitido cambiar el icono del Latch, pero todo se andará.

Figura 7: Cuadro para renombrar un Latch

La segunda opción, la de silenciar, hará que no lleguen alertas para esa identidad. Esto puede ser útil en muchos entornos en los que hay demasiadas comprobaciones, pero puede dejar al usuario sin enterarse de lo que está pasando. Para ello, cuando se activa aparece el icono avisando de esto en el Latch principal.

Figura 8: Un Latch con las alertas silenciadas

Decidimos meter esta opción solo cuando teníamos terminada la parte de logs & stats, ya que a pesar de que no que lleguen las alertas en tiempo real, el usuario podrá revisar siempre todo lo que ha pasado con su identidad.

Mover a una Carpeta

En muchos wallets de Latch el número de identidades empieza a crecer lo suficiente como para que sea útil agruparlos. Hemos decidido meterlos ahora que ya hemos sobrepasado la barrera de los 320.000 usuarios, y su funcionamiento es sencillo. Desde la opción de Mover se pone un nombre de una carpeta la primera vez que se crea y a partir de ese momento aparece una carpeta en la lista de Latches.

Figura 9: Cuadro para mover un Latch a un nuevo Grupo

Es muy similar su funcionamiento a las carpetas de iOS u otros sistemas operativos móviles. Si en algún momento se quiere sacar de la carpeta a una identidad, se vuelve a seleccionar la misma opción y se deselecciona el grupo. Por último, para borrar el grupo, se hace exactamente igual que antes, arrastrando hacia la derecha y con la opción X de borrar. 

Figura 10: Grupo Tienda con Latches dentro

Hemos metido la opción de renombrar el grupo o carpeta de Latches, pero no hemos permitido aún poner iconos personalizados, que tal vez lo hagamos en la siguiente versión.

Figura 11: Izquierda opción de cambiar un Latch de Grupo. Derecha borrar un Grupo.

Como veis, poco a poco intentamos ir metiendo aquellas ideas que se nos ocurren y que nos dais, así que cualquier feedback o necesidad que vayáis teniendo será bien recibida. Recordad que ahora tenemos abierto el Latch Plugin Contest 2015 - puedes debatir sobre él en nuestra comunidad - y que puedes ganar por tus implementaciones de Latch hasta 5.000 $ en BitCoins, así que "Put your code where your mouth is".

Saludos Malignos!

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares